Nos últimos dias, vários desenvolvedores de projetos amplamente utilizados no Windows foram encontrados inesperadamente sem acesso às suas contas no programa de hardware da Microsoft, o que impediu de publicar novas versões e adesivos. Entre os afetados foram ferramentas conhecidas como WireGuard, VeraCrypt, MemTest86 e Windscribe, cujos responsáveis denunciaram bloqueios repentinos e dificuldades para entrar em contato com suporte.
A Microsoft lançou agora um procedimento de urgência para acelerar a restituição dessas contas, depois de a avalanche de queixas forçar uma resposta pública. A empresa explica que a suspensão obedeceu à falta de verificação de identidade necessária para participar no Windows Hardware Program, um requisito que, segundo seus responsáveis, foi comunicado por correio desde outubro de 2025. Você pode consultar a nota oficial no blog Microsoft para desenvolvedores de hardware: Microsoft Advisory: Action required — Account Verification for Windows Hardware Program.
Os interessados descreveram uma experiência diferente: contas fechadas sem aviso prévio e um processo de recurso engorroso ou inatingível. O desenvolvedor de VeraCrypt publicou nos fóruns seu problema com a completação de conta e a impossibilidade de chegar a suporte humano; sua mensagem pode ser lida em SourceForge: VeraCrypt. Da mesma forma, responsáveis por projetos como WireGuard e outros relataram bloqueios e longos tempos de resolução em fios públicos, como o seguimento em Hacker News: discussão sobre os bloqueios. Mensagens das contas oficiais de projetos afetados também evidenciaram o problema, por exemplo as publicações de MemTest86 e Windscribe em X: MemTest86 e Windscribe.
Desde a Microsoft, membros da equipe - incluindo Scott Hanselman - explicaram publicamente que a verificação de identidade é necessária porque o programa permite distribuir controladores a nível kernel, peças de software que operam com privilégios muito altos e que, nas mãos erradas, podem ser exploradas em ataques sofisticados. A conversa de Hanselman sobre o requisito pode ser vista em seu comunicado em X: Scott Hanselman. Para quem precisa de contexto técnico, a Microsoft mantém documentação sobre as políticas de assinatura e segurança de controladores: Driver signing — Microsoft Docs.
A rapidez com que as contas foram fechadas e as interrupções na capacidade de publicar atualizações suscitaram dúvidas legítimas sobre a capacidade de resposta a vulnerabilidades. Se um projecto perder temporariamente a possibilidade de lançar adesivos, a janela de exposição de utilizadores pode ser ampliada, com o consequente risco para sistemas que dependem desses projectos.
Diante da pressão pública, a Microsoft adicionou uma via temporária de recuperação: um procedimento acelerado que passa por abrir um caso de suporte através do Hardware Program; essa é, segundo a empresa, a maneira mais rápida de solicitar a reinstauração de acesso. O pedido deve incluir uma justificação comercial clara sobre a utilização prevista do Hardware Dev Center e, embora a conta possa recuperar rapidamente, as obrigações de cumprimento pendentes devem ser concluídas para recuperar o acesso pleno.
A empresa também abordou problemas reportados com o fluxo de suporte: recomendou verificar que está autenticado com a conta correta ao enviar tickets e propôs continuar insistando com o assistente Copilot para gerar uma incidência se a via automatizada não funciona. Para aqueles que não possam abrir pedidos pelos canais padrão, a Microsoft forneceu uma via alternativa de contato para iniciar o processo. Toda a explicação e o resumo do processo estão no aviso da empresa acima citado: detalhes do procedimento e contactos alternativos.
Importa sublinhar que a Microsoft não precisou da duração deste mecanismo temporário, pelo que os desenvolvedores afetados foram instados a agir rapidamente se quiserem minimizar o tempo sem acesso.
Além da resolução imediata, este episódio mostra um dilema conhecido entre segurança e experiência do desenvolvedor: as medidas para proteger o ecossistema, como a verificação de identidade de quem pode assinar controladores, são justificadas do ponto de vista técnico, mas sua implementação exige canais de comunicação e suporte robustos para não interromper a manutenção de software crítico. Por outras palavras, o reforço da segurança não pode traduzir-se numa falta de previsibilidade que impeça a distribuição de adesivos.
Para projetos e responsáveis por software que trabalham com componentes sensíveis no Windows, é conveniente extrair algumas lições práticas: manter atualizados os dados de contato associados às contas de distribuidores, rever a tempo os avisos de verificação que chegam por correio e contemplar rotas alternativas de distribuição ou entrega de adesivos em situações excepcionais. Também é razoável que a Microsoft verifique seus processos de notificação e ferramentas de suporte para reduzir fricções quando uma verificação administrativa ameaça paralisar atualizações críticas.
Enquanto as contas são restabelecidas e completam-se os requisitos de conformidade, a comunidade continuará a observar como equilibra a Microsoft a necessidade de proteger o sistema operacional com a obrigação de permitir que desenvolvedores confiáveis mantenham e atualizem software essencial. Para acompanhar a evolução do caso e as respostas dos projectos envolvidos, as fontes primárias referidas neste texto e os canais oficiais dos projectos em causa, como WireGuard e a página de VeraCrypt: VeraCrypt.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...