作者 | 琥珀
出品 | AI科技大本營(ID:rgznai100)
“專窺大眾底褲的公司忘記穿褲就裸奔了……”不得不說,對於這種運維不夠,吃瓜群眾來湊的熱鬧,往往能惹來不少相關從業者的憤慨。
事件經過
就在剛剛過去的一天裡,追蹤 MongoDB 數據庫多年的荷蘭著名安全研究員 Victor Gevers 又發現了新的“裸奔”用戶數據,這次他將矛頭指向了一家中國安防視覺領域的企業——SenseNets(深圳深網視界科技有限公司,下稱“深網視界”)。
Gevers 連發數條推文指出,該公司其中一個 MongoDB 人臉識別數據庫在沒有安全認證的情況下直接在公網“裸奔”,可供任何人查找,並允許完全訪問,這意味著惡意行為者可以隨意添加或刪除數據庫中的記錄。換言之,任何人都可以查看這些記錄並跟蹤一人的行為。
據悉,被暴露的數據庫包含有 2,565,724 名用戶的信息,以及仍在飛速增長的 GPS 位置記錄。
“這些用戶數據不僅包括用戶名,還有非常詳細且高度敏感的信息,如姓名、身份證號碼、身份證簽發日期、性別、國籍、家庭住址、出生日期、照片、工作單位等內容。”
此外,該數據還包含一系列“監控器”以及與之相關的 GPS 位置記錄,每個攝像頭都有一個單獨的名稱和一個與某個位置相關的 IP 地址。“根據該公司的網站,這些監控器似乎是公共攝像機的位置,通過該攝像機進行視頻拍攝和分析。”
如“酒店”、“警察”、“網吧”、“餐館”等,都是對“監控器”等相關 GPS 位置的描述。在過去的 24 小時內,已經有 670 萬 GPS 位置數據被記錄下來。
圖注:暴露的數據庫中發現的一處GPS座標位置
他表示,現在數據庫已通過防火牆“受到保護”。雖然他仍懷疑中國外的流量訪問得到了阻止,但至少海外(服務器)是無法再訪問到這些數據了。
目前,Gevers 已通過 GDI Foundation 向該公司對自 7 月開始開放的數據庫提出警告。
外媒CNET、ZDNet相繼報道了該起事件,並引起了國內網友們的強烈關注:
@xiangli:只要不捅大的公關簍子,這些靠忽悠政府和 VC 的所謂“科研獨角獸”們就不會往工程方向多看哪怕一眼……這裡要給敢於扒“巨人”底褲的國外同行們點贊。結合 Gevers 指出的幾點問題,或許我們可以從兩個方面來觀察這家公司:一是計算機視覺產品在安防領域的應用特徵,二是自身業務 IT 系統治理的安全管控能力。
深網視界是誰?
就在我們著手瞭解深網視界相關信息時,卻意外地發現其公司頁面(http://www.sensenets.com)已無法打開。而且,自 2015 年 9 月成立以來,有關這家的公開信息就十分寥寥:
據公開信息,深網視界是一家由東方網力和商湯科技聯合成立的,專注安防領域視頻分析的公司。於 2015 年 9 月在深圳成立,公司經營範圍包括技術開發、技術轉讓、技術諮詢、技術服務、技術推廣等。2017 年 5 月,商湯科技出資認購深網視界 2000 萬人民幣,持股 35.83%,成為第二大股東。
我們這才發現,儘管深網視界大眾的視野中並不出眾,但為其投資的兩家公司——東方網力與商湯科技卻不得不提。據億歐此前報道稱,東方網力曾一直與商湯科技背後的港中大湯曉鷗教授團隊保持著密切的合作關係。
不過,就在該起事件發生後,商湯科技很快在微博網友留言區表示:
並通過《每日經濟新聞》對外稱,
商湯科技在參與深網視界經營階段,主要通過派出技術人員為其提供底層算法的模式參與對方產品研發,未接觸對方的系統層和業務層。值得一提的是,在東方網力 2018 年 4 月公佈的 2017 年度財報中,深網視界的營業利潤、淨利潤、現金流均表現為負數。
那這又是否為商湯科技與深網視界分道揚鑣的主要原因呢?
據悉,東方網力是一家從視頻管理平臺起家,主要提供安防服務、視頻監控解決方案的上市公司。除了與商湯科技合作之外,近兩年在人工智能領域也耗費了不少資金和精力。
2016 年 1 月,成立東方網力(蘇州)智能科技有限公司,主要關注智慧城市、智慧交通、物聯網等方面的技術研發;2016 年 9 月,成立北京物靈智能科技有限公司,進行智能家庭機器人和社交機器人的研發。
運維的鍋?
筆者還注意到,知乎 2018 年 3 月的一則匿名留言從技術角度對深網視界做出了評價:
反查官網域名所在的服務器,是阿里雲的。別的不說,起碼公司內沒有一個很牛逼的運維。對技術的投入有點懷疑。這是我現在看一家公司的維度之一,屬於個人主觀意見。且不論這位匿名網友的觀點是否有依據,但他無疑將矛盾點指向了本次事件遇到的問題:數據庫運維的安全性。
黑客們往往會利用 Web 漏洞、服務器漏洞、配置錯誤等技術手段,甚至釣魚手段,目標直指數據庫。
要知道,數據一旦洩密,緊接著而來的可能就是金融賬號詐騙、用戶信息兜售,這嚴重損害了公眾利益。有網友就警告:
@AB_Clampju:這種信息洩漏不是第一次了,以往有重視過嗎?並沒有。而天真的運維狗們也紛紛“喊冤”:
@澤雲027:這不能怪 MongoDB 吧?它只是默認不開身份驗證而已。類似做法的知名開源數據類項目多了,比如 Hadoop 之類的。@G口口D:這種低級錯誤通常是項目管理低下、不經事,年輕攻城獅常犯的。“我們運維狗招惹誰了?天天背鍋已經夠累了,還罵我們,日子沒發過了……”然而,事件發生之後,相關方深網視界一直未給出回應。
在筆者看來,這儘管有些難以名狀,但也極為符合國內當前市場情況,因為安全問題的產生並非來自於外界黑客的攻擊,而是更多來自於企業內部,基於不成熟的合規體系而操作不當導致安全性問題。
只有兩類企業,一種是受到攻擊自己知道,一種是受到攻擊自己並不知道 。如同買保險一樣,如果沒有“實在地” 遇到黑客攻擊,可能無法真切地感受到這份“保險”的價值。
安全不是一個產品,也不是一個方案,而是一個整體的架構,一個風險控制體系,首先要做風險評估,風險定位,然後思考安全架構,最後才是用哪種安全技術和產品來實現。
正如國內企業對安全並未有完全清晰的認識,消費者對隱私的感知程度可能也需要隨著時代和科技的發展而改變。
誰來保證我們的隱私?
那麼,我們的隱私在中國是何種意義上的“安全”?
去年 6 月在美國,奧蘭多警察局使用亞馬遜的 Rekognition 的面部識別技術進行測試。儘管如此,還是被媒體批評為侵犯了用戶隱私。
該起案件發生後,外媒 ZDNet 就將矛頭指向了深網視界的業務背景,它寫道:“某種意義上來講,深網視界更像是一種政府合同承包商,而不是其他出售產品給其他企業的私企。否則,這很難解釋它是如何從政府單位獲取用戶個人信息和攝像頭信息的。”
實際上,中國現在是世界上監控攝像頭最多的國家,也是在安防監控領域使用 AI 技術最積極的國家之一。2017 年 6 月《華爾街日報》的一篇報道中指出,中國在公共場所有 1.7 億臺監控攝像機,到 2020 年可能還要安裝另外 4.5 億臺。
曾有不少媒體報道,“在深圳、濟南等地,如果橫穿馬路不遵守交通的行人,將會被安裝有人臉識別功能的攝像頭抓拍下來,現場大屏幕曝光、滾動播放。”這究竟是依法行政,還是侵犯公民隱私?
不得不承認,對數據隱私以及政府對公民管控存在的道德擔憂,我們思考得還是太少。
如今人臉識別正在中國得到越來越廣泛的應用,也成就了國內計算機視覺比較大的優勢局面。但是,我們把“臉”交出去了,誰來保證我們“臉”的安全?
參考鏈接:
https://www.zdnet.com/article/chinese-company-leaves-muslim-tracking-facial-recognition-database-exposed-online/
閱讀更多 AI科技大本營 的文章
