備受爭議的面部識別創業公司Clearview AI的安全漏洞意味著其源代碼,一些秘密密鑰和雲存儲憑據,甚至其應用程序的副本都可以公開訪問。 TechCrunch報道說,
網絡安全公司SpiderSilk的首席安全官Mossab Hussein發現了Clearview AI一個暴露的服務器,他發現該服務器被配置為允許任何人註冊為新用戶並登錄。Clearview AI最早在1月份成為頭條新聞,當時《紐約時報》的一次曝光詳細介紹了其龐大的面部識別數據庫,其中包括從網站和社交媒體平臺上抓取的數十億張圖像。用戶上傳感興趣的人的照片,Clearview AI的軟件將嘗試將其與數據庫中任何相似的圖像進行匹配,從而有可能從單個圖像中揭示一個人的身份。
自從其作品公開以來,Clearview AI一直辯護說自己的軟件僅適用於執法機構。但是,有報道稱Clearview一直在向包括梅西百貨和百思買在內的私營企業銷售其系統。現在,此類不良的網絡安全做法可能會使此功能強大的工具落入公司客戶列表之外的不法之徒手中。
據TechCrunch稱,該服務器包含公司面部識別數據庫的源代碼,以及允許訪問其Windows,Mac,Android和iOS應用程序副本雲存儲的密鑰和憑據。Mossab Hussein因此能夠截取該公司iOS應用程序的屏幕截圖,蘋果公司最近因為違反其規則而阻止了該應用程序。Mossab Hussein還表示,他可以訪問該公司的Slack令牌,這可能允許訪問該公司的內部私人通訊。
Mossab Hussein還說,他從該公司的雲存儲中發現了大約7萬個視頻,這些視頻是從一棟住宅樓中安裝的攝像頭拍攝的。 Clearview AI的創始人Hoan Ton-That告訴TechCrunch,這些鏡頭是在大樓管理層許可下捕獲的,這是嘗試製作安全攝像機原型的一部分。據報道該建築物本身位於曼哈頓,但TechCrunch指出,負責該建築物的房地產公司未回覆置評請求。
針對網絡安全故障,,Clearview AI表示,未公開任何可識別個人身份的信息,搜索歷史或生物識別信息並補充說公司已對服務器進行了全面的審核,以確認未發生其他未經授權的訪問,這表明Mossab Hussein是唯一訪問配置錯誤服務器的人。服務器公開的密鑰也已更改,因此它們不再起作用。
上市後,Clearview AI的系統遭到了科技公司和美國當局的激烈批評。用於建立其數據庫的平臺(包括Facebook,Twitter和YouTube)已指示Clearview停止抓取圖像,已告知警察部門不要使用該軟件,佛蒙特州總檢察長辦公室最近針對該指控展開了調查。它可能違反了數據保護規則。
閱讀更多 cnBeta 的文章
