cURL 原作者收到死亡恐吓邮件!
2 月 19 日,开源文件传输工具 cURL 原作者 Daniel Stenberg(目前是 cURL 首席开发者)发表博客称自己收到了死亡恐吓邮件,其主题为:“I will slaughter you(我会杀了你)”。
图片来自 Daniel Stenberg 博客
据威胁者在发送给 Daniel 的第 2 封邮件中说,他/她由于使用了 cURL 导致了安全问题,从而使其失去了重要项目及亲人朋友,因而将一切归咎于 cURL 这款工具并对 Daniel 萌生恨意。
作为一名拥有二十多年开源项目维护经验的开发者,Daniel 见识过各种激烈的争论及人身攻击,连他都调侃道“自己脸皮厚”,并不会轻易被那些负面言辞影响。但面对这封死亡威胁邮件, Daniel 花了一分钟才意识到问题的严重性:这是对他进行直接的人身威胁。
4 封来自威胁者的邮件
Daniel 在博客中写道,威胁者邮件名为 Al Nocai,总共发送了 4 封邮件,不过 Daniel 推测 Al Nocai 是虚构的名字,邮件帐户也应该是废弃的。
第 1 封
第一封邮件中并没有任何文字,仅有 7 张似乎是手机截图的图片,其中第一张图片明确显示了 curl 这款工具的源代码(https://github.com/curl/curl/blob/master/include/curl/multi.h)及版权信息,另外几张图片是其他源码和组件的相关构建/软件信息。
虽无法获知图片的关联,但邮件主题就已经引起 Daniel 的重视,因此他回复了这封邮件:“你的这封邮件严重伤害到了我,你应该反思你的行为并对此感到羞愧。另外,虽然我写的代码开源并且免费,但显然,你配不上它。”
第 2 封
在 Daniel 回复威胁者后,Al Nocai 发来了第二封邮件,这次的内容是大段的文字。
这封邮件大体讲述了威胁者 Al Nocai 对 Daniel 的恨意来源:威胁者自称原本负责了一个价值数百万美元的国防项目,但因使用了 cURL 而产生了安全问题,从而导致其失去了该项目,同时也失去了家人、朋友以及这 6 年来为后代建设一个美好家园而付出的努力。而这所有的一切,罪魁祸首就是 curl, Daniel 也因此必须付出代价。
第 3 封
Daniel 收到来自威胁者的第 3 封邮件,是他在博客发表有关这起死亡威胁事件的 9 小时后。
威胁者甚至还找到了一篇有关分析 Daniel 博文和评论的文章(https://davidkrider.com/i-will-slaughter-you-daniel-haxx-se/)。这篇文中谈到或许可以指望苹果、谷歌等大型企业将威胁者从云提供商移除并锁定其个人数据,进而缓和 Daniel 的死亡威胁。
但对此,威胁者表示“你吓不倒我。苹果的服务条款?去你的吧。”
第 4 封
第 4 封邮件,威胁者自称已经收到了来自 22 个独立地方执法机构的电话,包括:
FBI FBI Regional, VA, VA OIG, FCC, SEC, NSA, DOH, GSA, DOI, CIA, CFPB, HUD, MS, Convercent
而威胁者还狂妄表示:“我才不管,你快报警吧,这样他们一打电话我就痛骂他们,让他们无话可说。”
另外,这封邮件还附带了一个 13 页的 PDF 文件,主题为“NERVEBUS NERVOUS SYSTEM”。据威胁者这封邮件的第一段介绍:
NERVEBUS NERVOUS SYSTEM 旨在成为一个通用工具平台,提供全面和复杂的分析,为终端用户提供关于其监测环境的有凝聚力、连贯并'实时'的信息。
不过这个文件中并没有提及 cURL 和 Daniel 的名字,并且由于对文档状态未知,Daniel 没有选择公开文件,仅截取了首页图片。
目前,Daniel 已经向当地的瑞典警察报告了此起事件。
众人批判
作为一款利用 URL 语法在命令行方式下工作的开源文件传输工具,cURL 被广泛应用于 Unix、Linux 发行版中,还有 DOS、Win32 和 Win64 的移植版本,支持 FTP,FTPS,HTTP,HTTPS,GOPHER,TELNET,DICT,FILE 及 LDAP 等协议。
此外, cURL 原作者、同时也是 IETF HTTPbis 工作组资深成员的 Daniel,自 2013 年至 2018 年在 Mozilla 工作,后于 2019 年 2 月加入 wolfSSL(面向嵌入式系统开发人员的小型便携式可移植嵌入式 SSL/TLS 库),并在 2017 年因为 cURL 的成就获得了 Polhem 奖(该奖项颁给对瑞典科技发展做出重大贡献的瑞典人)。
因此 Daniel 的这篇博文一经发布,就引起了众多网友在下面留言讨论。
@Penguin Villa:他们如果指责是因为 cURL 而被利用,那他们才有更大的问题,应该去接受治疗。
@Rups:感谢你为 cURL 所做的一切,我希望这种事情不会再发生在你或任何其他 OSS 贡献者身上。🙂
同样,这起事件也在 Hacker News 上引发热议。
@Nextgrid:我不确定这个人是否真的负责了一个数百万美元的国防项目。但如果这是真的,那他失去这笔交易可能是件好事,因为我绝对不想让这种人管理这样一个项目。
@shin_lao:我们正在与一个患有精神疾病的人打交道,因为一切都不连贯,都是编造的。
对于以上这件事,你有什么看法吗?欢迎评论区留言。
参考链接:
https://daniel.haxx.se/blog/2021/02/19/i-will-slaughter-you/
https://news.ycombinator.com/item?id=26192025