De Free Software Foundation Europe raakt inkomsten van vaste donateurs kwijt doordat betalingsprovider Nexi het contract ineens heeft opgezegd. Periodieke donaties via credit- en debitcards komen daardoor niet meer automatisch bij de stichting terecht.

De opzegging eerder deze maand door de Europese betalingsverwerker raakt meer dan 450 donateurs, meldt de Free Software Foundation Europe (FSF Europe). De stichting voor vrije software heeft die mensen al gemaild over deze kwestie. Het gaat om directe donaties via debitkaarten en om terugkerende donaties via creditcards die voor 18 november 2025 zijn opgezet.

De stichting stapt over naar een andere betalingsverwerker. Daarbij is automatische migratie van bestaande accounts van supporters echter niet mogelijk.

Privéinformatie van donateurs

De financieel nu afgesneden stichting stelt dat Nexi het contract zonder voorafgaande aankondiging verbrak. Daarbij geeft de organisatie aan dat het een lopend conflict had met het betalingsbedrijf. "Gedurende de afgelopen maanden verzocht onze voormalige betalingsprovider Nexi toegang tot privégegevens." Daarbij zou het gaan om specifiek de gebruikersnamen en wachtwoorden van supporters.

FSF Europe weigerde die verzoeken en vroeg om opheldering. Nexi zou niet hebben aangegeven waarvoor het die informatie nodig had en op welke juridische basis het meende deze te kunnen opvragen. Volgens de stichting gaf het bedrijf vage uitleg over 'een algemene behoefte voor risicoanalyse'.

'Misverstand'

Nexi stelt in een verklaring aan Heise dat de Free Software Foundation Europe niet op tijd informatie aanleverde in een proces waarbij de betalingsverwerker zijn klanten beter in kaart bracht. Het ontkent dat het om inloggegevens van gebruikers vroeg. Het zou slechts gaan om testgegevens waarmee Nexi de betalingsportaal wilde verifiëren. Dit was om er zeker van te zijn dat mensen afschrijvingen kunnen blokkeren zodat ze misleidende abonnementen kunnen vermijden. Volgens Nexi is er sprake van een misverstand en neemt het contact op met de FSF Europe.

De verplichting van een Microsoft-account voor het gebruik van Windows stuit ook binnen Microsoft op verzet. Topman Scott Hanselman spreekt zich openlijk uit voor versoepeling van die vereiste. Hij zou niet de enige binnen Microsoft zijn die tegen deze omstreden verplichting is.

Microsoft belooft Windows beter af te stemmen op wensen van eindgebruikers om het besturingssysteem bruikbaarder te maken. Daarbij dringt het bijvoorbeeld de vergaande integratie van Copilot-AI terug. Dit en andere aanpassingen zijn in reactie op feedback van gebruikers. Microsoft lijkt echter de veelgehoorde klacht over het verplichte Microsoft-account voor gebruik van Windows 11 te negeren. Dit kan een kwestie van tijd zijn, stelt Windows Central.

Volgens bronnen van die technieuwssite is er een groep mensen binnen Microsoft die streven naar versoepeling van de vereiste voor een Microsoft-account. Het is niet duidelijk hoe groot, invloedrijk en mogelijk succesvol die groep is. Wel is duidelijk dat toptechneut Scott Hanselman behoort tot de tegenstanders van de accountverplichting voor Windows. Hij verklaart openlijk op X dat hij dat haat en dat hij 'eraan werkt'.

Microsofts belangen en clouddiensten

Zijn bericht was in reactie op de vraag of een versoepeling mogelijk was van de verplichting om een Microsoft-account te hebben voor Windows 11. Volgens Windows Insider is er intern bij Microsoft meer verzet tegen die verplichting. Daar tegenover staan echter meerdere teams en belangen voor dat onlineaccount dat aanhaakt op diverse clouddiensten die Microsoft biedt.

Kwetsbaarhedenscanner Trivy bevatte informatiestelende malware door een succesvolle hackaanval op ontwikkelaars van deze securitytool. Containerimages en GitHub-releases waren gecompromitteerd, wat ook het automatisch aanroepen van Trivy via GitHub Actions trof.

Het inplanten van een infostealer in deze securityscanner gebeurde via buitgemaakte inloggegevens voor de GitHub-repository van Trivy-maker Aqua Security, meldt Bleeping Computer. Daarmee kreeg de aanvaller, die gelinkt is aan cybercrimegroep TeamPCP, schrijfrechten voor de code van Trivy. Gebruikers van deze tool lopen risico dat inloggegevens voor hun ict-omgevingen zijn gestolen. De mogelijk getroffen omgevingen lopen uiteen van cloudinfrastructuur en containeropstellingen tot softwareontwikkelsystemen.

Aqua Security meldt dat deze aanval 'een voortzetting is van de supplychainaanval die eind februari 2026 begon'. Het bedrijf onthulde die eerdere aanval op 1 maart, waarna het de eigen inlogcredentials ververste. Die verversing gebeurde niet volledig gelijktijdig, maar nam enkele dagen in beslag, legt Aqua uit. Daardoor had de aanvaller mogelijk nog een valide inlogtoken waarmee nieuwe inloggegevens waren te verkrijgen.

Het gevaar van softwaresupplychains

Eind vorig jaar nam de Owasp Foundation gaten in softwaresupplychains op in haar lijst van ict-beveiligingsrisico's. Deze toen nieuwe categorie stond gelijk in de top drie van de vernieuwde Owasp-lijst. Op nummer een staat kapotte toegangscontrole en op nummer twee staan configuratiefouten van securitysystemen.

Reddit overweegt verplichte controle in te voeren voor de identiteit van gebruikers. Het platform wil gebruikers verifiëren als echte mensen om de toestroom van bots tegen te gaan. Reddits ceo noemt mogelijkheden als Face ID en Touch ID van Apple, of zwaardere verificatiemiddelen.

Reddit-ceo Steve Huffman stelt dat AI-content op de forumsite nut kan hebben, zoals AI-gegenereerde vertalingen. Toch kijkt de forumsite ernaar maatregelen te nemen tegen AI-bots. Het bedrijf wil menselijke bijdragen en interactie beschermen door gebruikers mogelijk te verplichten hun identiteit te verifiëren op de site. Daarbij zouden Reddit-gebruikers wel de optie van anonimiteit behouden.

De hoogste baas van Reddit ziet passkeygebaseerde systemen zoals Face ID en Touch ID van Apple als 'de meest lichtgewicht manier' om te controleren of gebruikers wel mensen zijn, schrijft Engadget. Naast deze biometrische methoden kijkt Reddit ook naar andere middelen. Dit omvat verificatiediensten van derde partijen, die dan gedecentraliseerd zijn of die geen traditioneel identiteitsbewijs vereisen.

Is een gebruiker wel een persoon?

Daarnaast noemt hij zwaardere middelen zoals controlediensten voor reguliere identiteitsbewijzen. De ceo sprak over identiteitscontrole in een podcast van het Technology Business Programming Network (TBPN). Hij stelt dat elk platform op internet wil weten of een gebruiker wel een persoon is.