作者 | 捞面
上周,安全研究人员Victor Gevers在推特发文指,一家名为“SenseNets”的中国公司,有一个存有超过200万人身份及位置信息的数据库有信息泄露风险,因为该数据库没有设置加密措施,任何人均可查看。
由Gevers推特的截图可知,SenseNets即是深圳市深网视界科技有限公司(下简称“深网视界”),它是一家位于深圳的AI及安防企业。NGOCN从“深网视界”的公众号得知,该公司合作方包括公安部门、银行、医院,产品则包括人脸识别系统、人群分析系统、目标行人追踪系统。
“深网视界”官网产品介绍页面截图
被披露存在信息泄露风险的数据库,是由“深网视界”建立的,其中的个人信息包括有人脸信息和位置信息,据Gevers判断,该数据库现已设防火墙。NGOCN致电“深网视界”时,接听的工作人员称不接受任何采访。
此外,Gevers告诉NGOCN,中国还有很多数据库处于未加密状态。
Gevers的推特配图,因涉及到数据库中的个人信息,马赛克为NGOCN所加
200万条人脸信息的数据库 任何人都能随意访问
安全研究人员Gevers是一家位于荷兰的非营利组织GDI基金会的成员,该组织的工作主要是对互联网犯罪风险进行监测与分析。上述数据库的发现正来自Gevers与同事对互联网上数据库的扫描。
Gevers告诉NGOCN,当时该数据库处于完全开放状态。他曾对其进行访问,数据库中存储了2565724名用户的个人相关信息,包括身份证号码、雇主身份、行踪信息、人脸识别图片等,并且这个数据库的数据还在持续更新。根据Gecers的推特,该数据库曾在24小时内就更新了超过600万个地理位置数据。
根据Gevers的推断,这些数据来源于“tracks(追踪器)”,可能包括固定监控摄像头及手持摄像设备。
他还表示,该系统的数据库没有加密措施,意味着来自任何地方的互联网用户都可以查看数据库内容,而且无需登陆或拥有权限。如果这一数据库被黑客发现,里面的个人信息将可以被随意获取。
近年来,有不少黑客团体把目标瞄准这些未加密的数据库,进而对数据库所有方进行勒索或把获取的数据出售。技术网站BleepingComputer在2017年1月就曾报道,12个黑客团体在数周内就劫持了至少28000个数据库,他们要求受害者以比特币支付赎金后才肯归还数据。
黑客团体向数据库所有者进行勒索,要求受害者支付赎金,图片来源:Gevers推特
此外,Gevers和同事在2018年7月曾把数据库的风险报告传送给深网视界,但他对NGOCN表示,至今仍没有收到来自该公司的回复。
2月14日,Gevers更新推特指出,存在风险的深网视界数据库已有防火墙进行保护。NGOCN同时发现,深网视界的官方网站“www.sensenets.com”已无法打开(注:截至发稿前,该网站可通过代理进行访问)。
NGOCN今天拨通了“深网视界”的联系电话,接听电话的工作人员表示,“深网视界”公司拒绝任何采访。
本次被指数据库不加密的公司 合作方有公安、银行和医院
NGOCN在“深网视界”官网发现,该公司的重要合作方有多省的公安部门、兰州银行,以及上海第十人民医院。“深网视界”提供的服务包括人脸识别技术和人证核验系统等。
据其官网展示,连云港公安局与“深网视界”合作成立了“人脸识别技术联合实验室”,该公司还承建了连云港全市的人脸识别实战系统,包括人脸动态布控告警、重点区域人群分析防控应用等;该公司还为兰州银行建设了VIP客户人脸识别系统。此外,“深网视界”的技术还会应用于处理群体性事件,在某著名群体性事件中,有关部门曾利用该公司的人脸识别系统对带头人员进行识别以进行后续处置。
”深网视界“的案例页面截图
NGOCN透过天眼查获知,深网视界的大股东是上市公司东方网力。公开信息显示,深网视界公司总经理及法定代表人万定锐同时也是东方网力的副总裁。而东方网力则是一家主营视频监控技术的大企业。
NGOCN今天致电东方网力北京总部,其总机提供的分机号码多次拨打后仍无人接听。
不安全的数据库在中国还有很多
近两年来,人脸识别技术正在中国高速普及。
日常有支付功能的手机应用,如支付宝、微信、手机银行等,都会以交易安全为名要求用户进行人脸信息认证;深圳已经上线“刷脸”执法——对外卖、快递等行业人员建立数据库,当他们闯红灯时,带有人脸识别功能的电子警察会进行信息匹配和查处。
还有刷脸进小区、手机人脸识别解锁、人脸识别才能住酒店,从政府部门到商业公司,现在都在不断地收集公民的人脸信息。
政府也在推动着人脸识别技术的发展。2017年底,工业与信息化部印发了《促进新一代人工智能产业发展三年行动计划(2018-2020)》,视频图像身份识别系统作为八个要培育的智能产品之一被列入文件。文件要求,“到2020年,复杂动态场景下人脸识别有效检出率超过97%,正确识别率超过90%”。
Gevers对此人脸识别技术的应用现状表示了担忧。他认为,人脸识别技术并不可靠,目前来说,没有人能够摆脱人脸数据泄露的风险,因此他认为继续在中国或任何其它地方大规模应用人脸识别技术都是不明智的。他希望有更好更安全的技术来为人类服务,而不是让人类成为自己未能控制的机器的傀儡。
Gevers告诉NGOCN,如同这次的”深网视界“,未进行加密完全处于开放状态的数据库在中国还有很多。
Gevers公布的另一个来自内蒙古的未加密数据库信息,图片来源:Gevers推特
他昨天还在推特上发文称,位于中国的一个“交通监控系统”数据库,同样存在上述的信息泄露风险。该系统在二月的头十七天追踪了8600万个物体,在一月这个数字则是3.68亿。
不过他目前不愿意透露该数据库的所有方,因为该公司在收到他的报告后已进行回复,并承诺会修复。
打赏一下,请吸猫官吃汤圆
扫码订阅NGOCN精选邮件
看到真实的世界
还可以添加小编微信:ngocn03,永不失联
