荷蘭安全研究人員 Victor Gevers 近日發現一家中國面部識別公司的數據庫沒設密碼,完全暴露在網上,其中包含的數百萬人信息可被隨意訪問。
據 Victor Gevers 稱,這家公司是國內AI公司SenseNets,主要提供面部識別和人羣分析服務,據SenseNets自稱,他們的技術可以跟蹤城市中的人羣,並將人羣根據某些特徵分類。
該未受密碼保護的數據庫包含了250多萬條記錄,數據信息囊括了人們的身份證號、地址、生日以及SenseNets面部識別標記的位置(位置信息甚至已經具體到了門牌號)。據悉,僅僅24小時的時間,就有超過680萬個地點被記錄在該數據庫中。
事件影響
Victor Gervers稱GDI Foundation 曾就此開放數據庫向SenseNets發出警告,但是SenseNets並沒有針對此給出迴應。
研究人員發現被記錄的地點包括警察局、酒店、旅遊景點、公園以及網吧等場所,其中暴露數據庫中的每個進行人臉識別的攝像頭都有一個單獨的名稱和一個與某個位置相關的IP地址。
由於任何人都可以查看數據庫中的記錄,且可根據SenseNets的實時面部識別跟蹤某個人的之後動作,所以在一定程度上爲入室盜竊犯罪以及進入建築物實施物理攻擊犯罪提供了便利。
除了位置信息,數據庫中的敏感個人信息也可被盜用,例如身份證號和地址。而且由於該數據庫可被完全訪問,心懷惡意者可隨意添加、刪除或更改數據庫中的數據,甚至安全研究員還發現曾經有人企圖持有此數據庫,用來勒索贖金。
SenseNets是何方神聖?
SenseNets究竟是何方神聖呢?筆者專門去天眼查查詢了這家公司,SenseNets中文全稱爲深圳市深網視界科技有限公司(以下簡稱深網視界),2015年09月09日在深圳市市場監督管理局南山局登記成立。
深網視界曾是東方網力科技股份有限公司和商湯集團成立的一家合資公司,2018年商湯科技退出。目前深網視界的投資方爲東方網力科技股份有限公司和寧波梅山保稅港區深網投資管理合夥企業(有限合夥)。
天眼查顯示深網視界的經營範圍包括技術開發、技術轉讓、技術諮詢、技術服務、技術推廣;計算機系統服務;銷售軟件、安全技術防範產品;計算機系統集成、圖形圖像識別和處理系統的設計;安防電子產品及其輔助設備、智能硬件電子產品、計算機軟硬件的技術開發與銷售;經營進出口業務。
截止目前爲止,深網視界共經歷了兩輪融資,分別爲A輪和A+輪,其中A輪是由中南文化在2016年12月7日投資的,融資金額爲2000萬人民幣,A+輪是東方網力在2017年07月20日投資的,融資金額未透露。
網友討論
2019年2月14日,微博用戶“工程師日常”在微博發佈了關於深圳深網視界數據庫開放的消息,引起了網友的討論,筆者截取了一些觀點。
網友1:有數據,卻沒有保護數據的能力;
網友2:這和AI也掛不上勾,主要還是怪常規系統漏洞,兩百多萬條涉及公司的數據被利用可不一般!
網友3:我們談AI帶來的威脅,以爲是AI算法過於強大威脅到人。現在看來,AI的威脅主要來自假模假式的AI公司拿了大數據以後曬在網上帶來的威脅。
網友4:這鍋不應該MongoDB背,它只是默認不開身份驗證而已。而且類似做法的知名開源數據類項目多了,例如Hadoop之類的。
截止發稿時間,深網視界官網已經無法訪問了。針對深網視界這次的數據庫泄露事件,您有哪些看法?歡迎在下方留言評論。