マルウェアサイトに誘導する広告が貼られていたりするなど、管理がアレなことになっているSourceForgeですが、自身によるアカウント乗っ取りの話も出ているそうです。
Is SourceForge hijacking project accounts?
(SourceForegeがプロジェクトのアカウントを乗っ取る?)
Patdavid started the thread by talking about an abandoned account for The GIMP that SourceForge has apparently taken over:
Patdavidはスレッドで、GIMPのSourceForgeのアカウントが停止され、どうも乗っ取られたようだと話した。
乗っ取られたのはGIMP-WINというアカウントで、実際にSourceForge内の当該ページを見てみるとUser Reviewが過去は星5つが大半を占めていたのが、今は星1つが並んでいることがわかります。
下記は最近のGIMP-WINのレビューの一部。
The version here is not distributed by the developer, and is likely to contain malware.
ここにあるバージョンはデベロッパが配布しているものではない。しかもマルウェアを含んでる。
Malware/adware!!! Get the real GIMP software at gimp dot org!!
これはマルウェア/アドウェアだ!!! gimp.orgから本物のGIMPを落とすこと!
This is just a malware installer added by sourceforge to an old version of gimp.
これはSourceForgeによって古いバージョンのGIMPにマルウェアインストーラーが追加されたものだ。
といった感じで警笛する文面がずらりと並んでいます。
これがアカウント管理の問題で他者によって乗っ取られたとかならまだ良かったのですが、ポイントは最後の「SourceForgeによって」マルウェアが追加されたというところ。
流れ的には18ヶ月間更新がなかった為、SourceForgeによってアカウントが凍結され、GIMPのダウンロードはミラーサイトに移行された。ところがそのミラーサイトに置かれたGIMPにはアドウェアが混入されていた。ということのようです。
こちらはSourceForge側がその経緯を説明した文書。
GIMP-Win project wasn’t hijacked, just abandoned | SourceForge Community Blog
(GIMP-Winプロジェクトはハイジャックされたわけじゃない。アカウントが停止されただけだ)
ハイジャックしたわけじゃなく、正常なオペレーションとして活動してないアカウントを停止しただけだと主張しています。
でも、なんでそこにアドウェア入れるんだよ、という話になりますが。
現状ではアドウェア入りのパッケージは廃止され、正しいバイナリが配られているそうです。
[updated on 28-5-2015] Since yesterday, SourceForge Gimp-Win mirror downloads only the original software without any offers. We also invite the Gimp-Win developer to take back control of the project if that is his desire, while respectfully asking that he maintain any project updates or allow us to do so.
[2015/5/28更新] 昨日からSourceForge Gimp-Winのミラーダウンロードはオリジナルのバイナリだけを配布しています。停止していたGimp-Winの開発者のプロジェクト権限も、希望に沿って復帰しています。
戻したと言われても、一度こういった話が出ると怖くて試す気も起きないですが。
信用を落とすニュースが続いているSourceForgeですが、まだ過去のバイナリとかでここにしかないというソフトもあるのが悩ましいところです。
