Nowości

Microsoft zawiesił konta deweloperów WireGuarda, VeraCrypta i Windscribe — bez ostrzeżenia i bez wyjaśnienia

PanRomekPL

12 kwi 2026

7 Min Read

27 Views

0 Comments

Trzej twórcy kluczowych narzędzi bezpieczeństwa stracili dostęp do swoich kont w programie Windows Hardware Program — bez żadnego powiadomienia, bez wyjaśnienia i bez skutecznej drogi odwoławczej. Sprawa dotyczy deweloperów WireGuarda, VeraCrypta i Windscribe. Dla użytkowników VeraCrypta konsekwencje mogą być poważne już od lipca 2026 roku.

Na czym polega problem i dlaczego konta są ważne

Żeby zrozumieć, co się stało, trzeba wyjaśnić jedną techniczną zależność: oprogramowanie działające głęboko w systemie Windows — takie jak sterowniki wirtualnych kart sieciowych czy komponenty szyfrujące dysk — musi być podpisane cyfrowo. Bez ważnego podpisu Windows odmawia jego załadowania.

Podpisy te wydawane są przez Microsoft w ramach programu Windows Hardware Program. Aby z niego korzystać, deweloper musi posiadać aktywne konto w tym programie. Bez niego nie można ani podpisać nowych wersji oprogramowania, ani opublikować aktualizacji dla użytkowników Windows.

I właśnie te konta zostały zawieszone.

Co dokładnie zrobił Microsoft

Microsoft przeprowadził obowiązkowy proces ponownej weryfikacji tożsamości deweloperów, wymagając przesłania dokumentów tożsamości. Okno czasowe na uzupełnienie dokumentów po cichu się zamknęło — konta, które nie przeszły weryfikacji, zostały zawieszone.

Nikt nie został o tym poinformowany.

Deweloper WireGuarda powiedział wprost: „Microsoft nie wysłał mi żadnego powiadomienia. Sprawdziłem każdą skrzynkę, każdy folder spam, każdy log pocztowy — zero, nic.” Otrzymał jedynie lakoniczny komunikat, że program dobiegł końca, a konta deweloperów, którzy nie przesłali dokumentów, zostały zawieszone.

Windscribe próbuje rozwiązać problem od ponad miesiąca. Firma opublikowała komunikat: „Microsoft zawiesza konta deweloperskie bez ostrzeżenia i bez podania przyczyny narzędziom bezpieczeństwa takim jak VeraCrypt, WireGuard i teraz Windscribe. Prowadzimy zweryfikowane konto od ponad ośmiu lat, żeby podpisywać nasze sterowniki. Od miesiąca próbujemy to rozwiązać i nie docieramy nigdzie. Wsparcie techniczne praktycznie nie istnieje.”

Deweloper VeraCrypta miał identyczne doświadczenia. Microsoft nie wydał żadnego publicznego oświadczenia w tej sprawie.

Dlaczego to poważniejsze niż problem z obsługą klienta

WireGuard — infrastruktura całej branży VPN

WireGuard to nie tylko jedna aplikacja. To protokół, na którym opierają się dziś praktycznie wszystkie liczące się usługi VPN: Mullvad, ProtonVPN, Tailscale, NordVPN, Surfshark i inne. Wiele z nich używa WireGuarda bezpośrednio lub jako podstawy własnych rozwiązań.

Deweloper protokołu powiedział wprost: gdyby dziś odkryto krytyczną lukę bezpieczeństwa w WireGuardzie, nie byłby w stanie opublikować łatki dla użytkowników Windows. To nie jest hipoteza — to opis realnego stanu rzeczy.

VeraCrypt — potencjalna katastrofa dla użytkowników od lipca 2026

Sytuacja VeraCrypta jest szczególnie pilna. Microsoft planuje unieważnić urząd certyfikacji używany do podpisywania bootloadera VeraCrypta — komponentu, który uruchamia się przed systemem operacyjnym i odblokowuje zaszyfrowany dysk.

Bez dostępu do konta deweloperskiego autor oprogramowania nie może zastosować nowych podpisów wymaganych po tym unieważnieniu. Jeśli problem nie zostanie rozwiązany przed lipcem 2026, użytkownicy korzystający z pełnego szyfrowania dysku za pomocą VeraCrypta mogą nie być w stanie uruchomić swoich komputerów.

Deweloper nazwał ten scenariusz wprost: wyrokiem śmierci dla projektu.

Nieznana skala problemu

Znamy trzy przypadki, bo WireGuard, VeraCrypt i Windscribe są wystarczająco rozpoznawalne, żeby nagłośnić sprawę. Ile mniejszych projektów — niszowych narzędzi bezpieczeństwa, sterowników sprzętowych, oprogramowania specjalistycznego — trafiło na ten sam problem bez możliwości dotarcia do opinii publicznej? Tego nie wiadomo.

Kogo dotyczą zablokowane narzędzia

Dla czytelników, którzy nie mieli wcześniej do czynienia z tymi programami:

WireGuard to otwartoźródłowy protokół VPN stworzony przez Jason’a Donenfelda i opublikowany w 2016 roku jako odpowiedź na problemy, które od lat trapiły branżę.

Przez niemal dwie dekady standardem był OpenVPN — rozwiązanie bezpieczne, ale napisane w sposób, który dziś określilibyśmy jako legacy. Jego kod liczył setki tysięcy linii, był trudny do audytu, wolny i energochłonny — szczególnie odczuwalnie na urządzeniach mobilnych. Konfiguracja wymagała wiedzy specjalistycznej, a samo nawiązanie połączenia zajmowało zauważalnie dużo czasu.

WireGuard rozwiązał te problemy przez radykalne uproszczenie. Jego kod liczy około 4 tysięcy linii — tyle, ile jeden doświadczony programista jest w stanie przejrzeć i zrozumieć w ciągu kilku dni. W świecie bezpieczeństwa to ogromna zaleta: mniejszy kod oznacza mniejszą powierzchnię ataku i łatwiejszą weryfikację poprawności. OpenVPN w tym samym czasie wymagałby tygodni lub miesięcy pracy całego zespołu audytorów.

Protokół korzysta wyłącznie z nowoczesnych, dobrze zbadanych algorytmów kryptograficznych — m.in. ChaCha20 do szyfrowania symetrycznego, Curve25519 do wymiany kluczy i Poly1305 do uwierzytelniania wiadomości. Zamiast oferować dziesiątki kombinacji algorytmów do wyboru (co jest kolejnym źródłem potencjalnych błędów konfiguracyjnych), WireGuard narzuca jeden, starannie dobrany zestaw. Brak wyboru jest tu cechą, nie wadą.

Działa jako moduł jądra systemu operacyjnego, co przekłada się na wyjątkowo niskie opóźnienia i wysoką przepustowość — wyraźnie lepsze niż w rozwiązaniach działających w przestrzeni użytkownika. Praktyczna różnica jest zauważalna szczególnie na połączeniach mobilnych: gdy telefon przełącza się między siecią Wi-Fi a komórkową, WireGuard utrzymuje tunel bez przerwy i bez konieczności ponownego uwierzytelniania.

Dziś WireGuard jest de facto standardem branżowym. Mullvad, ProtonVPN, Tailscale, NordVPN, Surfshark i większość pozostałych liczących się usług VPN opiera swoje połączenia bezpośrednio na WireGuardzie lub na protokołach zbudowanych na jego bazie. Znalazł się też w jądrze Linuksa (od wersji 5.6), a Apple, Google i inne firmy zintegrowały go z własnymi stosami sieciowymi.

VeraCrypt to otwartoźródłowe oprogramowanie do szyfrowania danych, które powstało w 2013 roku jako bezpośredni następca TrueCrypta — przez lata uznawanego za złoty standard w tej dziedzinie. Gdy TrueCrypt nagle zakończył działalność w 2014 roku w niewyjaśnionych okolicznościach, społeczność open source przejęła jego kod, przeprowadziła niezależny audyt bezpieczeństwa, załatała wykryte luki i wydała VeraCrypta ze znacznie wzmocnioną odpornością na ataki brute-force.

Oprogramowanie oferuje trzy główne tryby pracy. Pierwszy to zaszyfrowane kontenery — pliki, które po podaniu hasła montują się w systemie jak zwykły pendrive. Drugi to szyfrowanie wybranych partycji lub dysków zewnętrznych. Trzeci, i najdalej idący, to pełne szyfrowanie dysku systemowego: komputer nie uruchomi się bez podania hasła jeszcze przed załadowaniem systemu operacyjnego — na etapie tzw. pre-boot authentication.

Tym, co odróżnia VeraCrypta od innych rozwiązań, w tym wbudowanego w Windows BitLockera, jest mechanizm wiarygodnego zaprzeczenia. Polega on na możliwości stworzenia ukrytego wolumenu wewnątrz już zaszyfrowanego dysku. Zewnętrzny wolumen zawiera zwykłe, mało istotne dane i otwiera się za pomocą jednego hasła. Wewnętrzny, ukryty wolumen z rzeczywistą zawartością otwiera się za pomocą innego. Ponieważ zaszyfrowane dane są nie do odróżnienia od losowego szumu, nie da się matematycznie udowodnić, że drugi wolumen w ogóle istnieje — nawet jeśli ktoś wymusi podanie pierwszego hasła.

Z tego powodu VeraCrypt jest narzędziem pierwszego wyboru dla dziennikarzy śledczych pracujących w krajach o represyjnych rządach, aktywistów, prawników chroniących poufność klienta i firm przechowujących dane szczególnie wrażliwe. BitLocker, mimo wygody, jest rozwiązaniem zamkniętym, którego kod nie podlega niezależnemu audytowi i który jest ściśle zintegrowany z infrastrukturą kont Microsoft.

Windscribe to kanadyjski komercyjny dostawca VPN założony w 2016 roku, który wyróżnia się na zatłoczonym rynku kilkoma konkretnymi cechami.

Najważniejsza z nich to polityka braku logów potwierdzona w praktyce, a nie tylko deklarowana w regulaminie. Windscribe wielokrotnie publicznie opisywał sytuacje, w których otrzymywał żądania udostępnienia danych użytkowników od organów ścigania — i nie był w stanie ich spełnić, bo danych po prostu nie przechowywał. To odróżnia go od wielu konkurentów, których polityka prywatności brzmi dobrze na papierze, ale nigdy nie została przetestowana przez rzeczywiste żądanie prawne.

Firma działa w Kanadzie, co oznacza brak obowiązku retencji danych i jurysdykcję poza sojuszem wywiadowczym Five Eyes w zakresie ruchu internetowego. Windscribe oferuje też wbudowany bloker reklam i skryptów śledzących działający na poziomie DNS — o nazwie R.O.B.E.R.T. — który zatrzymuje niechciane połączenia zanim w ogóle dotrą do urządzenia użytkownika.

Charakterystyczny jest też styl komunikacji firmy: bezpośredni, sarkastyczny i pozbawiony korporacyjnego żargonu, co w branży VPN — pełnej marketingowych obietnic anonimowości niemających pokrycia w rzeczywistości — jest rzadkością. Wspomniany wcześniej tweet o poszukiwaniu „człowieka z działającym mózgiem w Microsofcie” dobrze oddaje ten ton.

Szerszy kontekst: problem strukturalny

Zawieszenie kont to nie tylko awaria obsługi klienta. Ujawnia głębsze napięcie w tym, jak duże platformy uzasadniają kontrolę nad ekosystemem.

Microsoft, Apple i Google stosują podobny argument: obowiązkowe podpisywanie kodu i weryfikacja deweloperów chronią użytkowników przed złośliwym oprogramowaniem. W tym argumencie jest realna treść — wymóg podpisu cyfrowego faktycznie może utrudniać dystrybucję malware’u.

Ale ten sam mechanizm bramkarza, który ma chronić użytkowników, właśnie odciął od nich narzędzia stworzone wyłącznie w celu ich ochrony — szyfrowanie dysku, prywatne połączenia VPN, ochronę przed inwigilacją. Bramkarz bezpieczeństwa zepsuł model bezpieczeństwa użytkownika.

I nie dzieje się to w izolacji. Google ogranicza możliwość instalowania aplikacji spoza sklepu Play na Androidzie. Apple toczyło sądowe boje z deweloperami o zasady App Store. To spójny wzorzec: nawet jeśli platforma zapewnia pewien marginalny poziom ochrony, kontrola ekosystemu jest równocześnie modelem biznesowym — a bezpieczeństwo użytkownika bywa jego PR-owym uzasadnieniem.

Stan na dziś

Sytuacja pozostaje nierozwiązana. WireGuard jako jedyny nawiązał kontakt z przedstawicielami Microsoftu — ale dopiero po tym, jak sprawa stała się publiczna. Windscribe bezskutecznie czeka na odpowiedź od ponad miesiąca. VeraCrypt nie ma żadnego kontaktu z firmą ani żadnej perspektywy rozwiązania.

Microsoft nie wydał żadnego publicznego oświadczenia w tej sprawie.

Jeśli używasz VeraCrypta z pełnym szyfrowaniem dysku systemowego, to właśnie Ciebie ta historia dotyczy najbardziej bezpośrednio. Termin graniczny — lipiec 2026, kiedy Microsoft unieważnia urząd certyfikacji podpisujący bootloader — jest konkretny. Jeśli problem nie zostanie rozwiązany przed tą datą, Twój komputer może nie uruchomić się po aktualizacji systemu. Śledź oficjalne kanały projektu VeraCrypt i nie ignoruj tej sprawy w oczekiwaniu, że „samo się rozwiąże”.

Warto też mieć świadomość szerszego obrazu. To, co przydarzyło się tym trzem projektom, jest możliwe dlatego, że cały model dystrybucji oprogramowania na Windows opiera się na jednym punkcie kontroli — koncie w programie Microsoftu. Jeden błąd proceduralny, jedna cicho zamknięta procedura weryfikacyjna i deweloper od ośmiu lat tworzący oprogramowanie dla milionów użytkowników przestaje móc do nich dotrzeć. Bez ostrzeżenia, bez wyjaśnienia i bez skutecznej drogi odwoławczej.

Nie jest to argument za tym, żeby rezygnować z podpisywania kodu — ten wymóg ma realne uzasadnienie bezpieczeństwa. Jest to jednak argument za tym, żeby taki system miał przejrzyste zasady, działające wsparcie i nie zależał od tego, czy uda się dotrzeć do „człowieka z działającym mózgiem” po drugiej stronie.

Polecam sprawdzić również inne artykuły z kategorii Nowości.