开源编辑器 Atom 未经同意收集用户数据

2019年11月28日

Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。昨日,有用户给 Atom 提 issue 称其未经同意收集用户数据。

“首次启动 Atom 时,它会在未经同意的情况下联系在 Amazon 服务器上运行的 Microsoft/GitHub 进程,并将我的 IP 地址和时间戳泄露给制造商,把我使用 Atom 的事实(通过出站请求)传输给成千上万的其他人和组织。”

这位名为 Jeffrey Paul 的用户表示是在首次启动 Atom 时遇到了该问题。他发现在自己的信息已经被收集并发送出去之后,主应用程序窗口才打开是否连接服务器的询问对话框。而这一问题 100% 能够复现,也就是说并非偶然事故。

Paul 指出,用户的 IP 地址以及跟踪/遥测/分析/自动更新目标主机 IP 等信息都在首次启动时被传输出去,前两个数据中还包括时间戳。“该元组(用户源 IP,atom.io 目标 ip,TCP 端口,TLS SNI 主机名,时间戳记)从用户计算机发送时,其使用情况信息就会泄漏给成千上万的不同人:ISP,托管提供商,网络交换,情报服务者,Microsoft 内部系统管理员,GitHub 系统管理员和 Amazon 网络管理员。用户根本没有机会选择退出,或是阻止它,甚至没有意识到它的发生。”

为此,Paul 感到气愤,并依照“间谍软件”的定义——间谍软件是一种软件,有时甚至在其不知情的情况下收集有关个人或组织的信息,并在未经用户同意的情况下将此类信息发送给另一个实体——将 Atom 归为间谍软件。

他还提到,这种情况的出现意味着 PR #12281 上的工作尚未完成。这是 2016 年 Atom 团队提出的“添加遥测同意设置”,该设置用于确定是否收集用户的使用信息。而目前,根据 Paul 的描述,甚至没有出现同意对话框,数据就已经被上传了。

Atom 团队的 Arcanemagus 随后在下方回复,表示“Atom 设计为在连接网络的环境中运行,可以执行诸如检查更新之类的操作而不会提示用户……您当然可以自由地阻止网络访问,并且如果您愿意,Atom 也可以在脱机模式下运行。”

但显然,这一说法不够有说服力,Paul 提出反击:“没有人说它不应该使用网络,它只是在用户授予其权限之前不应该使用网络,否则会造成数据泄漏,这就是同意对话框存在的意义。”

Arcanemagus 仍然认为阻止网络访问即可,还说,“这不是 Atom 团队当前有兴趣更改的东西”。

来自 Atom 团队的 Lee Dohm 发表了最终回应,承认遥测程序包不应该在单击按钮之前发送信息,并将调查它与 central.github.com 的过早连接。但另一方面,他坚持 Atom 的设计模式如此,剩下的部分,特别是自动更新检查,仍保留当前的设计方式。以及,再次表明,“如果您想要一个可以完全脱机工作且没有任何网络连接的编辑器,则 Atom 不适合您。”

此外,经过复现实验,Paul 还提出了另一个 issue,他发现即便明确拒绝同意并退出遥测,遥测信息还是会被发送。这一情况的复现率也为 100%。

在 2016 年那条添加遥测同意设置的 PR 下,又有网友展开了新的讨论。其中一名用户说道,“按目前的情况,这可能违反了 GDPR(General Data Protection Regulation,一般数据保护条例)。”

展开阅读全文
6 收藏
分享
加载中
精彩评论
通知欧盟罚款🤔
2019-11-28 08:31
12
举报
我要起诉运营商,对方手机上显示了我的号码😠
2019-11-28 10:27
9
举报
vscode笑而不语
2019-11-28 09:17
5
举报
Atom不是官方默认凉了吗,非死不可不是都转VsCode了?
2019-12-04 10:04
1
举报
VSCode的用户协议中,就有默认允许收集必要的数据的条款,你能说什么呢?有一款开源版的VSCode,据说与微软的VSCode功能类似,保证不收集用户数据 -- 然而易用性、兼容性,肯定不及微软的VSCode。
2019-11-29 08:00
1
举报
最新评论 (20)
Atom不是官方默认凉了吗,非死不可不是都转VsCode了?
2019-12-04 10:04
1
回复
举报
VSCode的用户协议中,就有默认允许收集必要的数据的条款,你能说什么呢?有一款开源版的VSCode,据说与微软的VSCode功能类似,保证不收集用户数据 -- 然而易用性、兼容性,肯定不及微软的VSCode。
2019-11-29 08:00
1
回复
举报
GitHub都被微软收购了,Atom还没死吗?
2019-11-28 18:42
1
回复
举报
保护用户数据就是句假话。"硅谷"中都演给大家看了。
2019-11-28 15:13
0
回复
举报
其实是bug太多,改不动了...
所以发现也没用...没人改...
2019-11-28 14:40
0
回复
举报
这个不是性能做得没微软的好么?
2019-11-28 14:35
0
回复
举报
因为性能问题 我早就放弃了 另外截图是某个防火墙 我也在用
2019-11-28 14:33
0
回复
举报
什么防火墙?mac平台上的
2019-11-28 19:14
0
回复
举报
Little Snitch 其实就是macOS默认防火墙的GUI 但是可以监控请求 流量 啥的 付费软件
2019-11-28 20:58
0
回复
举报
哦哦好的 多谢
2019-11-30 01:23
0
回复
举报
我要起诉运营商,对方手机上显示了我的号码😠
2019-11-28 10:27
9
回复
举报
这不一样,你同意开通套餐或者说同意开通来电显示这一功能的时候,协议里已经包含了同意将自己的手机号显示在其他人手机上的条例。
2019-11-28 14:17
0
回复
举报
你可能弄错了,来点显示是显示别人的电话号码的功能。就算你没开通来电显示,别人开了,你给别人打电话,别人能看到你号码
2019-12-02 21:19
0
回复
举报
我意思是说只要自己开通了来电显示,就隐含的同意了将自己的手机号显示在其他人的手机上。要想就这一问题来起诉运营商,得先关闭自己的来电显示,再打电话如果对方手机上显示了自己的号码,这时候就可以起诉了。
2019-12-05 11:54
0
回复
举报
逻辑吊诡,使用网络和发送隐私是一回事?😂
2019-11-28 09:41
0
回复
举报
发送啥隐私了? IP地址??
2019-11-28 10:09
0
回复
举报
这货还没死?都快被vscode一统天下了
2019-11-28 09:26
0
回复
举报
更多评论
20 评论
6 收藏
分享
返回顶部
顶部