Популярный проект с открытым исходным кодом (ОС) Moq только что был обновлен и включает расширение с не очень открытым исходным кодом в виде набора DLL, предназначенных для сбора хэшей адресов электронной почты пользователей.
Впервые об изменениях сообщил Пищит компьютерВ нем говорится, что проект загружается в среднем около 100 000 раз в день, а с момента его создания было загружено более 476 миллионов загрузок.
Начиная с версии 4.20.0, Moq начал включать SponsorLink, проект, поставляемый как проект с закрытым исходным кодом, который лишает Moq одного из его основных преимуществ — того факта, что это проект операционной системы.
Пакеты Moq в проекте с закрытым исходным кодом
Один из владельцев Moq, Даниэль Каззулино, отметил Пищит компьютер Чтобы также быть сопровождающим проекта SponsorLink, он незаметно выпустил обновление в начале этого месяца. Хотя это изменение было вполне разумным, оно было в значительной степени необъявленным, и существующие пользователи, приверженные проекту с открытым исходным кодом, могли не знать об этом, не прочитав мелкий шрифт.
Библиотеки SponsorLink, которые собирают хэши адресов электронной почты для отправки в CDN SponsorLink, содержат запутанный код, который нарушает принципы Moq с открытым исходным кодом.
В течение нескольких дней после обновления GitHub был завален критикой этого шага, и многие разгневанные пользователи назвали обновление нарушением GDPR. Другие указали, что запутанный пакет потенциально может скрыть некоторые действия от ничего не подозревающих пользователей. Один пользователь назвал этот шаг «Moqery».
Перед лицом негативной реакции Каззулино подтвердил, что «подтверждение спонсорства никогда не отправляет фактическое электронное письмо», что можно проверить, «запустив Fiddler, чтобы увидеть, какой трафик идет».
Каззулино продолжает: «Электронная почта на вашем локальном компьютере хешируется с помощью SHA256, а затем кодируется Base62. Полученная непрозрачная строка (которая никогда не может раскрыть отправителя электронной почты) — единственное, что используется».
Кроме того, приостановка или удаление приложения приведет к удалению всех записей, связанных с учетной записью пользователя.
В другом обновлении версия 4.20.2, по-видимому, отменила изменение, хотя для многих ущерб репутации мог быть достаточным, чтобы отложить их.
