by Иван Шуман
Автор
Проблема с повторной аутентификацией Microsoft отрезала разработчиков по всему миру
новости
9 апр. 20266 мин
Некоторые независимые поставщики ПО так и не увидели уведомление о необходимости повторной аутентификации, тогда как другие говорят, что Microsoft повторно аутентифицировала их, а доступ был заблокирован в любом случае.
Источник: Mats Wiklund / Shutterstock
Представители Microsoft подтвердили и пытаются исправить сбой с повторной аутентификацией разработчиков в своей программе Windows Hardware Program, из-за которого неизвестное число независимых поставщиков программного обеспечения (ISV) потеряло доступ к системам Microsoft. Это, в свою очередь, нарушило работу их клиентов по всему миру.
Процесс начался в октябре, когда Microsoft приступила к проверке учетных записей для своей программы Windows Hardware Program. Уведомления отправлялись на корпоративные адреса электронной почты, или, по крайней мере, должны были отправляться, а владельцы учетных записей были отстранены, если не отвечали на запрос до установленного срока. Среди заблокированных учетных записей оказались как компании, которые так и не получили уведомления Microsoft, так и те, кто получил письмо, но либо не заметил его, либо не отреагировал, а также некоторые ISV, утверждающие, что они были полностью повторно аутентифицированы, но доступ к сервисам им все равно отключили.
Руководители Microsoft, общавшиеся с клиентами в соцсети X, быстро подтвердили, что сбои действительно произошли, но отметили, что вина компании не является единственной.
Скотт Хансельман, вице-президент Microsoft, курирующий GitHub, написал в X: «Эй, я люблю ругать свою компанию не меньше любого другого, потому что Microsoft иногда творит глупости, но иногда это просто “проверьте письма и подтвердите свои учетные записи”. Не каждый момент “WTF micro$oft” — это бесспорный провал. Я лично написал [одному крупному ISV], и мы снимем блокировку. Не все — заговор. Иногда это буквально бумажная волокита».
В какой-то момент обсуждения Хансельман, казалось, раздражался из-за пользователей, жалующихся на то, что Microsoft соблюдала дедлайн, о котором предупреждала людей с октября. «Это почти как будто сроки зависят от даты», — сказал он.
Хансельман также сказал, что поток срочных запросов создал впечатление, будто процесс восстановления идет медленнее.
«Во всех этих сценариях [ISV] либо не увидели письма, либо не предприняли действий по письмам, начиная с октября прошлого года и до сих пор. Папка со спамом, не заметили их — много вполне уважительных причин, с которыми можно работать. Затем они открывают тикеты, а те не продвигаются достаточно быстро — дни или недели, а не часы», — сказал Хансельман. «Когда сроки наступают, люди жалуются в соцсетях, и тогда приходится вручную срочно снимать блокировку с учетных записей. Все становится срочным, хотя срочным было не всегда».
Более высокопоставленный руководитель Microsoft, Паван Давулури, исполнительный вице-президент, курирующий Windows и Devices, тоже высказался в X. «Мы приложили большие усилия, чтобы партнеры понимали, что это грядет, через письма, баннеры, напоминания. И мы знаем, что иногда что-то все равно упускается», — сказал Давулури. «Мы используем это как возможность пересмотреть, как мы сообщаем о таких изменениях, и убедиться, что делаем это лучше. Если кому-то нужна помощь с восстановлением доступа, они могут запросить поддержку здесь».
Проблему усугубил каскадный эффект для глобального бизнеса. Поскольку компании-разработчики были отрезаны от доступа, их клиенты тоже ощущали последствия, поскольку их работа также нарушалась из-за зависимости от этих поставщиков.
Разработчики также жаловались на ограниченную поддержку Microsoft, доступную для распутывания этого беспорядка. Компания сообщила посетителям в X, что они могут использовать это приложение, чтобы написать ей и попросить о восстановлении доступа.
Ответственность лежит и на поставщиках, и на ISV
Консультант Брайан Ливайн, исполнительный директор FormerGov, сказал, что часть ответственности должна лежать на ISV.
«Разработчикам следует рассматривать переаттестацию у поставщика как критически важную зависимость и внедрять дублирующий мониторинг — например, несколько адресов электронной почты, проверки через портал и автоматические напоминания — чтобы избежать тихих блокировок», — сказал Ливайн. «Это создает реальный операционный риск, потому что внезапная блокировка у поставщика может нарушить интеграции, остановить рабочие процессы и вызвать каскадные сбои, которые выглядят как внутренние отказы, а не как триггеры политики на стороне upstream».
Он отметил, что поставщики должны выводить критические уведомления о соблюдении требований прямо в своих порталах и консолях, где разработчики действительно работают, «чтобы ничей бизнес не зависел от того, попало ли одно автоматическое письмо в [папку] спама».
Карми Леви, независимый технологический аналитик, сказал, что предприятия часто уделяют недостаточно внимания программному обеспечению своих поставщиков. Корпоративным IT-специалистам и разработчикам «нужно задавать трудные вопросы» о зависимостях от поставщиков. «В идеале возможности по управлению отношениями с поставщиками должны быть гораздо более проактивными», — отметил он.
На вопрос о том, означает ли это, что корпоративный IT должен спрашивать у поставщиков своих поставщиков такие вещи, как «Вы уже прошли повторную сертификацию у Microsoft? Срок вот-вот истечет», Леви ответил, что это, возможно, слишком много. «К сожалению, большинство организаций не общаются на таком уровне», — сказал Леви.
«Просто и без обсуждений аннулировать учетную запись после многих лет обычного и надлежащего использования — немыслимый исход для разработчика, чья жизненная сила напрямую зависит от доступа к этой самой учетной записи», — сказал Леви. «Точно так же бесчисленные клиенты этого разработчика, которые полагаются на [их ISV] в своих карьерах и бизнесе, потенциально остаются в неведении, потому что Microsoft либо не может, либо не хочет внедрить более совершенные технологии и протоколы управления разработкой. Этот случай еще раз подчеркивает дисбаланс сил между крупными технологическими платформами, такими как Microsoft, и независимыми разработчиками, которые зависят от них, чтобы поддерживать собственный бизнес».
Имплицитное доверие
Еще одним усложняющим фактором является растущая зависимость систем от других систем и исполняемых файлов, сказал Флавио Вилланустре, CISO группы LexisNexis Risk Solutions. Именно это заставляет Microsoft так строго проводить повторную аутентификацию игроков, контролирующих эти программные элементы.
На эти организации, предоставляющие вычислительные компоненты, которые должны выполняться до загрузки операционной системы, возлагается «имплицитное доверие. Поскольку все средства защиты от вредоносного ПО являются частью загрузки операционной системы и начинаются с нее, все, что выполняется до них, потенциально может поставить под угрозу целостность всей системы», — сказал Вилланустре. «Для этого UEFI требует, чтобы такие компоненты, выполняемые во время загрузки, включая операционные системы, были криптографически подписаны закрытыми ключами, сертификаты которых известны и могут быть проверены системой UEFI».
Именно это, отметил он, дает столько власти поставщику ОС. «К сожалению, у разработчиков мало возможностей для маневра. Если их программный компонент зависит от выполнения до загрузки, им потребуется ключевая подпись, а это жестко контролируется производителями UEFI/OEM и Microsoft», — сказал Вилланустре. «Даже дистрибутивы Linux зависят от Microsoft в вопросе ключевой подписи. Эта ситуация фактически создает монополию, при которой Microsoft контролирует, что запускается во время загрузки, через свой центр сертификации».
Однако, по его словам, «вероятно, потребуется регуляторное давление, чтобы заставить разделить эту ответственность между большим числом организаций, но можно возразить, что это потенциально может ослабить безопасность всей системы».
РазработкаРолиАутентификацияКонтроль доступаУправление идентификацией и доступомБезопасностьТехнологическая отрасль
by
Иван Шуман
Автор
Эван Шуман пишет об ИТ-проблемах гораздо дольше, чем когда-либо признает. Будучи основателем и редактором сайта о розничных технологиях StorefrontBacktalk, он был обозревателем для CBSNews.com, RetailWeek, Computerworld и eWeek, а его имя появлялось в изданиях от BusinessWeek, VentureBeat и Fortune до The New York Times, USA Today, Reuters, The Philadelphia Inquirer, The Baltimore Sun, The Detroit News и The Atlanta Journal-Constitution. Эван — постоянный автор для CIO, CSO, Network World и InfoWorld.
Эван получил золотую премию AZBEE 2025 года в категории Enterprise News за этот материал: Ошибка в дизайне приводит к тому, что Microsoft Authenticator перезаписывает учетные записи MFA, блокируя пользователям доступ
С ним можно связаться по адресу eschuman@thecontentfirm.com, а следить за ним можно в LinkedIn.
Еще от этого автора
Показать еще
новости
Проблема с повторной аутентификацией Microsoft отрезала разработчиков по всему миру
By Evan SchumanApr 9, 20266 mins
Контроль доступаАутентификацияРазработчик
новости
Anthropic выпускает Claude Managed Agents
By Paul KrillApr 9, 20262 mins
APIИнструменты разработкиГенеративный ИИ
новости
Muse Spark от Meta: меньшая и более быстрая модель ИИ для широкого развертывания приложений
By Anirban GhoshalApr 9, 20263 mins
Искусственный интеллектГенеративный ИИ
видео
Новый тип frozendict в Python
видео
Как повысить производительность приложения с помощью ленивого импорта Python 3.15
видео
Как запустить свой собственный небольшой локальный Claude Code (ну, почти!)
Mar 26, 20267 mins
Python
Материал — перевод статьи с английского.
Оригинал: Microsoft’s reauthentication snafu cuts off developers globally