Projecto open-source Moq adicionou módulo que recolhe dados dos utilizadores

By | 17/08/2023

O popular projecto Moq, que conta com mais de 476 milhões de downloads, adicionou um módulo polémico que pode recolher dados dos developers, sem ter dado qualquer pré-aviso.

O Moq torna-se no mais recente exemplo de como a reputação e confiança, conquistados ao longo de anos, podem eclipsar-se num instante mediante um (aparente) lapso de julgamento. Este projecto conta com mais de 100 mil downloads diários no NuGet, e é usado por developers individuais e grandes empresas. Infelizmente, na versão 4.20.0 o seu criador decidiu adicionar-lhe outro projecto seu, SponsorLink, que é closed-source e contém código “ofuscado” para dificultar a sua análise.



O projecto SponsorLink destina-se a facilitar a gestão de patrocinadores e a sua ligação com os projectos, mas que para cumprir esse objectivo também recolhe o endereço de email dos developers e envia a sua hash para a cloud – aparentemente sem que sequer tenha pedido autorização para tal. E como tal, as reacções a tal manobra não se fizeram esperar, com inúmeras críticas e acusações de “traição” à comunidade.

O seu criador defende-se, dizendo que foi apenas uma forma de promover o seu outro projecto, que aparentemente não estaria a ter grande interesse; usando o seu projecto mais popular para catapultar a sua visibilidade. Visibilidade essa que foi conseguida, embora não da forma que teria planeado inicialmente.

O Moq 4.20.2 já removeu o módulo polémico, mas por esta altura os estragos já estão feitos. Muitos developers dizem já não confiar no Moq e sugerem várias alternativas, e até a AWS da Amazon, que tinha sido apoiante do projecto e exibida em destaque, anunciou que deixaria de o utilizar e pediu para que fosse removido o seu logo da página do projecto.

Embora o criador diga que nunca recolhe os endereços de email propriamente ditos – apenas a sua hash – muitos relembram que não seria difícil criar uma lista com milhões de endereços de email que circulam na net, calcular a hash, e fazer a comparação para decifrar os endereços de email recolhidos e identificar utilizadores.

(Ptnik)