Автор OpenSource библиотеки тайно ворует данные разработчиков, чтобы проверять, донатят они ему, или нет.
Вообще, скандалы с опенсорс-библиотеками бывают не так уж и редко. Разработчики делают что-то бесплатно, этот труд оказывается нужен тысячам людей, включая большие корпорации, а дальше возможны варианты. За последние пару лет ожидаемо было много политических заявлений и даже вредоносного кода по признаку страны, из которой запускается софт. Просто, стартуя с какой-то версии, какая-нибудь библиотека начинает делать что-то постороннее, помимо своей основной функциональности.
К чести комьюнити, такие вещи всегда очень жестко критикуют, даже если идеологические взгляды разработчика выглядят общепринятыми в той среде, где это комьюнити развивается.
Вот на днях новый такой скандал. Впервые в моей жизни в такую ситуацию попала библиотека, которую используем на работе — а именно Moq для .NET. Автор написал код, который спаунит новый системный процесс и командой git config --global user.email читает почту разработчика, а затем с помощью почти зашифрованной закрытой DLL-библиотеки, помещённой в поставку Moq, отправляет данные в сервис GitHub SponsorLink, чтобы проверить, платит ли разработчик донаты.
Конечно же, система безопасности на проде не даст никуда сходить этому коду и ничего плохого сделать. Но, помимо прода, рабочие проекты запускаются еще и на компьютерах разработчиков локально. Вот тут заложена настоящая опасность. Где запрос почты, там может быть следующим шагом что угодно другое — скачивание ваших интимных фото и передача вовне, чтение файла с паролями из папки браузера, поиск номера кредитки... Разумеется, всё во имя самых благих целей.
В общем, комьюнити порассуждало о том, что это критический подрыв доверия, хотя автор оправдывался как мог (как moq, хе-хе). Народ просто закидал его камнями, начал массово исключать Moq из своих зависимостей, ставить дизлайки, отправлять репорты. Вроде как это вынудило мейнтейнера откатить изменения.
Но на всякий случай Moq лучше не обновлять больше никогда и постепенно заменить на аналоги. Доверие — важнейший ресурс в опенсорсе.
#dev
🔒 NebulaEncrypt - Chrome Extension for Secure Local Encryption on the Web.
• Автор этого репозитория решил еще больше обезопасить свои сообщения в Telegram и закодил плагин для локального шифрования для Telegram Web.
• Идея такая, отправлять не явные сообщения, а локально зашифрованные и далее плагин на лету их расшифровывает непосредственно на клиенте. Тем самым, даже если сервер скомпрометируют, то там можно будет найти только ваши закодированные сообщения, которые зашифрованы локальным ключем.
• Плагин больше, как концепция, интересно было попробовать насколько это может быть удобно. Так то можно использовать не только в телеге, но и в других мессенджерах, главное написать адаптер.
➡https://github.com/dmitrymalakhov/NebulaEncrypt
#Privacy
#PRIVACY
Il Garante per la protezione dei dati personali ha ordinato all’INPS il pagamento di una sanzione pari a 300mila euro in relazione alle violazioni commesse nell’ambito dell’accertamento effettuato dall’istituto di previdenza per il “bonus Covid” ai politici muniti di partita Iva.
La motivazione: l’istituto ha effettuato incroci tra i dati dei parlamentari che hanno richiesto il bonus con quelli di altri soggetti che ricoprivano incarichi di natura politica, senza però aver prima determinato se a costoro spettasse o meno il bonus. Inoltre, l’INPS ha violato il principio di “minimizzazione dei dati”, per aver avviato i controlli volti al recupero dei bonus anche nei confronti di coloro che avevano richiesto il beneficio, senza averlo però percepito a causa dell’assenza dei requisiti previsti in tal senso.
👉@giurisprudentia
📖Scraping vs. Privacy
Daniel Solove and Woodrow Hartzog published the final version of their paper “The Great Scrape: The Clash Between Scraping and Privacy,” which offers important insights on the intersection of privacy and AI.
The paper explores the fundamental tension between scraping and privacy law. With the zealous pursuit and astronomical growth of AI, we are in the midst of what we call the “great scrape.” There must now be a great reconciliation".
#AI#Privacy
Australia's Privacy Chief Hits Brakes on Untamed AI Rollout
Australia's newly appointed Privacy Commissioner, Carly Kind, is urging caution regarding the rapid implementation of Artificial Intelligence technologies. While not opposed to AI, Kind emphasizes the need for robust safeguards before widespread adoption.
Kind expresses frustration with the tech industry's push for swift AI deployment, prioritizing speed over careful consideration of potential risks and ethical implications. She highlights the need for a measured approach, allowing time to understand the technology's nuances and establish appropriate regulations to prevent misuse.
Australia's cautious approach to AI deployment reflects growing global concerns about the responsible development and use of this powerful technology. As AI continues to evolve, ensuring its implementation aligns with ethical principles and safeguards privacy will be crucial.
#ResponsibleAI#Privacy
19 октября успешно прошел Евразийский конгресс по защите данных (EDPC 2023).
DPO крупных компаний рассказывали об опыте построения систем защиты персональных данных.
Тема актуальная, доклады чрезвычайно полезные.
#privacy#dataprotection