Distribuições baseadas em Linux tendem a ser mais seguras que outros sistemas, por diversas razões, como atualizações constantes, apoio da comunidade no desenvolvimento, uma grande comunidade de usuários e por aí vai.
Mesmo sendo mais seguras, elas não estão imunes a problemas como vírus, ataques de hackers e vulnerabilidades. Quando estes problemas ocorrem são noticiados por diversos portais, devido a “raridade” destes acontecimentos.
No artigo de hoje, vamos falar um pouco sobre o caso LinuxFX, uma distribuição brasileira que sofreu problemas com o vazamento de dados de seus usuários, explicando o acontecido e refletindo sobre o posicionamento do mantenedor do projeto.
O projeto LinuxFX (ou WindowsFX)
Desenvolvido pelo brasileiro Rafael Rachid, o LinuxFX é um sistema operacional comercial que tenta entregar uma experiência idêntica aos sistemas da Microsoft, se apresentando como o sistema “ideal” para usuários que desejam migrar.
De acordo com site do projeto, ele conta com:
- Assistente pessoal chamada Helloa;
- Suporte a aplicações .exe;
- Compatibilidade com Dropbox e Onedrive;
- Suporte a aplicações Android;
- Interface amigável.
Para se parecer ainda mais com o ambiente da Microsoft, o sistema utiliza diversos aspectos visuais do projeto, como logos, ícones, nomes de aplicações e até mesmo licenças para autenticar recursos pagos para usuários do sistema.
Licenças pagas e a origem do problema
Tudo começou com o usuário Satya Nutella do blog Kernal, que identificou vulnerabilidades no software utilizado para a verificação das licenças do sistema.
Algum tempo depois, ele descobriu que o modo de ativação do sistema através do script LinuxFX-Register conecta o cliente (máquina em que o sistema está instalado) a um servidor MySQL remoto e sem muito esforço ele obteve a senha do banco de dados e acesso aos dados nele contidos.
Segundo informações do blog Kernal, o LinuxFX-register não implementa um recurso importante, que é uma API para realizar a ponte entre o cliente e o servidor, atuando como um ponto intermediário, que evitaria o acesso direto ao banco de dados.
Se você deseja saber mais sobre como ocorreu o vazamento de dados, recomendo que acesse o artigo original onde Nutella apresenta a forma como obteve acesso ao servidor de licenças.
A resolução (ou não) do problema
Pouco tempo após o post, o canal do YouTube DistroTube publicou um vídeo comentando sobre este vazamento e com a repercussão, Rachid tomou algumas providências, realizando uma atualização no sistema de licenças.
O que posso dizer é que esta solução não durou muito tempo, pois, em cerca de 3 dias Satya Nutella obteve novamente acesso ao banco de dados e como na vez anterior, documentou tudo em outro artigo.
O posicionamento de Rachid
Com o vazamento ocorrido, diversos membros da comunidade de usuários de distros Linux e do sistema, se preocuparam com a forma como Rachid, o principal desenvolvedor do projeto tratou a situação.
Embora as postagens de Kernal exponham a situação do sistema de forma dura, para os usuários da distro (que pagaram uma licença de uso), houve uma certa demora por parte do desenvolvedor em prestar esclarecimentos sobre o ocorrido.
A ação tomada inicialmente foi a revogação das credenciais do banco de dados e um patch de correção, que posteriormente também foi considerado vulnerável. Até o presente momento, não há informações sobre um novo patch para esta falha.
Piadinhas e teorias da conspiração?
Outra ação tomada pela equipe do LinuxFX foi a mudança do conteúdo das credenciais, que agora exibem informações falsas, além de textos que visam tirar sarro dos produtores de conteúdo do blog Kernal.
Além disso, em uma mensagem no Telegram que chegou a conclusão de que o canal DistroTube está perseguindo o sistema e apresentando informações indevidas. Apenas a título de informação, nós do Diolinux não estamos na lista de canais com os quais o autor entrou em contato.
Minha opinião sobre o assunto
Deixando o foco na notícia um pouco de lado e indo agora para minha opinião pessoal, considero o problema de vazamentos de dados muito sério e segundo o que foi reportado pela comunidade, acredito que a forma com a qual Rachid lidou com o problema poderia ser diferente.
Por se tratar de um produto com usuários pagantes, seria esperado a publicação de uma nota oficial no blog do sistema informando o vazamento do banco de dados ocorrido, onde o desenvolvedor explicaria os impactos do vazamento para os usuários e quais ações foram tomadas.
Problemas podem acontecer em qualquer projeto, porém, a forma como você lida com eles é o mais importante e durante essa crise, a forma como o desenvolvedor tratou este problema pode fazer com que vários usuários percam a confiança que tinham no sistema, além de gerar uma visão negativa do projeto para o resto do mundo.
Você utiliza o LinuxFX? Qual a sua opinião sobre este vazamento de dados?
Até o próximo artigo pinguim!
