「数码荔枝」关于 Downie 事件始末的说明与回应

2024-03-12 14:49:58 +08:00
 1ychee

事情起末

V 站网友 @Pudddd 在 2024/03/11 发帖,讲述了他购买了正版 Downie ,并用所得激活码 & 邮箱 (1@1.com) 激活 Downie 后,通过软件内的反馈通道提交 issue ,却被 Downie 软件直接判定为盗版,并弹出了一长串内容很不合适的弹窗。

该内容不仅在 V2EX ,也在 Reddit 中引发了大量讨论。

作为 Downie 在中国地区的代理商,我们有必要做一个统一的说明和回应。

首先,无论如何,我代表开发商 Charlie Monroe Software ,以及数码荔枝,向 @Pudddd 以及被此事影响到的用户,诚挚道歉!

其次,帖子出来后,Reddit 原贴中的 @secpoc 用户直接对 Downie 4 进行逆向工程,并表示 Downie 内置了一个 blacklist —— 如果检测到用户使用了来自这个黑名单中的邮箱,将被直接弹窗。同时,软件内不包含任何对用户硬盘内文件进行随机移除的代码,也不包含任何可疑或非法的网络行为:

此时,大概可以猜到,用户 @Pudddd 激活所用邮箱 (1@1.com) 就在上述黑名单中。

接下来,出于谨慎,我们通过邮箱咨询开发商关于此弹窗内容的真实性以及背后的原因。开发商在今日凌晨 (2024/03/12 1:15 AM) 回复。截图如下:

对此弹窗解释的翻译,如下:

“我对这一说法进行了研究,它有一定程度的真实性。这是很久以前遗留下来的 (代码),当时我刚创办公司,不得不经常打击盗版。我完全忘了这一点。

以前,如果有用户在 Downie 盗版的反馈通道提交 issue ,且使用了虚假邮箱 (如,我收到过来自于诸如 f_k@f_k.com 的反馈),且内容非常粗鲁 (如,通过语言羞辱我等行为),那么我就会将那个邮箱加入黑名单,然后对应的用户就会收到这样的弹窗内容。

我知道弹窗内容看上去很吓人,但我保证:Downie 从未删除过用户的任何东西。这只是我尝试对 (自己判定为不友好用户) 的一种恐吓手段。我承认这不是最好的办法。尽管如此,我们从未访问或删除过任何文件。”

所以,能确定的是,在早期有盗版用户在软件内使用 1@1.com 对开发商进行不友好行为,导致开发商将这个特定邮箱加入黑名单。而用户 @Pudddd 在激活软件时,(可能) 出于对自己隐私的保护,恰好使用该邮箱进行软件激活,导致被误伤。(这也是为什么在数码荔枝与 Downie 合作的那么多年后,同样也第一次发现软件内竟然还有这种弹窗文案,可见出现的概率很低。)

开发商在邮件中继续表示:

”在下一次更新中,这个问题将被彻底删除。如前所述,这是多年前留下的问题 —— 我甚至都忘了这个问题的存在。很抱歉以这种方式出现了这个问题。不过,它将会被删除,而且它始终只是一条信息,没有删除过任何东西。“

随后,在半小时后的下一份邮件中,开发商表示自己已在推特上公开进行道歉,且在今天 (2024/03/12) 更新软件版本至 4.7.5 (4682),履行自己的承诺,移除了该弹窗的相关代码:

开发商在邮件中的道歉,翻译如下:

“我真的对此感到非常抱歉,如果时间能回溯,我一定不会在软件内添加这样的文案。它很愚蠢,也不成熟。如果你能在 V2EX 中也能 post 我的道歉链接,并进行解释,那么这会很有用。”

开发商的公开道歉声明如下: https://twitter.com/charlieMonroe/status/1767223124930482647

最后,在今天 (2024/03/12) 与开发商的往来邮件中,开发商表示如果能得到该用户的允许与联系方式,他会专门写一份道歉信给他 (目前数码荔枝已通过私聊向该用户转达开发商的想法,还在等待回复中):

这件事情的前后大致就是如此。

数码荔枝

数码荔枝负责 Downie 在中国的销售 / 推广 / 客服支持,也有义务处理并解释有关 Downie 的事务。在这个帖子中,我们尝试以最客观的方式去描述该事件,也尝试站在各方角度去理解当事人的心情。

  1. 我们能理解用户 @Pudddd 对看到这个弹窗提示的愤慨。(再次,我代表开发商 Charlie Monroe Software ,以及数码荔枝,向 @Pudddd 以及被此事影响到的用户,诚挚道歉!)

  2. 我们也能理解开发商对盗版用户的厌恶,但就此在早期撰写此弹窗文案,是非常不妥的。在昨天我们联系开发商的邮件中,也希望开发商采用更温和中性的措辞。建议措辞翻译为:“你可能运行的是 Downie 的盗版,我们将暂时停止为你提供技术支持,直到我们排除这种可能性。请联系我们并提供你当时购买的激活码、付款记录或其他信息。” 不过开发商更新了软件版本至 4.7.5 (4682),已移除了该弹窗的相关代码。

  3. 对于 Downie 较为简陋的盗版验证机制,我们自己也感到不解。我们会在之后与开发商继续沟通,看看是否能够改进盗版验证机制,避免未来出现 [购买了正版,却被鉴定为盗版] 的尴尬事情。

尾声

在本次事件中,因为在激活软件时随手输入的邮箱,正好存在于开发商的 blacklist 中,后续引发了一系列事情,这是任何人都想不到的。

我们在任何时候,都建议顾客在购买或者激活软件时,都使用常用的、同一个邮箱。经历过这个事情后,我们觉得这个建议更加重要了。

最后,我再次代表开发商 Charlie Monroe Software ,以及数码荔枝,向 @Pudddd 以及被此事影响到的用户,诚挚道歉!

37407 次点击
所在节点    macOS
213 条回复
CivAx
2024-03-12 16:24:32 +08:00
数码荔枝能主动处理确实值得点赞,不枉我多年的支持。
huaiyin
2024-03-12 16:27:26 +08:00
@ohiu 两个事情,不能混在一起。他能不能搞定其他版权方起诉是他的问题。他对他自己的软件反盗版是另外一个问题。错的是威胁用户。至于他这种行为是否双标又是另外一个问题了
acidsweet
2024-03-12 16:31:46 +08:00
关于 Downie 并不会真正删除电脑中的文件,这个如何保证呢?
1. 靠开发者说他没做?→ 谁去保证开发者的道德问题
2. 靠逆向工程验证? → 谁知道逆向工程里是否会有疏漏
3. 靠系统沙盒机制保证? → 你确定系统无安全漏洞可用么
------
我觉得作为分销商的处理已经非常不错了,但是:
1. 仅仅依靠逆向和一个有道德瑕疵的作者的自述就确定不会删除是欠妥的;
2. 问题的核心不是是否会删除,而是出现会删除的恐吓,这已经是作为一个服务软件的底线问题,任何珍视自己数据的人都应该远离这类软件
owen666
2024-03-12 16:34:37 +08:00
@SkywalkerJi 你没事圈我干嘛?我只是和大家说说什么情况 app 才能做到删你的文件。我根本没有对于这件事表达任何态度。你硬把我拉过来给你评理,是不是有毛病啊?你有什么资格非得让谁评理谁就得评理啊?
mnsw
2024-03-12 16:37:00 +08:00
经销商态度蛮好的,但是开发者最开始可不行
SkywalkerJi
2024-03-12 16:40:14 +08:00
@owen666 不是你自己在 17 楼回复我的吗?
shawnhuang
2024-03-12 16:40:34 +08:00
不是分销商的问题,这件事主要的问题还是在开发者身上。在 Twitter 上最开始有人指出这个问题的时候,开发者直接甩锅,指控用户是从非官方渠道下载的软件,直到有人截图了 binary 文件用 VSCode 打开,搜到了一模一样的文案,开发者才道歉的。这一点上面的 Twitter 链接点看来往上翻就能看到。开发者道歉的态度根本不诚恳。
nailuoGG
2024-03-12 16:42:45 +08:00
@SkywalkerJi

从上面逆向 Downie 给出的信息中,的确是有遍历匹配邮箱的过程,但是没有说明是将邮箱地址发送到远程服务器匹配,还是就在本地匹配,以确定输入的注册邮箱是否在邮箱 App 的列表里。

如果是远程匹配,这是一种不经用户允许直接收集隐私信息的行为,应该拒绝并谴责的,如果是本地匹配,看软件的处理方式是把匹配的结果当作一个标记还是怎么处理,这里我不了解细节..

另外,对于国内软件在这种情况下的问题,据我所知微信输入法、搜狗输入法等等也有一大帮人觉得好用,他们收集的可不仅仅是邮箱地址,而是输入的所有内容,并且已经实锤过会上传服务器。
zero47
2024-03-12 16:48:47 +08:00
感觉和网上的大 V 很相似,没钱的时候怼天怼地,红了之后赚到钱了又要回脸面了。
SkywalkerJi
2024-03-12 16:49:01 +08:00
@nailuoGG #68
我建议你看一下这两个输入法的用户协议,虽然流氓但是人家流氓之前还告知你了,不用就完了。
Downie 这个行为你猜得到?
owen666
2024-03-12 16:49:38 +08:00
@SkywalkerJi 我回复你的意思是反驳你说“拥有激活码的人使用的就一定是正版”的说法。我并没有对于其它事情表达我的观点。因此也没有义务被你叫来评理。
yuang
2024-03-12 16:49:42 +08:00
reddit 上面评论都是觉得开发者疯了,并表示将彻底卸载再也不用了
ohiu
2024-03-12 16:49:49 +08:00
@huaiyin 你太天真了,人早在 Infringement Acknowledgement 里把版权责任撇的一干二净了。这不仅是双标的问题,他几乎是在针对每个目标域名写爬虫模版支持。
miaomiao888
2024-03-12 16:54:45 +08:00
@SkywalkerJi 折腾一大圈终究还是无法证实“真的会删除文件”后又开始找各种其他刁钻角度非要认定这个作者就是坏?
真没必要!
sakisaki
2024-03-12 16:55:00 +08:00
不知道是否有水军洗地,这个帖子下面一片大气谦和,和其他帖子两个画风。甚至还有宣称处理妥当事件已成为正面宣传的...
gps949
2024-03-12 16:56:36 +08:00
有道歉总是好的。
但这个道歉有点被迫的感觉,要不是被实锤还不知道会被怎样推诿。
还有你发的这帖子也有点替作者洗的感觉——
“能确定的是,在早期有盗版用户在软件内使用 1@1.com 对开发商进行不友好行为”。
作者自己都没敢提 1@1.com (他举了个例子是 @f_k.com ,姑且不说他这例子感觉也很推诿)。很难想象有人能拿 @1.com 的邮箱对人进行不友好行为,不是吗?
SkywalkerJi
2024-03-12 16:58:15 +08:00
@owen666 #71
然而这个软件在购买时,只要求了激活码。
并没有说邮箱或者其他内容是正版判断的一部分。
如果说激活码可以转移所以不是充分条件,那邮箱一样能转移,这样正版认证就无上限了,下一步难道抓取机器码和 mac 地址?
SkywalkerJi
2024-03-12 17:00:30 +08:00
@miaomiao888 #74
我从头到尾都没说过这个软件会删文件。你可以自己翻回复。
1423
2024-03-12 17:02:53 +08:00
改写历史了这是
删掉了最重要的开发者嘴硬的过程
hexiaowu1993
2024-03-12 17:07:05 +08:00
先占个位置,
Downie 多年用户,也是在荔枝数码买的激活码,表示还是相信荔枝数码。
不过作为用户,收到这种弹窗确实会恐慌,因为软件有价,数据无价。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1022882

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX