什麼情況？開源編輯器 Atom 未經同意收集用戶數據？？？

• 2019 年 12 月 1 日
• 筆記

Atom 是 GitHub 專門為程式設計師推出的一個跨平台文本編輯器。昨日，有用戶給 Atom 提 issue 稱其未經同意收集用戶數據。

「首次啟動 Atom 時，它會在未經同意的情況下聯繫在 Amazon 伺服器上運行的 Microsoft/GitHub 進程，並將我的 IP 地址和時間戳泄露給製造商，把我使用 Atom 的事實（通過出站請求）傳輸給成千上萬的其他人和組織。」

這位名為 Jeffrey Paul 的用戶表示是在首次啟動 Atom 時遇到了該問題。他發現在自己的資訊已經被收集並發送出去之後，主應用程式窗口才打開是否連接伺服器的詢問對話框。而這一問題 100% 能夠復現，也就是說並非偶然事故。

Paul 指出，用戶的 IP 地址以及跟蹤/遙測/分析/自動更新目標主機 IP 等資訊都在首次啟動時被傳輸出去，前兩個數據中還包括時間戳。「該元組（用戶源 IP，atom.io 目標 ip，TCP 埠，TLS SNI 主機名，時間戳記）從用戶電腦發送時，其使用情況資訊就會泄漏給成千上萬的不同人：ISP，託管提供商，網路交換，情報服務者，Microsoft 內部系統管理員，GitHub 系統管理員和 Amazon 網路管理員。用戶根本沒有機會選擇退出，或是阻止它，甚至沒有意識到它的發生。」

為此，Paul 感到氣憤，並依照「間諜軟體」的定義——間諜軟體是一種軟體，有時甚至在其不知情的情況下收集有關個人或組織的資訊，並在未經用戶同意的情況下將此類資訊發送給另一個實體——將 Atom 歸為間諜軟體。

他還提到，這種情況的出現意味著 PR #12281 上的工作尚未完成。這是 2016 年 Atom 團隊提出的「添加遙測同意設置」，該設置用於確定是否收集用戶的使用資訊。而目前，根據 Paul 的描述，甚至沒有出現同意對話框，數據就已經被上傳了。

Atom 團隊的 Arcanemagus 隨後在下方回復，表示「Atom 設計為在連接網路的環境中運行，可以執行諸如檢查更新之類的操作而不會提示用戶……您當然可以自由地阻止網路訪問，並且如果您願意，Atom 也可以在離線模式下運行。」

但顯然，這一說法不夠有說服力，Paul 提出反擊：「沒有人說它不應該使用網路，它只是在用戶授予其許可權之前不應該使用網路，否則會造成數據泄漏，這就是同意對話框存在的意義。」

Arcanemagus 仍然認為阻止網路訪問即可，還說，「這不是 Atom 團隊當前有興趣更改的東西」。

來自 Atom 團隊的 Lee Dohm 發表了最終回應，承認遙測程式包不應該在單擊按鈕之前發送資訊，並將調查它與 central.github.com 的過早連接。但另一方面，他堅持 Atom 的設計模式如此，剩下的部分，特別是自動更新檢查，仍保留當前的設計方式。以及，再次表明，「如果您想要一個可以完全離線工作且沒有任何網路連接的編輯器，則 Atom 不適合您。」

此外，經過復現實驗，Paul 還提出了另一個 issue，他發現即便明確拒絕同意並退出遙測，遙測資訊還是會被發送。這一情況的復現率也為 100%。

在 2016 年那條添加遙測同意設置的 PR 下，又有網友展開了新的討論。其中一名用戶說道，「按目前的情況，這可能違反了 GDPR（General Data Protection Regulation，一般數據保護條例）。」