A Microsoft suspendeu as contas de desenvolvedores do Windows Hardware Program de dois projetos de segurança open-source críticos, VeraCrypt e WireGuard, bloqueando sua capacidade de assinar drivers e enviar atualizações para milhões de usuários do Windows, sem aviso prévio ou explicação fornecida aos desenvolvedores.
O impacto na infraestrutura de segurança
A suspensão afeta diretamente ferramentas essenciais para a privacidade e segurança. O VeraCrypt é uma das ferramentas de criptografia de disco open-source mais confiáveis para Windows, utilizada por indivíduos preocupados com a privacidade, jornalistas e empresas em todo o mundo. O WireGuard é um protocolo VPN amplamente utilizado, conhecido por sua simplicidade e segurança.
Uma conta de desenvolvedor da Microsoft é necessária para autenticar drivers de terceiros no Windows 10 e 11. Sem um driver válido e assinado, o Windows marca o driver como não assinado e impede que ele seja carregado no nível do kernel, tornando as novas builds funcionalmente indeliveráveis aos usuários finais.
Causa raiz: políticas de verificação mais rigorosas
As suspensões parecem decorrer do endurecimento das políticas de verificação de identidade da Microsoft sob seu programa Partner Center. A Microsoft começou a impor requisitos mais rigorosos de MFA e verificação de identidade a partir de outubro de 2025, com a aplicação total da API iniciando em 1º de abril de 2026.
A nova política exige que os desenvolvedores passem por uma nova verificação por meio de fornecedores de verificação de identidade de terceiros confiáveis (IDVs) usando documentos de identidade emitidos pelo governo. Contas onde a verificação de identidade é rejeitada e nenhuma opção "Corrigir agora" é apresentada são automaticamente suspensas sem recurso adicional.
Nem Idrassi nem Donenfeld parecem ter sido notificados de que a re-verificação era necessária, deixando ambos os desenvolvedores efetivamente pegos de surpresa.
Riscos para a cadeia de suprimentos de software
O impacto vai muito além de um inconveniente burocrático. O desenvolvedor principal do VeraCrypt, Mounir Idrassi, alertou que, se o problema não for resolvido, o Secure Boot recusará permitir que o VeraCrypt criptografe unidades do sistema a partir de junho de 2026, descrevendo a situação como uma potencial "sentença de morte para o VeraCrypt".
Para o WireGuard, a suspensão significa que Donenfeld não pode enviar atualizações para o WireGuard para Windows, deixando os usuários potencialmente expostos se uma vulnerabilidade for descoberta no interim.
O incidente chamou a atenção rápida de dentro da própria Microsoft. O desenvolvedor Scott Hanselman interveio, entrando em contato diretamente com ambos os desenvolvedores por e-mail e prometendo acelerar uma resolução.
O que os CISOs devem observar
Este incidente destaca um risco sistêmico: projetos de segurança open-source que sustentam a infraestrutura global de privacidade permanecem perigosamente dependentes de mecanismos de controle de gatekeeping de um único fornecedor em plataformas grandes.
Quando esses sistemas falham silenciosamente e sem caminhos de recurso, as consequências downstream para a segurança do usuário final podem ser severas e imediatas. Executivos de segurança devem monitorar a dependência de ferramentas críticas em plataformas de terceiros e considerar planos de contingência para atualizações de drivers e assinaturas de código.
Recomendações de mitigação
- Avaliar a dependência de ferramentas de terceiros que requerem assinaturas de código específicas da Microsoft.
- Manter canais de comunicação diretos com fornecedores de software crítico.
- Considerar a diversificação de ferramentas de segurança para reduzir o risco de ponto único de falha.