En Extracting Personal Information from Large Language Models Like GPT-2 un recordatorio de que todo lo que ponemos en internet puede ser leído por alguien y, en consecuencia, no podemos contar con que no se sabrá.

Se refiere al modelo GPT-2 que trata de generar párrafos de texto coherentes entrenando a una inteligencia artificial con datos obtenidos de internet.

We’ve trained a large-scale unsupervised language model which generates coherent paragraphs of text, …

Cuando se usan esas cantidades de datos es difícil validar todo lo que hay allí y, por lo tanto, a veces se utilizan datos que pueden tener información que algunas personas considerarían delicada.

These extracted examples include (public) personally identifiable information (names, phone numbers, and email addresses), IRC conversations, code, and 128-bit UUIDs. Our attack is possible even though each of the above sequences are included in just one document in the training data.

La privacidad dejó de existir hace algún tiempo y este estudio es una pieza más en la demostración. Podemos pensar en prohibir, censurar,… Pero siempre habrá alguien con capacidad de hacerlo y mostrarlo (como es el caso) o pasar desapercibido porque nadie pueda mirarlo.

Hacía mucho que no hablábamos de la seguridad (informática) de los coches. Hace algunas semanas leía Insecure wheels: Police turn to car data to destroy suspects’ alibis y me pareció interesante para comentarlo aquí.

En general, no somos muy conscientes de la falta de conocimiento sobre ello que tenemos ni tampoco de la falta de seguridad de los sisstemas de entretenimiento e información de los vehículos. Lo que el vehículo puede registrar, por ejemplo.

the relative lack of public awareness about and lack of security in vehicle infotainment systems

Esto se complica con las capacidades cada vez mayores, con mejores y más sensores, lo que todavía genera más información.

As automobiles become more automated, with self-parking and other “smart” features, they need more sophisticated sensors and computers, which means autos of the future will collect even more data, digital forensic and privacy experts say.

Todo ello puede, en un momento dado, ayudar a resolver un crimen. Pero también puede ayudar a cometerlo.

Just as the trove of data can be helpful for solving crimes, it can also be used to commit them

Y no parece haber (o no está muy claro) leyes que determinen los datos que el vehículo puede conservar. Ni lo que el fabricante hará con ellos.

No federal laws regulate what automakers can collect or do with the vast majority of our driving data.

No es raro tampoco adquirir un vehículo (o para el caso, cualquier dispositivo) y que contenga datos de sus ‘vidas anteriores’.

… each of the modules he bought had “owner’s home and work location, all saved Wi-Fi passwords, calendar entries from the phone, call lists and address books from paired phones, Netflix and other stored session cookies.”

De hecho, enviaron personas a los concesionarios para probar coches de segunda mano. Y en un porcentaje alto (hasta el 88%) encontraron datos personales de propietarios y usuarios anteriores.

While they were in the vehicles, they checked the infotainment systems to see whether there was any remnant personal information from previous owners. Eighty-eight percent of the shoppers found personal data left on the vehicles, such as home addresses or phone numbers.

¡Cuidado! ¿Sabrás borrar tus datos personales de tu vehículo cuando lo cambies? ¿Tiene algún mecanismo para evitar que alguien pueda ver, por ejemplo, tu agenda de contactos?

La proliferación del JavaScript en los clientes, pero también las aplicaciones móviles y, como no, la necesidad de separar la acción de la presentación ha hecho que prolifere el uso de APIs (interfaces de programación de aplicaciones) y es una cosa buena, ya lo decía Bill Joy the Sun Microsytems: ‘la gente más brillante no trabaja para ti’.

no matter who you are, most of the smartest people work for someone else

Así que si, además de tener APIs, las ponemos a disposición de otros es posible que les ayudemos y que nos ayuden. Pero claro, cualquier decisión que tomamos tiene consecuencias desde el punto de vista de la seguridad y de eso hablaba API Security Best Practices que nos recomienda cosas muy básicas, como utilizar https, autentificación, mecanimos de autorización y otras similares. Está bien recordar que en este contexto (a veces más restringido, porque hace falta autorización, o no es tan conocido como la web, o …) hace falta tener las mismas precauciones de seguridad que en cualquier otro proyecto.

Otro tutorial, esta vez sobre las ‘cookies’ en A practical, Complete Tutorial on HTTP cookies. Con ejemplos en Flask que es una tecnología cercana al Python que conozco poc y que, tal vez, debería explorar.

Incluye:

• Trabajar con cookies en el frontal y en el servidor.
• Seguridad y permisos de las cookies.
• Interacción entre cookies, AJAX y CORS.

Cuando maneja estas cosas en su día a día está bien refrescar y conocer lo que va habiendo (y cambiando). Cuando no, leer estos artículos es como una ‘gimnasia’ `para no despistarse si alguna vez lo llegamos a necesitar.

De vez en cuando alguien nos pone al día de los nuevos (y viejos) temas de seguridad web que tenemos que tener en cuenta. Son entradas que no hay que tomar como palabra de ley, porque siempre puede olvidarse algo o darle más importancia de la necesaria, pero nos sirven de recordatorio y para repasar.

En este caso hablamos de Web security knowledge you must understand it (Part I: HTTPS, TLS, SSL, CORS, CSP).

Interesante.