國內 AI 企業深網視界資料庫未加密,200 多萬條敏感個人資訊“裸奔”
荷蘭安全研究人員 Victor Gevers 近日發現一家中國面部識別公司的資料庫沒設密碼,完全暴露在網上,其中包含的數百萬人資訊可被隨意訪問。
image
據 Victor Gevers 稱,這家公司是國內 AI 公司 SenseNets,主要提供面部識別和人群分析服務,據 SenseNets 自稱,他們的技術可以跟蹤城市中的人群,並將人群根據某些特徵分類。
image
該未受密碼保護的資料庫包含了 250 多萬條記錄,資料資訊囊括了人們的身份證號、地址、生日以及 SenseNets 面部識別標記的位置(位置資訊甚至已經具體到了門牌號)。據悉,僅僅 24 小時的時間,就有超過 680 萬個地點被記錄在該資料庫中。
事件影響
Victor Gervers 稱 GDI Foundation 曾就此開放資料庫向 SenseNets 發出警告,但是 SenseNets 並沒有針對此給出迴應。
研究人員發現被記錄的地點包括警察局、酒店、旅遊景點、公園以及網咖等場所,其中暴露資料庫中的每個進行人臉識別的攝像頭都有一個單獨的名稱和一個與某個位置相關的 IP 地址。
由於任何人都可以檢視資料庫中的記錄,且可根據 SenseNets 的實時面部識別跟蹤某個人的之後動作,所以在一定程度上為入室盜竊犯罪以及進入建築物實施物理攻擊犯罪提供了便利。
除了位置資訊,資料庫中的敏感個人資訊也可被盜用,例如身份證號和地址。而且由於該資料庫可被完全訪問,心懷惡意者可隨意新增、刪除或更改資料庫中的資料,甚至安全研究員還發現曾經有人企圖持有此資料庫,用來勒索贖金。
SenseNets 是何方神聖?
SenseNets 究竟是何方神聖呢?筆者專門去天眼查查詢了這家公司,SenseNets 中文全稱為深圳市深網視界科技有限公司(以下簡稱深網視界),2015 年 09 月 09 日在深圳市市場監督管理局南山局登記成立。
深網視界曾是東方網力科技股份有限公司和商湯集團成立的一家合資公司,2018 年商湯科技退出。目前深網視界的投資方為東方網力科技股份有限公司和寧波梅山保稅港區深網投資管理合夥企業(有限合夥)。
天眼查顯示深網視界的經營範圍包括技術開發、技術轉讓、技術諮詢、技術服務、技術推廣;計算機系統服務;銷售軟體、安全技術防範產品;計算機系統整合、圖形影象識別和處理系統的設計;安防電子產品及其輔助裝置、智慧硬體電子產品、計算機軟硬體的技術開發與銷售;經營進出口業務。
截止目前為止,深網視界共經歷了兩輪融資,分別為 A 輪和 A+ 輪,其中 A 輪是由中南文化在 2016 年 12 月 7 日投資的,融資金額為 2000 萬人民幣,A+ 輪是東方網力在 2017 年 07 月 20 日投資的,融資金額未透露。
網友討論
2019 年 2 月 14 日,微博使用者“工程師日常”在微博釋出了關於深圳深網視界資料庫開放的訊息,引起了網友的討論,筆者截取了一些觀點。
網友 1:有資料,卻沒有保護資料的能力;
網友 2:這和 AI 也掛不上勾,主要還是怪常規系統漏洞,兩百多萬條涉及公司的資料被利用可不一般!
網友 3:我們談 AI 帶來的威脅,以為是 AI 演算法過於強大威脅到人。現在看來,AI 的威脅主要來自假模假式的 AI 公司拿了大資料以後晒在網上帶來的威脅。
網友 4:這鍋不應該 MongoDB 背,它只是預設不開身份驗證而已。而且類似做法的知名開源資料類專案多了,例如 Hadoop 之類的。
image
截止發稿時間,深網視界官網已經無法訪問了。針對深網視界這次的資料庫洩露事件,您有哪些看法?歡迎在下方留言評論。
(本文章轉載自infoq, 如有侵權, 請聯絡作者刪除)