Moq начал сбор хэши адресов электронной почты
Изображение предоставлено: Shutterstock/Imilian
Популярный проект для сбора исходного кода (ОС) Moq только что был обновлен, включает дополнение с не очень исходным кодом в виде серии DLL, предназначенных для сбора хэшей адресов электронной почты пользователей.
Об изменениях впервые сообщил BleepingComputer , который ежедневно загружает проект в среднем около 100 000 раз, а с момента его создания было загружено более 476 миллионов.
начиная с версии 4.20.0, Moq начал использовать SponsorLink, проект с закрытым исходным кодом, который лишает Moq одного из пользователей — тот факт, что это проект ОС.
Пакеты Moq в проекте с закрытым исходным кодом
Один из владельцев Moq, Даниэль Каззулино, отмеченный BleepingComputer в качестве сопровождающего проекта SponsorLink, незаметно выдвинул обновление в начале этого месяца. Несмотря на то, что это изменение было вполне разумным, оно прошло в стадии обострения без объявления, и применения, приняв участие в проекте с исходным кодом, может не знать об этом, не прочитав мелкий шрифт.
> Это лучшие инструменты защиты от кражи личных данных
> Директива ЕС об ответственности за качество продукции может показать открытый исходный код
> Многие компоненты программного обеспечения с исходным кодом представляют собой опасные риски для безопасности.
Библиотеки SponsorLink, которые собирают хэши адресов электронной почты для рассылки в CDN SponsorLink, крупный запутанный код, который включает в себя распространение открытого исходного кода Moq.
В дни, последовавшие за обновлением, GitHub был завален критическим шагом, и многие недовольные пользователи назвали обновление нарушением GDPR. Другие используют, что запутанный пакет может скрыть некоторые действия от ничего не подозревающих пользователей. Один из пользователей назвал этот шаг «мокерией».
В свете негативной реакции Каззулино подтвердил, что «фактическое электронное письмо никогда не отправляется при выполнении проверки спонсорства», что можно проверить, «запустив Fiddler, чтобы увидеть, какой трафик происходит».
Каззулино продолжает: «Электронная почта на следующем компьютере хэшируется с помощью SHA256, а затем кодируется Base62. Полученная непрозрачная строка (которая никогда не может раскрыть исходное электронное письмо) — единственное, что использовалось».
Кроме того, приостановка или удаление приложений проверки всех записей, связанных с учетной записью пользователя.
В последующем обновлении версии 4.20.2, вероятно, отменила это изменение, хотя для многих репутационного случая достаточно, чтобы отложить их.
- включает в себя набор лучших VPN-сервисов для бизнеса , предоставляющих дополнительную конфиденциальность.
Вы профессионалы? Подписывайтесь на нашу новостную рассылку
Свяжитесь со мной, чтобы сообщить новости и предложения от других брендов Future. Получите от нас электронные письма от имени наших доверенных партнеров или спонсоров. Отправляя свою информацию, вы соглашаетесь с Условиями использования и Политикой конфиденциальности и вам исполнилось 16 лет.
Источник
Moq Uses Your Personal Information!!!
Moq, the popular unit testing library in the #dotnet ecosystem, sniffs your personal email address from your git configruation to ...