Amazon AWS se distancia da Moq em meio a controvérsia de coleta de dados
14 de Agosto de 2023

A Amazon Web Services (AWS) retirou sua associação ao projeto de código aberto Moq, após o projeto ter recebido críticas severas pela recente inclusão de recursos de coleta de dados sem notificar anteriormente, conforme relatado inicialmente pela BleepingComputer.

O Moq, uma biblioteca amplamente distribuída no registro de software NuGet, foi encontrado coletando hashes de endereços de e-mail de desenvolvedores nas máquinas em que foi instalado.

Isso começou na última semana, depois que o desenvolvedor do Moq incluiu sua polêmica dependência do SponsorLink no projeto sem avisar.

O projeto Moq, cujos mantenedores incluem Daniel Cazzulino (kzu), recebeu fortes críticas nesta semana, após Cazzulino lançar uma versão 4.20 que incluiu seu pacote SponsorLink sem aviso prévio.

A inclusão do pacote SponsorLink, de código fechado, fez com que o Moq coletasse hashes SHA-256 de endereços de e-mail de desenvolvedores a partir de configurações locais do Git, e upload desses dados para a CDN do SponsorLink.

Em resposta, vários desenvolvedores descontinuaram o uso do Moq em favor de alternativas, ou sugeriram a criação de ferramentas que detectassem e bloqueassem quaisquer projetos que executem o SponsorLink.

Alguns foram além, afirmando que boicotariam projetos que usassem o SponsorLink ou que relatarão o SponsorLink como "malware" no registro NuGet.

SponsorLink, anteriormente distribuído no NuGet como DLLs ofuscados, gerou um forte retrocesso entre os usuários de softwares de código aberto, que afirmaram que a divulgação do código fonte do projeto era "importante para a transparência e confiança".

Mais do que se Moq ou SponsorLink violaram as expectativas dentro de ecossistemas de código aberto, uma preocupação urgente entre os usuários era se a coleta de dados violou a legislação de privacidade, como o GDPR.

Um tribunal alemão já decidiu anteriormente que a hash SHA-256 é um meio insuficiente de anonimização de dados.

O desenvolvedor reverterou a mudança controversa no Moq v4.20.2, afirmando que isso "interrompe a restauração do MacOS" - uma razão que outras pessoas zombaram novamente.

Apesar do desenvolvedor fazer essas correções, persiste a suspeição entre os usuários de que futuros lançamentos do Moq podem reintroduzir um recurso semelhante.

A Amazon Web Services, como muitas outras, distanciou-se do Moq e parou de apoiar o projeto de código aberto.

Uma mudança de código enviada ao Moq por Rich Bowen, defensor do código aberto da AWS, solicita que as referências à AWS sejam removidas do projeto, como visto pela BleepingComputer.

Reconhecemos que patrocinamos no passado," escreve Bowen.

"No entanto, a adição do SponsorLink significa que não usaremos mais essa ferramenta e não queremos que nosso apoio implícito seja exibido de forma proeminente no README.

Obrigado."

O desenvolvedor do Moq, Cazzulino, acolheu o pedido e atualizou o README:
Removendo corretamente toda a seção em #1383.

Deve ser mesclada automaticamente em breve," respondeu o desenvolvedor.

Na verdade, o desenvolvedor substituiu a lista inteira de "Patrocinadores" escrita manualmente por uma que é "atualizada automaticamente", de acordo com a solicitação de pull.

Entramos em contato com a Amazon com perguntas antes da publicação.

Cazzulino não respondeu ao BleepingComputer quando contatado para comentar o assunto nesta semana.

Numa nota relacionada, depois de receber feedback contínuo de sua base de usuários, o desenvolvedor agora tornou o projeto SponsorLink de código aberto.

"OSS completo para o SponsorLink (incluindo cliente e backend) agora está neste mesmo repositório, na pasta src", escreve Cazzulino.

A justificativa para o SponsorLink manter sua implementação .NET de código fechado foi também alterada.

O desenvolvedor admite que "disponibilizar o código fonte pode ter facilitado a sua contorno" da funcionalidade que garantiria que os usuários recebessem a notificação de status de patrocínio.

A decisão de tornar o SponsorLink de código aberto, de acordo com o desenvolvedor, tornaria o projeto "menos eficaz em contribuir para a sustentabilidade de longo prazo de um projeto de OSS".

Apesar do desenvolvedor fazer as alterações muito solicitadas ao Moq e ao SponsorLink, os projetos podem levar algum tempo para recuperar a confiança do usuário entre os veteranos de código aberto.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...