Não me surpreendeu
Na época quando mostraram o backdoor já implementado no sistema e rodando como root já era esperado com algum tempo vir o escândalo (esse e outro assunto mas cria um vínculo com o problema)
Nem a M$ que acaba esquecendo o que tá fazendo não passa tanta vergonha comparado com esse “projeto”
“…O problema que tivemos não afeta os usuários e não tem nada a ver com o sistema em si. Isso afeta apenas o wxdesktop”
“…Estive em contato com vários canais e chegamos a conclusão que o canal distrotube está nos perseguindo”
Sem comentários…
Boa noite senhoras e senhores, aqui quem fala é eu, Rafael Rachid, o desenvolvedor do Linuxfx. Primeiro não queria comentar, pois percebi que tudo que está relacionado ao Linuxfx vira engajamento, então estava me contendo em comentar qualquer coisa para não dar mais combustível para o assunto. Em fim, O banco de dados acessado continha apenas informações de uso do WxDesktop (sistema que eu comercializo junto com o Linuxfx, e sim, o sistema operacional funciona sem o WxDesktop, isso é apenas um conjunto de ferramentas que eu criei e que como comercializo não quis disponibilizar o código fonte). O banco de dados é zerado todos os dias, por isso ele conseguiu algumas informações sobre os dados que estavam contidos naquele momento (clientes que estavam usando o WxDesktop naquele momento). A falha não afeta o sistema operacional e seus usuários. Qualquer usuário pode obter a quantidade de downloads que o Linuxfx foi baixado diretamente no sourceforge, segue o Link:
Enquanto escrevia a API nova, deixei uma cópia vazia do banco de dados e fiz algumas alterações no sistema pra ver até onde o pessoal do kernal estava disposto a levar esses ataques e também queria o que mais eles poderiam fazer além disso, para saber se deveria escrever um totalmente novo ou apenas implementar a API. Nesse meio tempo o pessoal do canal DistroTube começou a descer a lenha no sistema, porém ao mesmo tempo eu deixei o WxDesktop em modo de escuta com todos seus recursos liberados para qualquer usuário usar enquanto trabalhava em uma API para substituir o sistema fraco antigo dos nossos servidores. Entendo que muitos pensam que o Linuxfx não deveria se parecer com o Windows ou algo do tipo, porém, volto a dizer que nosso sistema é desenvolvido para a comunidade do Windows e não do Linux, afinal, o que um usuário experiente iria quere usando um Linux que parece Windows? e mais, a ideia inicial do sistema é apoiar máquinas que não rodam o Windows 10/11 por alguma restrição de hardware ou potência, beneficiando principalmente empresas, escolas, faculdades e usuários que possuem computadores antigos e não tem interesse de aprender Linux. Usuários que querem apenas navegar na internet e fazer seu trabalho office, e isso tem dado muito certo. Eu esperava que os usuários Linux não vissem o Linuxfx como um concorrente de outras distros ou algo do tipo mas infelizmente é assim que está hoje. Vamos continuar o desenvolvimento do Linuxfx, inclusive já está pronta a versão baseada no Ubuntu 22.04, eu não lancei ainda pelo atraso que este incidente de segurança me causou. O Linuxfx não é uma empresa. Os usuários que compram a licença negociam direto com o PayPal e com o Stripe, não retenho dados nenhum de pagamento, endereço ou qualquer outra coisa do tipo. O Linuxfx já teve mais de 1,5 milhoes de downloads na versão Linuxfx. Estes dados não são eu quem forneço e sim o SourceForge, página onde está hospedada as imagens do sistema. Todos os temas e pacotes usados na criação do sistema operacional estão disponíveis na nossa página, não utilizamos nada do Windows, apenas as ferramentas que estão disponíveis sobre licença GPL para desenvolver o Linuxfx e não cobramos por isso, cobramos apenas por ferramentas de desenvolvimento próprio. Esou a disposição no WhatsApp 0800 881 3000 para maires esclarecimentos. Desde já, fiquem bem.
Nessa mensagem de prestação de informações ficou faltando muita coisa. De todo modo, vem com alguns saltos impressionantes em etapas de construção de argumento. A começar pelo não reconhecimento de que um milhão de downloads estão longe de significar um milhão de usuários; e passando pelo não reconhecimento de que logomarca e elementos de programação visual do Windows são propriedades da Microsoft…
No mais, ainda que o Derek do DistroTube seja um veemente crítico do Linuxfx, quem demonstrou a extrema fragilidade na proteção de dados não foi ele. E o problema demonstrado não está sendo visto como “coisa pouca” pela comunidade de TI que tomou ciência do ocorrido.
Aliás, as críticas ao Linuxfx no DistroTube seriam injustas? Não teriam razão de ser?
Distribuições como Linux Mint e ZorinOS fazem bem isso e não precisam ser um Windows do Paraguai, aproveito para recomendar que pesquise bem sobre plágio e direitos autorais.
Parece que não é só distro pequena que ja deixou dados de usuários vazarem, pode acontecer com qualquer um (talvez com chances menores com algumas…)
Mas que lembrei e pesquisei temos casos com LinuxMint e Ubuntu vazando dados, sendo hackeados…
O problema é que diferente do Linux Mint e Ubuntu, o LinuxFX não se preocupa com os dados do usuário, e ainda por cima, é uma distribuição propietária…
Se fizessem não teríamos tantos Downloads. Recomendo você pesquisar melhor sobre software livre e licença pois se tivéssemos algo errado já tería sido processado. E aproveito o espaço pra te lembrar que usar o sistema é uma opção é não obrigação. Tem mais de 500 distro lá no distrowatch não sei por que tanta luz em cima do meu sistema.
Estou acompanhando esta discussão enquanto tenho buscado informações para podermos fazer uma cobertura sobre este assunto no blog.
A lista de vazamentos de dados de distros, programas e serviços é infindável e não para de crescer e agora chegou o vez deste projeto. Mas, de forma geral, tenho visto que muitas pessoas estão aproveitando a oportunidade para atacar o projeto com tópicos não relacionados ao problema em si.
Espero que de alguma forma, este momento conturbado sirva de aprendizado não apenas para o projeto LinuxFX como para a comunidade em si.
Ao que me parece, todos ainda temos muito o que evoluir em diversos pontos.
Importante: vamos focar em argumentos e fatos, esse tópico não vai virar um campo de agressões.
Uma coisa leva a outras. Fragilidade da segurança, escolha polêmica por modelo proprietário, propaganda questionável sobre o público usuário, reações da equipe do projeto às denúncias e críticas.
Sim, é razoável que num debate as pessoas busquem relações. O Linuxfx sempre foi polêmico, e seus pontos questionáveis serão naturalmente lembrados quando luzes são lançadas sobre ele.
Não é nenhum “pecado” pressionar esse projeto com críticas. Vários outros já ficaram na berlinda, recentemente o do Ubuntu foi objeto que discussões até acaloradas.
Comunicadores precisam zelar pela isenção, mas também precisam tomar cuidado com falsas simetrias. Fica a dica de quem trabalha com isso faz mais 20 anos. Aliás, muito me impressiona o quanto os canais e as páginas sobre Linux em português brasileiro já lidaram com esse projeto sem levar questões a fundo: a apropriação de marca e elementos de branding do Windows foi tratada sem que se pusesse o dedo na ferida com questionamentos necessários.
Downloads ≠ Número de usuários.
Sim, com certeza fazer uma interface propietária baseada numa interface de código aberto licenciada sobre a GPL e que cópia os logos e ícones do Windows, que são propiedade da Microsoft não tem absolutamente nada de errado! Qual é o próximo passo? Criar um fork do Linux e fechar todo o sistema? Renomear a distro para “Microsoft Linux”?
Concordo. Nada que foi vazado tinha a ver com o sistema operacional em si. Eram dados de controle interno. Estão tratando isso como se fosse uma coisa de falha máxima de segurança do sistema operacional e que coloca o sistema operacional do usuário em risco. Não entenderam sobre o problema é falaram como se soubessem exatamente sobre o que isso afetou. O sistema está a operar normalmente.
Você insiste em fazer pouco de uma falha séria num ponto-chave de seu projeto. Pessoas pagaram pela versão Pro do sistema que você desenvolve, e fizeram registro confiando na proteção dos dados que forneceram de boa fé. Aí fica demonstrado que esses dados podiam ser facilmente extraídos do banco de dados, num vazamento que não tem nada de inócuo. Mas você ainda tenta agregar essa negação da seriedade do acontecido a uma suposta perseguição movida por um YouTuber, enquanto nas comunidades de Linux os comentários em massa, de pessoas variadas, de diferentes formações, são críticas diretas à falta de proteção de dados em si.
Não sei como isso não é uma falha gravíssima de segurança e não coloca o usuário em risco…
Vou ser breve para não tornar essa uma discussão off-topic, mas sendo um profissional de comunicação experiente como citou o conceito de factualidade e opinião deve lhe ser bastante claro. Cada canal dosa os dois de acordo com sua direção editorial, aqui nós preferimos mostrar os fatos ou nossa opinião e deixar o leitor tirar suas conclusões.
Sobre o branding, nós já compartilhamos nossa opinião e não cabe a nós tomarmos providencias.
Eu não fechei o sistema. Tudo que foi usado na construção está lá no site. Fechei apenas os programas que eu desenvolvo. Leia sobre e licenses no site e vera. O sistema em si é opensource com os temas e códigos utilizados disponíveis no nosso site. O linuxfx foi criado usando temas Opensource. Apenas meus programas são pagos (programas que eu escrevo com muito utilizando muito do tempo e trabalho). Esses programas que eu escrevo que foram afetados nessa invasão. (Pacote wxdesktop.deb)
A maioria das pessoas apontam o dedo sem tentar ao menos entender o que aconteceu. Não estou aqui me defendendo até mesmo por que entendo que usuários de Linux são cegos defensores de que tudo deve ser de graça, por isso nosso foco são os usuários do Windows. O Linuxfx é um sistema operacional criado para usuários Windows.
Você não pode pegar um código licenciado sobre a GPL e criar um software propietário, o software tem que ser aberto e licenciado também sobre a GPL.
É uma falha máxima de segurança sim. 20.000 pesoas pagaram pelo sistema e tiveram seus dados comprometidos. Vocês podem ter consertado a falha e ocultado os dados, mas esses dados provavelmente já estão sendo vendidos por aí.
Além disso, vi relatos de que essa foi uma das respostas dadas por você sobre a vulnerabilidade:
“O sistema de ativação Linuxfx foi escrito de forma básica, pois na época não imaginávamos que teríamos tantos usuários e atrairia a atenção de hackers. As informações acessadas são apenas do registro do sistema, não afeta o uso do sistema em si, mas é uma dor de cabeça para nossa equipe de desenvolvimento no momento.”
Por favor responda-me sinceramente se você (ou outra pessoa da sua equipe) deu essa resposta de verdade ou se foi uma mentira inventada por alguém querendo simplesmente odiar o projeto.
Não esperava resposta diferente. E, de fato, esta não é minha casa, sou apenas um visitante, então arrumem-na como acharem melhor. É louvável o esforço por manterem seus sites como espaço construtivo e cooperativo, mas cuidado para não atribuírem a “ódio” o que está por trás de indignação e forte senso crítico.
No mais, quanto ao episódio em si, tivemos até agora pelo menos duas claras demonstrações de problemas sérios de proteção de dados por um lado, e negação da seriedade do problema e alegação de perseguição por outro. Espero que os demais colegas cheguem às devidas conclusões. Intés.
As pessoas que compram uma chave do Linuxfx fazem uma compra direto no PayPal ou no Stripe e recebem a chave por uma api deles. Eu apenas habilito essa chave no meu servidor. Os dados invadidos eram de uso interno meu. Não afeta o usuário do sistema. É difícil explicar algo quando as pessoas não querem entender.
Uma falha boba da minha parte? Sim. Já foi sanada? Sim. Gerou algum prejuízo para alguém no momento? Não.
Se falassem direto comigo eu poderia explicar sobre o que houve mas é mais fácil descer a lenha, dá mais ibope e engajamento. Não estou generalizando mas aqui mesmo nesse post existem vários “hackers” e “advogados” entendedores dando várias opiniões. Aí fica difícil.