過去兩年來中國政府大範圍地使用人臉辨識的機制,並且也真的在車站或是演唱會等人潮聚集的地方,因為人臉辨識系統的協助成功的捕獲了一些嫌犯。不過,如果這些人臉辨識的資料外洩了怎麼辦呢?而這可能不是妄想,根據荷蘭的安全研究人員表示,中國政府在新疆地區用來辨識穆斯林的人臉辨識資料庫有漏洞,而且披露了這個資料庫中監控了哪些資料。
中國的「天網」在不同的地區各有不同的科技公司來協助進行人臉辨識以及資料庫比對等等的技術。根據報導,名為SenseNets(深網視界)的這間公司,是幫助中國政府建立人臉辨識技術以及群眾臉孔分析的單位之一。而在前幾天,一名知名的資安研究員Victor Gevers(他以在過去幾年發現了MongoDB 資料庫管理系統漏洞而聞名),表示他發現了SenseNets的MongoDB 資料庫管理系統的漏洞,該資料庫並沒有密碼保護,一般人可以不經授權就檢視資料庫的內容。
Gevers表示,SenseNets的資料庫擁有2,565724 筆使用者的資料,包含GPS座標的位置資訊。其中不只是使用者名字、還有許多個人的敏感資料,包括身份相關資訊。Gevers表示,他看到的資料包括有名字、居民證ID、居民證註冊日期以及到期日期、性別、國籍、住址、生日資料、照片以及工作資料等等。
除此之外,更重要的應該是由於這間公司的系統還有連接到新疆地區的各個重要公共場所的監控系統以進行辨識,因此每個使用者除了基本資料之外,還有一連串的GPS座標,地點,記錄這個人到過哪些地方。
SenseNets(深網視界)這家公司的簡介是「將深度學習等前沿先進技術用於監控影片分析」,實際上就是提供臉部辨識以及人群分析技術,並提供公開資料庫可直接在線上進行尋找。舉個例子,穿過街道的人可能會被鏡頭拍到,這家公司可以通過鏡頭畫面分析出你是誰,而任何人都可以根據這家公司的面部識別來查看某人的位置記錄並進行跟蹤。
Gevers表示,從他所拿到的資料中來看,這些在資料庫中的位置都是侷限在新疆地區,而監控的「公共場所」的地點,包括有警察局,酒店,旅遊景點,公園,網吧和清真寺等。而且他表示這些可以看到的不光是舊的資料,而是「即時」的。光是他在檢視的時候,在過去的24小時之內,就有670萬筆的GPS資料被新增。
過去幾年中國政府對於新疆地區進行的監控新聞一直不斷,其中包括所謂的「再教育營」,以及強迫當地人在手機中安裝監控軟體,以便讓政府掌握行蹤。很多網友判斷這間公司是中國政府的承包商,幫助中國政府建立穆斯林的監控的科技承包商之一。否則你很難解釋為什麼SenseNets可以存取居民證ID資訊,以及從警局、政府單位取得監控畫面來進行人臉辨識資訊。
Gevers 在發現漏洞之後不久,回報了他的發現給這間公司,之後這間公司就阻擋了所有來自非中國的IP連線,但沒有做出任何的評論。而就當Gevers之後得知關於中國對新疆監控問題的相關資訊後,表示他現在後悔將這個漏洞回報給這間公司,感覺自己做了一樁錯事。
- 新聞來源:zdnet
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!