自今年年初被各家媒體曝光後,科技初創公司Clearview AI就一直備受爭議。
據雷鋒網(公眾號:雷鋒網)此前報道,該家公司擁有龐大的面部識別數據庫,其中包括從網站和社交媒體平臺上抓取的30億張圖像。用戶上傳感興趣人的照片,該軟件可通過數據庫中相似圖像進行匹配,以確認上傳照片中人的身份。
消息一出,Facebook、Google等科技公司紛紛要求終止第三方協議。甚至,伊利諾伊州和弗吉尼亞州也提起訴訟,要求暫停該程序。
而最近,該程序存在的源代碼洩露造成的安全漏洞,更讓不少媒體擔憂起來。TechCrunch報道中,網絡安全公司SpiderSilk首席安全官Mossab Hussein發現了Clearview AI一個暴露的服務器,儘管該服務庫受密碼保護,但該服務器被配置為允許任何人註冊為新用戶以等登陸存儲源代碼的服務器。
此外,該服務器還存儲了公司的一些秘密密鑰和憑證,可授權對Clearview AI雲存儲的訪問權限,從而可訪問Windows、Mac、Android和iOS系統副本。不久前,蘋果公司因其違反規則而阻止了該應用程序。根據 Hussein的說法,該還公開了Clearview的Slack令牌,如果使用該令牌,則可能允許無密碼訪問該公司的內部私人通訊。
由於服務器配置錯誤,導致面部識別公司Clearview源代碼公開
圖:Hussein說,Clearview AI的iOS應用程序不需要登錄。他拍攝了幾個屏幕截圖,以展示該應用程序的運行方式。示例中使用了馬克·扎克伯格的照片。
儘管Clearview AI聲稱它只允許執法部門使用該技術,但報告顯示,該公司吸引了梅西百貨、沃爾瑪、NBA等企業用戶。
Clearview AI創始人Hoan Ton-That表示,“公司多次經受住了外界網絡入侵挑戰,且一直在大力投資以增強安全性防護。”
據瞭解,Hoan Ton-That與HackerOne建立了一個漏洞賞金計劃,通過該漏洞獎勵安全研究人員發現Clearview AI的漏洞。此前被曝光的這個漏洞並未暴露任何個人身份信息、搜索歷史或生物識別信息。
不過,Hussein描述了另外一幅畫面:他從該公司的雲存儲中發現了大約7萬個視頻,這些視頻是從一棟住宅樓中安裝的攝像頭拍攝的。他曾向Clearview AI說明過此事,但拒絕接受懸賞,在他看來,如果簽署該懸賞,將禁止被公開披露安全漏洞。
對此,Hoan Ton-That解釋,這些鏡頭是在大樓管理人員許可下捕獲的,嚴格處於調試目的,收集了一些原始視頻,這是製作安全攝像機原型的一部分。
據報道該建築物本身位於曼哈頓,一些帶有建築物大廳的土地清單也證實了這一點。不過,負責該建築物的房產公司代表並未對此予以回覆。
Clearview AI表示,未公開任何可識別個人身份的信息,搜索歷史或生物識別信息並補充說公司已對服務器進行了全面的審核,以確認未發生其他未經授權的訪問。服務器公開的密鑰也已更改,因此它們不再起作用。
多年以來,數據洩露的威脅、數據保護的責任以及其對企業和科技產業發展的影響正得到更多人的關注。
2016年4月,歐盟GDPR獲得批准,並於2018年5月正式實施。該法規提出的最低要求包括:數據保護責任;數據主體的同意;數據訪問權以及數據洩密機制等。
實際上,我們早就應該考慮如何管理公共數據安全問題。首先,企業需要讓用戶更清楚地瞭解何時可抓取並使用這些數據;同時,還需要充分發揮法律的力量,為用戶提供新的保護措施,以防止接下來企業還會啟用同樣的手段。
直到目前,Clearview AI仍是有富有爭議的話題。而本週早些時候消息稱,黑客已經捕獲了Clearview AI的客戶列表。殊不知,安全問題正持續引發除了用戶之外的更多人關注。
閱讀更多 阿里云云棲號 的文章
