2 月 19 日,开源文件传输工具
cURL 原作者 Daniel Stenberg
(目前是 cURL 首席开发者)
发表博客称自己收到了死亡恐吓邮件,其主题为:“
I will slaughter you
(我会杀了你)
”。
图片来自 Daniel Stenberg 博客
据威胁者在发送给
Daniel
的第 2 封邮件中说,他/她
由于使用了
cURL
导致了安全问题,从而使其失去了重要项目及亲人朋友,因而将一切归咎于
cURL 这款工具
并对
Daniel
萌生恨意。
作为一名拥有二十多年开源项目维护经验的开发者,
Daniel
见识过各种激烈的争论及人身攻击,连他都调侃道“自己脸皮厚”,并不会轻易被那些负面言辞影响。但面对这封死亡威胁邮件,
Daniel
花了一分钟才意识到问题的严重性:
这是对他进行直接的人身威胁。
Daniel
在博客中写道,威胁者邮件名为 Al Nocai,总共发送了 4 封邮件,不过
Daniel
推测
Al Nocai
是虚构的名字,邮件帐户也应该是废弃的。
第一封邮件中并没有任何文字,仅有 7 张似乎是手机截图的图片,其中第一张图片明确显示了 curl 这款工具的源代码
(https://github.com/curl/curl/blob/master/include/curl/multi.h)
及版权信息,另外几张图片是其他源码和组件的相关构建/软件信息。
虽无法获知图片的关联,但邮件主题就已经引起
Daniel
的重视,因此他回复了这封邮件:
“
你的这封邮件严重伤害到了我,你应该反思你的行为并对此感到羞愧。另外,虽然我写的代码开源并且免费,但显然,你配不上它。
”
在
Daniel
回复威胁者后,Al Nocai 发来了第二封邮件,这次的内容是大段的文字。
这封邮件大体讲述了
威胁者
Al Nocai
对
Daniel
的恨意来源
:威胁者自称原本负责了一个价值数百万美元的国防项目,但因使用了
cURL
而产生了安全问题,从而导致其失去了该项目,同时也失去了家人、朋友以及这 6 年来为后代建设一个美好家园而付出的努力。而这所有的一切,罪魁祸首就是
curl
,
Daniel
也因此必须付出代价。
Daniel
收到来自威胁者的
第 3 封邮件,是他在博客发表有关这起死亡威胁事件的 9 小时后。
威胁者甚至还找到了一篇有关分析
Daniel
博文和评论的文章
(https://davidkrider.com/i-will-slaughter-you-daniel-haxx-se/)
。这篇文中谈到或许可以指望苹果、谷歌等大型企业将威胁者从云提供商移除并锁定其个人数据,进而缓和
Daniel
的死亡威胁。
但对此,
威胁者
表示“你吓不倒我。苹果的服务条款?去你的吧。”
第 4 封邮件,威胁者自称已经收到了来自 22 个独立地方执法机构的电
话,包括:
FBI FBI Regional, VA, VA OIG, FCC, SEC, NSA, DOH, GSA, DOI, CIA, CFPB, HUD, MS, Convercent
而威胁者还狂妄表示:“我才不管,你快报警吧,这样他们一打电话我就痛骂他们,让他们无话可说。”
另外,这封邮件还附带了一个 13 页的 PDF 文件,主题为“
NERVEBUS NERVOUS SYSTEM
”。据威胁者这封邮件的
第一段
介绍:
NERVEBUS NERVOUS SYSTEM 旨在成为一个通用工具平台,提供全面和复杂的分析,为终端用户提供关于其监测环境的有凝聚力、连贯并'
实时
'的信息。
不过这个文件中并没有提及
cURL
和
Daniel
的名字,并且由于对文档状态未知,
Daniel
没有选择公开文件,仅截取了首页图片。
目前,Daniel
已经向当地的瑞典警察报告了此起事件。
作为一款利用 URL 语法在命令行方式下工作的开源文件传输工具,
cURL
被广泛应用于 Unix、Linux 发行版中,还有 DOS、Win32 和 Win64 的移植版本,支持 FTP,FTPS,HTTP,HTTPS,GOPHER,TELNET,DICT,FILE 及 LDAP 等协议。
此外,
cURL
原作者、同时也是 IETF HTTPbis 工作组资深成员的 Daniel,自 2013 年至 2018 年在 Mozilla 工作,后于 2019 年 2 月加入 wolfSSL
(面向嵌入式系统开发人员的小型便携式可移植嵌入式 SSL/TLS 库)
,
并在 2017 年因为
cURL
的成就获得了
Polhem 奖
(该奖项颁给对瑞典科技发展做出重大贡献的瑞典人)
。
因此
