伺服器設定錯誤,臉部辨識技術公司 Clearview 不小心公開原始碼

21

轉載從: Tech News 科技新報

伺服器設定錯誤,臉部辨識技術公司 Clearview 不小心公開原始碼

自今年初各家媒體曝光後,科技新創公司 Clearview AI 就一直備受爭議。

Clearview AI 擁有龐大的臉部辨識資料庫,包括從網站和社群媒體平台抓取的 30 億張圖像。用戶上傳感興趣的人的照片,軟體可透過資料庫的相似圖像進配,以確認上傳照片中人的身分。

消息一出,Facebook、Google 等科技公司紛紛要求終止第三方協議。甚至,伊利諾伊州和維吉尼亞州也提起訴訟,要求暫停該程式。

最近程式原始碼洩露造成的安全漏洞,更引發不少媒體擔憂。TechCrunch 報導,網路安全公司 SpiderSilk 首席安全長 Mossab Hussein 發現 Clearview AI 一個暴露的伺服器,儘管受密碼保護,但配置為允許任何人註冊為新用戶以登入儲存原始碼的伺服器。

此外,伺服器還儲存公司一些密鑰和憑證,可授權對 Clearview AI 雲端儲存的訪問權限,進而可訪問 Windows、Mac、Android 和 iOS 系統副本。不久前,蘋果因違反規則阻止該應用程式。據 Hussein 的說法,還公開 Clearview 的 Slack 令牌,如果使用令牌,能允許無密碼訪問該公司的內部私人通訊。

伺服器設定錯誤,臉部辨識技術公司 Clearview 不小心公開原始碼

▲ Hussein 說,Clearview AI 的 iOS 應用程式不需要登錄。他拍了幾張螢幕截圖,以展示該應用程式的執行方式。範例使用馬克‧祖克柏的照片。(Source:TechCrunch

儘管 Clearview AI 聲稱只允許執法部門使用此技術,但報告顯示,吸引了梅西百貨、沃爾瑪、NBA 等企業用戶。

Clearview AI 創始人 Hoan Ton-That 表示,「公司多次承受了外界網路入侵挑戰,且一直在大力投資以增強安全性防護。」

據了解,Hoan Ton-That 與 HackerOne 建立了一個漏洞賞金計畫,透過該漏洞獎勵安全研究人員發現 Clearview AI 的漏洞。之前被曝光的這個漏洞並未暴露任何個人身分資訊、搜尋歷史或生物辨識資訊。

不過,Hussein 描述了另外一幅畫面:他從雲端儲存發現約 7 萬支影片,這些影片是一棟住宅大樓安裝的鏡頭拍攝的。他曾向 Clearview AI 說明此事,但拒絕接受懸賞,在他看來,如果簽署該懸賞,將禁止公開披露安全漏洞。

Hoan Ton-That 解釋,這些鏡頭是在大樓管理人員許可後設置的,嚴格限於調試目的,只收集一些原始影像,這是製作安全監視器原型的一部分。

據報導建築物位於曼哈頓,一些有建築物大廳的土地清單也證實這點。不過,負責建築物的房地產公司代表並未回覆。

Clearview AI 表示,未公開任何可辨識個人身分的資訊、搜尋歷史或生物辨識資訊,並補充說明公司已全面審核伺服器,以確認未發生其他未經授權的訪問。伺服器公開的密鑰也更改過,因此不再發揮作用。

多年以來,數據洩露的威脅、數據保護的責任及對企業和科技產業發展的影響,正受到更多人關注。

2016 年 4 月,歐盟 GDPR 獲得批准,並於 2018 年 5 月正式實施。法規提出的最低要求包括:數據保護責任、數據主體的同意、數據訪問權以及數據洩密機制等。

實際上,我們早就應該考慮如何管理公共數據安全問題。首先,企業需要讓用戶更清楚地了解何時可抓取並使用這些數據;同時,還需要充分發揮法律的力量,為用戶提供新的保護措施,以防止接下來企業還會使用同樣的手段。

直到目前,Clearview AI 仍是有富爭議的話題。上週稍早有消息稱,駭客已獲得 Clearview AI 的客戶清單。殊不知,安全問題正持續引發除用戶外更多人關注。

(本文由 雷鋒網 授權轉載;首圖來源:shutterstock)

延伸閱讀: