荷兰安全研究人员 Victor Gevers 近日发现一家中国面部识别公司的数据库没设密码,完全暴露在网上,其中包含的数百万人信息可被随意访问。
image
据 Victor Gevers 称,这家公司是国内 AI 公司 SenseNets,主要提供面部识别和人群分析服务,据 SenseNets 自称,他们的技术可以跟踪城市中的人群,并将人群根据某些特征分类。
image
该未受密码保护的数据库包含了 250 多万条记录,数据信息囊括了人们的身份证号、地址、生日以及 SenseNets 面部识别标记的位置(位置信息甚至已经具体到了门牌号)。据悉,仅仅 24 小时的时间,就有超过 680 万个地点被记录在该数据库中。
事件影响
Victor Gervers 称 GDI Foundation 曾就此开放数据库向 SenseNets 发出警告,但是 SenseNets 并没有针对此给出回应。
研究人员发现被记录的地点包括警察局、酒店、旅游景点、公园以及网吧等场所,其中暴露数据库中的每个进行人脸识别的摄像头都有一个单独的名称和一个与某个位置相关的 IP 地址。
由于任何人都可以查看数据库中的记录,且可根据 SenseNets 的实时面部识别跟踪某个人的之后动作,所以在一定程度上为入室盗窃犯罪以及进入建筑物实施物理攻击犯罪提供了便利。
除了位置信息,数据库中的敏感个人信息也可被盗用,例如身份证号和地址。而且由于该数据库可被完全访问,心怀恶意者可随意添加、删除或更改数据库中的数据,甚至安全研究员还发现曾经有人企图持有此数据库,用来勒索赎金。
SenseNets 是何方神圣?
SenseNets 究竟是何方神圣呢?笔者专门去天眼查查询了这家公司,SenseNets 中文全称为深圳市深网视界科技有限公司(以下简称深网视界),2015 年 09 月 09 日在深圳市市场监督管理局南山局登记成立。
深网视界曾是东方网力科技股份有限公司和商汤集团成立的一家合资公司,2018 年商汤科技退出。目前深网视界的投资方为东方网力科技股份有限公司和宁波梅山保税港区深网投资管理合伙企业(有限合伙)。
天眼查显示深网视界的经营范围包括技术开发、技术转让、技术咨询、技术服务、技术推广;计算机系统服务;销售软件、安全技术防范产品;计算机系统集成、图形图像识别和处理系统的设计;安防电子产品及其辅助设备、智能硬件电子产品、计算机软硬件的技术开发与销售;经营进出口业务。
截止目前为止,深网视界共经历了两轮融资,分别为 A 轮和 A+ 轮,其中 A 轮是由中南文化在 2016 年 12 月 7 日投资的,融资金额为 2000 万人民币,A+ 轮是东方网力在 2017 年 07 月 20 日投资的,融资金额未透露。
网友讨论
2019 年 2 月 14 日,微博用户“工程师日常”在微博发布了关于深圳深网视界数据库开放的消息,引起了网友的讨论,笔者截取了一些观点。
网友 1:有数据,却没有保护数据的能力;
网友 2:这和 AI 也挂不上勾,主要还是怪常规系统漏洞,两百多万条涉及公司的数据被利用可不一般!
网友 3:我们谈 AI 带来的威胁,以为是 AI 算法过于强大威胁到人。现在看来,AI 的威胁主要来自假模假式的 AI 公司拿了大数据以后晒在网上带来的威胁。
网友 4:这锅不应该 MongoDB 背,它只是默认不开身份验证而已。而且类似做法的知名开源数据类项目多了,例如 Hadoop 之类的。
image
截止发稿时间,深网视界官网已经无法访问了。针对深网视界这次的数据库泄露事件,您有哪些看法?欢迎在下方留言评论。
(本文章转载自infoq, 如有侵权, 请联系作者删除)
网友评论