تواجه شركة Microsoft انتقادات واسعة إثر تعطيلها حسابات مطورين يشرفون على مشاريع برمجية مفتوحة المصدر ذات أهمية استراتيجية؛ ما أدى إلى وقف وصول التحديثات الأمنية والتصحيحات الضرورية لملايين المستخدمين عالمياً.
ووفقاً لتقارير تقنية، فإن هذا الإجراء يرتبط بمتطلبات التحقق الإلزامي ضمن برنامج Windows Hardware Program. وقد تسببت هذه الخطوة في تجميد عمليات نشر البرامج وتوقيع تعريفات Windows، وهي العملية الحيوية التي تضمن موثوقية البرمجيات وعدم التلاعب بها.
شمل هذا التأثير أدوات تقنية واسعة الانتشار، من أبرزها مشروع WireGuard للشبكات الافتراضية، وبرنامج VeraCrypt لتشفير البيانات، وأداة MemTest86 لفحص ذاكرة الوصول العشوائي، بالإضافة إلى Windscribe VPN. وتعتمد هذه البرمجيات بشكل محوري على حسابات المطورين في بيئة Microsoft لإتمام مهام حساسة، تشمل توقيع مكونات الإقلاع وتوفير التحديثات الدورية.
وفي هذا السياق، أكد منير الإدريسي، مطور VeraCrypt، إنهاء حسابه المستخدم منذ سنوات دون إخطار مسبق أو توضيح للأسباب، مع غياب خيارات الاستئناف الفورية. كما وصف الردود الواردة من قنوات الدعم بأنها آلية وتفتقر إلى التدخل البشري؛ ما تسبب في إيقاف تحديثات البرنامج لنظام Windows، في حين استمرت بشكل طبيعي لمنصات أخرى مثل Linux وmacOS.
ثغرات في التواصل وآليات التحقق الإلزامي
تكرر المشهد ذاته مع جيسون أ. دونفيلد، المسؤول عن مشروع WireGuard، وفرق عمل MemTest86؛ حيث استمرت محاولات التواصل مع دعم Microsoft لأسابيع دون جدوى، ليكتشف المطورون تعليق حساباتهم أثناء محاولات تسجيل دخول روتينية لنشر تحديثات جديدة.
وأوضح دونفيلد أن مسار الاستئناف الحالي قد يمتد 60 يوماً، ما يفرض مخاطر تشغيلية جسيمة؛ لاسيما في حال ظهور ثغرة “تنفيذ تعليمات برمجية عن بُعد” وهي ثغرة تتيح للمخترق التحكم في الجهاز عبر شبكة الاتصال، تتطلب معالجة فورية لا يمكن إرسالها بسبب تجميد الحسابات. وتمثل هذه الحسابات ركيزة أساسية في “سلسلة الثقة البرمجية” التي تضمن سلامة ومصداقية الكود البرمجي قبل وصوله للمستخدم النهائي.
من جانبها، قدمت Microsoft توضيحاً رسمياً عبر تصريحات لسكوت هانسلمان، نائب رئيس الشركة، أفاد فيها بأن التعليق تم آلياً نتيجة عدم استكمال إجراءات التحقق الإلزامي المفروضة منذ أبريل 2024.
وتشير وثائق Microsoft المنشورة في أكتوبر 2025 إلى ضرورة مراجعة البيانات القانونية في مركز الشركاء Partner Center، واستخدام بريد إلكتروني مهني فردي، مع مطابقة الهوية الحكومية لبيانات جهة الاتصال وإتمام الإجراءات خلال 30 يوماً. وتؤدي مخالفة هذه الضوابط، مثل استخدام بريد جماعي أو وجود تضارب في البيانات القانونية، إلى رفض الطلب وتعليق الحساب، ما يمنع إرسال أي ملفات برمجية جديدة لعملية التوقيع.
تحديات التوفيق بين الامتثال والاستمرارية الأمنية
أقرت Microsoft في تحديثات لاحقة باحتمالية تفويت بعض المطورين للإشعارات المرسلة عبر البريد الإلكتروني أو المنصة الداخلية. وفي هذا الصدد، اعتبر بافان دافولوري، نائب الرئيس التنفيذي لقطاع Windows والأجهزة، أن هذه الواقعة تمثل فرصة لتحسين آليات التواصل في المستقبل.
ورغم تدخل الإدارة لتسريع إعادة تفعيل حساب مطور VeraCrypt عقب التفاعل الإعلامي، إلا أن الملاحظات حول ضعف نظام الإخطار وصعوبة الوصول إلى دعم بشري سريع في حالات الطوارئ ظلت قائمة.
وتعكس هذه الأزمة تحدياً عملياً يتمثل في قدرة الشركات التقنية الكبرى على تطبيق معايير الامتثال، دون أن تتحول الإجراءات المؤتمتة إلى عائق يعطل تدفق الإصلاحات الأمنية العاجلة للمؤسسات والمستخدمين على حد سواء.
