AI公司人脸数据泄露,百万用户敏感信息在“裸奔”!
时间:2019-10-16追踪 MongoDB 数据库多年的荷兰著名安全研究员 Victor Gevers 又发现了新的“裸奔”用户数据,这次他将矛头指向了一家中国安防视觉领域的企业——SenseNets(深圳深网视界科技有限公司,下称“深网视界”)。
Gevers 连发数条推文指出,该公司其中一个 MongoDB 人脸识别数据库在没有安全认证的情况下直接在公网“裸奔”,可供任何人查找,并允许完全访问,这意味着恶意行为者可以随意添加或删除数据库中的记录。换言之,任何人都可以查看这些记录并跟踪一人的行为。
据悉,被暴露的数据库包含有 2,565,724 名用户的信息,以及仍在飞速增长的 GPS 位置记录。
“这些用户数据不仅包括用户名,还有非常详细且高度敏感的信息,如姓名、身份证号码、身份证签发日期、性别、国籍、家庭住址、出生日期、照片、工作单位等内容。”
此外,该数据还包含一系列“监控器”以及与之相关的 GPS 位置记录,每个摄像头都有一个单独的名称和一个与某个位置相关的 IP 地址。“根据该公司的网站,这些监控器似乎是公共摄像机的位置,通过该摄像机进行视频拍摄和分析。”
如“酒店”、“警察”、“网吧”、“餐馆”等,都是对“监控器”等相关 GPS 位置的描述。在过去的 24 小时内,已经有 670 万 GPS 位置数据被记录下来。
他表示,现在数据库已通过防火墙“受到保护”。虽然他仍怀疑中国外的流量访问得到了阻止,但至少海外(服务器)是无法再访问到这些数据了。
目前,Gevers 已通过 GDI Foundation 向该公司对自 7 月开始开放的数据库提出警告。
外媒CNET、ZDNet相继报道了该起事件,并引起了国内网友们的强烈关注:
@xiangli:只要不捅大的公关篓子,这些靠忽悠政府和 VC 的所谓“科研独角兽”们就不会往工程方向多看哪怕一眼……这里要给敢于扒“巨人”底裤的国外同行们点赞。
结合 Gevers 指出的几点问题,或许我们可以从两个方面来观察这家公司:一是计算机视觉产品在安防领域的应用特征,二是自身业务 IT 系统治理的安全管控能力。
深网视界是谁?
就在我们着手了解深网视界相关信息时,却意外地发现其公司页面(http://www.sensenets.com)已无法打开。而且,自 2015 年 9 月成立以来,有关这家的公开信息就十分寥寥:
据公开信息,深网视界是一家由东方网力和商汤科技联合成立的,专注安防领域视频分析的公司。于 2015 年 9 月在深圳成立,公司经营范围包括技术开发、技术转让、技术咨询、技术服务、技术推广等。2017 年 5 月,商汤科技出资认购深网视界 2000 万人民币,持股 35.83%,成为第二大股东。
我们这才发现,尽管深网视界大众的视野中并不出众,但为其投资的两家公司——东方网力与商汤科技却不得不提。据亿欧此前报道称,东方网力曾一直与商汤科技背后的港中大汤晓鸥教授团队保持着密切的合作关系。
不过,就在该起事件发生后,商汤科技很快在微博网友留言区表示
“深圳深网视界科技有限公司目前与商汤科技无关联关系。商汤曾与东方网力合资成立深圳深网视界科技有限公司,但 2018 年商汤就已从深网视界撤资了。”
并通过《每日经济新闻》对外称,
商汤科技在参与深网视界经营阶段,主要通过派出技术人员为其提供底层算法的模式参与对方产品研发,未接触对方的系统层和业务层。
值得一提的是,在东方网力 2018 年 4 月公布的 2017 年度财报中,深网视界的营业利润、净利润、现金流均表现为负数。
那这又是否为商汤科技与深网视界分道扬镳的主要原因呢?
据悉,东方网力是一家从视频管理平台起家,主要提供安防服务、视频监控解决方案的上市公司。除了与商汤科技合作之外,近两年在人工智能领域也耗费了不少资金和精力。
2016 年 1 月,成立东方网力(苏州)智能科技有限公司,主要关注智慧城市、智慧交通、物联网等方面的技术研发;2016 年 9 月,成立北京物灵智能科技有限公司,进行智能家庭机器人和社交机器人的研发。
运维的锅?
笔者还注意到,知乎 2018 年 3 月的一则匿名留言从技术角度对深网视界做出了评价:
反查官网域名所在的服务器,是阿里云的。别的不说,起码公司内没有一个很牛逼的运维。对技术的投入有点怀疑。这是我现在看一家公司的维度之一,属于个人主观意见。
且不论这位匿名网友的观点是否有依据,但他无疑将矛盾点指向了本次事件遇到的问题:数据库运维的安全性。
黑客们往往会利用 Web 漏洞、服务器漏洞、配置错误等技术手段,甚至钓鱼手段,目标直指数据库。
要知道,数据一旦泄密,紧接着而来的可能就是金融账号诈骗、用户信息兜售,这严重损害了公众利益。
在笔者看来,这尽管有些难以名状,但也极为符合国内当前市场情况,因为安全问题的产生并非来自于外界黑客的攻击,而是更多来自于企业内部,基于不成熟的合规体系而操作不当导致安全性问题。
只有两类企业,一种是受到攻击自己知道,一种是受到攻击自己并不知道 。如同买保险一样,如果没有“实在地” 遇到黑客攻击,可能无法真切地感受到这份“保险”的价值。
安全不是一个产品,也不是一个方案,而是一个整体的架构,一个风险控制体系,首先要做风险评估,风险定位,然后思考安全架构,最后才是用哪种安全技术和产品来实现。
正如国内企业对安全并未有完全清晰的认识,消费者对隐私的感知程度可能也需要随着时代和科技的发展而改变。