Shenzhen'deki bir AI şirketinin yüz verileri sızdırıldı ve 2,56 milyondan fazla kullanıcının hassas bilgileri "çıplaktı"!
Yazar | Amber
Üretildi | AI Teknolojisi Ana Kampı (ID: rgznai100)
"Popüler iç giyim konusunda uzmanlaşmış şirket, pantolonu giymeyi unuttu ve çıplak koştu ..."Bu tür bir işlem ve bakım için yeterli olmadığı söylenmelidir, kavun yiyen insanların eğlencesi çoğu zaman ilgili birçok uygulayıcının öfkesini uyandırabilir.
süreçGeçtiğimiz gün, MongoDB veritabanını yıllarca izleyen tanınmış Hollandalı bir güvenlik araştırmacısı olan Victor Gevers, yeni "iz bırakan" kullanıcı verilerini keşfetti. Bu sefer parmağını Çinli bir güvenlik vizyonu şirketi olan SenseNets'e (Shenzhen Shenzhen Shen Net Vision Technology Co., Ltd., bundan sonra "Deep Net Vision" olarak anılacaktır).
Gevers, şirketin MongoDB yüz tanıma veritabanlarından birinin, güvenlik kimlik doğrulaması olmadan doğrudan kamuya açık ağda "çıplak" olduğunu, bunun herkes tarafından bulunabileceğini ve tam erişime izin verildiğini, yani kötü niyetli kişiler olduğunu belirten birkaç tweet yayınladı. Veritabanına istediğiniz zaman kayıt ekleyebilir veya silebilirsiniz. Başka bir deyişle, herkes bu kayıtları görüntüleyebilir ve bir kişinin davranışını izleyebilir.
Açığa çıkan veritabanının, 2,565,724 kullanıcının bilgilerini ve hızla büyüyen GPS konum kayıtlarını içerdiği bildirildi.
"Bu kullanıcı verileri yalnızca kullanıcı adlarını değil, aynı zamanda ad, kimlik numarası, kimlik verme tarihi, cinsiyet, uyruk, ev adresi, doğum tarihi, fotoğraf, çalışma birimi vb. Gibi çok ayrıntılı ve son derece hassas bilgileri de içerir.
Ek olarak, veriler ayrıca bir dizi "monitör" ve ilgili GPS konum kaydını içerir, her kameranın ayrı bir adı ve belirli bir konumla ilgili bir IP adresi vardır. "Şirketin web sitesine göre, bu monitörler videonun yakalanıp analiz edildiği bir kamu kamerasının konumu gibi görünüyor."
Örneğin, "otel", "polis", "İnternet kafe", "restoran" vb. "Monitör" gibi ilgili GPS konumlarının açıklamalarıdır. Son 24 saatte 6,7 milyon GPS konum verisi kaydedildi.
Açıklama: Açığa çıkan veritabanında bulunan bir GPS koordinat konumu
Veritabanının artık güvenlik duvarı tarafından "korunduğunu" söyledi. Hala Çin dışındaki trafik erişiminin engellendiğinden şüphelenmesine rağmen, en azından denizaşırı ülkeler (sunucular) artık verilere erişemiyor.
Şu anda Gevers, Temmuz ayından bu yana açık olan veritabanıyla ilgili olarak GDI Vakfı aracılığıyla şirkete bir uyarı yayınladı.
Yabancı medya CNET ve ZDNet olayı birbiri ardına haber vererek yerli netizenlerin yoğun ilgisini çekti:
@xiangli: Büyük bir halkla ilişkiler sepeti kurmadığınız sürece, hükümete ve VC'ye güvenen bu sözde "bilimsel araştırma tek boynuzlu atları", baksalar bile mühendislik yönüne bakmayacaklar ... Bu, "dev" külotları almaya cesaret eden yabancılar içindir. Meslektaşlarım hoşuna gitti.Gevers'ın işaret ettiği noktaları birleştirdiğimizde, belki de bu şirketi iki açıdan gözlemleyebiliriz: Biri, bilgisayarla görme ürünlerinin güvenlik alanındaki uygulama özellikleri, diğeri ise kendi iş BT sistemi yönetişiminin güvenlik kontrol kabiliyetidir.
Deep Web Vision kimdir?Deep Web Vision ile ilgili bilgileri anlamaya başladığımızda, beklenmedik bir şekilde şirket sayfasının ( açılamadığını keşfettik. Ayrıca, Eylül 2015'teki kuruluşundan bu yana, bu şirket hakkında çok az halka açık bilgi var:
Kamuya açık bilgilere göre, DeepNet Vision, Dongfang Netpower ve SenseTime tarafından ortaklaşa kurulan ve güvenlik alanında video analizine odaklanan bir şirkettir. Eylül 2015'te Shenzhen'de kurulan şirketin iş kapsamı, teknoloji geliştirme, teknoloji transferi, teknoloji danışmanlığı, teknoloji hizmetleri, teknoloji tanıtımı vb. Mayıs 2017'de SenseTime, hisselerinin% 35.83'üne sahip olarak 20 milyon yuan Shenzhen Net Vision için yatırım yaptı ve abone oldu ve ikinci en büyük hissedar oldu.
Ancak o zaman, Deep Web Vision'ın kamunun görüş alanında olağanüstü olmasa da, yatırım yaptığı iki şirket olan Dongfang Net Power ve SenseTime'dan bahsedilmesi gerektiğini keşfettik. Yiou'nun önceki raporlarına göre NetPix, SenseTime'ın arkasındaki Hong Kong Üniversitesi'nden Profesör Tang Xiaoou'nun ekibiyle her zaman yakın bir işbirliği ilişkisi sürdürdü.
Ancak olaydan hemen sonra, SenseTime kısa süre sonra Weibo netizenlerinin mesaj alanında şunları söyledi:
Ve "Günlük Ekonomi Haberleri" aracılığıyla,
SenseTime, Deep Web Vision'ın operasyon aşamasına katıldığında, esas olarak diğer tarafın ürün geliştirmesine, kendisine temel algoritmayı sağlamak için teknik personel göndererek katılmış, karşı tarafın sistem katmanı ve iş katmanıyla iletişime geçmemiştir.Net Power'ın Nisan 2018'de açıklanan 2017 yıllık finansal raporunda Deep Net Vision'ın faaliyet karı, net karı ve nakit akışının hepsinin negatif rakamlar gösterdiğini belirtmekte fayda var.
Peki, SenseTime'ın Deep Web Vision'dan ayrılmasının ana nedeni bu mu?
Net Power'ın bir video yönetim platformundan başlayan ve ağırlıklı olarak güvenlik hizmetleri ve video gözetim çözümleri sunan borsaya kote bir şirket olduğu bildirildi. SenseTime ile işbirliğine ek olarak, son iki yılda yapay zeka alanında çok miktarda fon ve enerji harcanmıştır.
Ocak 2016'da Dongfang Netpower (Suzhou) Intelligent Technology Co., Ltd. kuruldu, temel olarak akıllı şehirlerde teknoloji araştırma ve geliştirme, akıllı ulaşım ve Nesnelerin İnterneti üzerine odaklandı.Eylül 2016'da, akıllı evler yapmak için Beijing Wuling Intelligent Technology Co., Ltd. kuruldu. Robotların ve sosyal robotların araştırılması ve geliştirilmesi.
İşletme ve bakım potu mu?Yazar ayrıca Mart 2018'de Zhihu'dan gelen isimsiz bir mesajın Deep Web Vision'ın teknik bir değerlendirmesini verdiğini fark etti:
Anti-check resmi web sitesinin alan adının bulunduğu sunucu Alibaba Cloud'dur. Diğer şeylerin dışında en azından şirkette çok güçlü bir operasyon ve bakım yok. Teknolojiye yapılan yatırım konusunda biraz şüpheci. Şu anda bir şirkete baktığım boyutlardan biri bu ve öznel görüşüme ait.Anonim netizen'in görüşlerinin dayanıp dayanmadığına bakılmaksızın, şüphesiz bu olayda karşılaşılan sorunla çelişkiye işaret etti: Veritabanı işletim ve bakımının güvenliği.
Bilgisayar korsanları, veritabanını hedeflemek için genellikle Web güvenlik açıklarını, sunucu güvenlik açıklarını, yapılandırma hatalarını ve diğer teknik araçları ve hatta kimlik avı yöntemlerini kullanır.
Veriler bir kez sızdırıldığında, mali hesap dolandırıcılığı ve kullanıcı bilgisi ticaretinin derhal gelebileceği ve bunun da kamu çıkarlarına ciddi şekilde zarar verebileceği anlaşılmalıdır. Bazı netizenler uyarıyor:
@AB_Clampju: Bu tür bir bilgi sızıntısı ilk defa değil Geçmişte buna dikkat ettiniz mi? bir şey değil.Saf operasyon ve bakım köpekleri de "adaletsizliği çağırıyor":
@ 027: MongoDB suçlanamaz, değil mi? Yalnızca varsayılan olarak kimlik doğrulamasını açmaz. Hadoop gibi benzer uygulamalara sahip birçok tanınmış açık kaynak veri projesi vardır. @G D: Bu tür düşük seviyeli bir hata genellikle kötü proje yönetimi ve dikkatsizlik nedeniyle yapılır. "Operasyon ve bakım köpeğimizi kimi kışkırttı? Her gün potu taşıyacak kadar yoruldu ve bizi azarlıyorlar, günler geçmedi ..."Ancak olaydan sonra ilgili taraf Deep Web Vision bir yanıt vermedi.
Yazarın görüşüne göre, bunu açıklamak biraz zor olsa da, mevcut iç pazar durumuyla da çok tutarlıdır, çünkü Güvenlik sorunları, dışarıdan bilgisayar korsanlarının saldırılarından değil, daha çok kurum içinden gelir.Yaşmamış uyum sistemine dayalı yanlış işlemler güvenlik sorunlarına yol açar.
Yalnızca iki tür şirket vardır, biri saldırıya uğradığını bildikleri, diğeri ise ne zaman saldırıya uğradıklarını bilmedikleri. Tıpkı sigorta satın alırken olduğu gibi, "gerçek" bir hacker saldırısıyla karşılaşmazsanız, bu "sigortanın" değerini gerçekten hissedemeyebilirsiniz.
Güvenlik bir ürün ya da çözüm değil, genel bir mimari, bir risk kontrol sistemidir.İlk olarak, risk değerlendirmesi, risk konumlandırma ve ardından güvenlik mimarisi ve son olarak bunu başarmak için hangi güvenlik teknolojisi ve ürünleri kullanıldığını düşünün.
Yerli şirketlerin güvenlik konusunda net bir anlayışa sahip olmaması gibi, tüketicilerin gizlilik algısının da zamanın ve teknolojinin gelişmesiyle değişmesi gerekebilir.
Gizliliğimizi kim garanti edecek?Öyleyse, Çin'de mahremiyetimiz ne anlamda "güvenli"?
Amerika Birleşik Devletleri'nde geçen yıl Haziran ayında, Orlando Polis Departmanı test için Amazon'un Rekognition yüz tanıma teknolojisini kullandı. Bununla birlikte, medya tarafından kullanıcı gizliliğini ihlal ettiği için eleştirildi.
Olay meydana geldikten sonra yabancı medya ZDNet, Deep Web Vision'ın iş geçmişini işaret ederek şunları yazdı: "Bir anlamda, Deep Web Vision diğer satış ürünlerinden çok bir devlet sözleşmeli müteahhit gibi. Diğer şirketlerin özel şirketlerine. Aksi takdirde, hükümet birimlerinden kullanıcı kişisel bilgilerini ve kamera bilgilerini nasıl elde ettiğini açıklamak zor. "
Aslında Çin artık dünyadaki en çok güvenlik kamerasına sahip ülke ve güvenlik gözetimi alanında AI teknolojisini en aktif kullanan ülkelerden biri. Haziran 2017'de Wall Street Journal'da yayınlanan bir rapor, Çin'in halka açık yerlerde 170 milyon güvenlik kamerası bulunduğuna ve 2020 yılına kadar 450 milyonun daha kurulabileceğine işaret etti.
Basında birçok haber var, "Shenzhen, Jinan ve diğer yerlerde, yoldan geçen ve trafiğe uymayan yayalar yüz tanıma işlevine sahip bir kamera tarafından yakalanırsa, sahne pozlanacak ve büyük ekrana kaydırılacaktır." Yasaya göre yönetim mi yoksa vatandaşların mahremiyetinin ihlali mi?
Veri gizliliği ve hükümetin vatandaş kontrolü konusundaki ahlaki endişeleri hakkında hala çok az düşündüğümüzü itiraf etmeliyim.
Günümüzde yüz tanıma, Çin'de gittikçe daha yaygın bir şekilde kullanılmaktadır ve aynı zamanda yerli bilgisayar görüşünde nispeten büyük bir avantaj elde etmiştir. Ancak "yüz" ü teslim ettik, "yüzümüzün" güvenliğini kim garanti edecek?
Referans bağlantısı:
https://www.zdnet.com/article/chinese-company-leaves-muslim-tracking-facial-recognition-database-exposed-online/
(Bu makale, AI Technology Base Camp'ten orijinal bir makaledir, yeniden yazdırmak için lütfen WeChat 1092722531 ile iletişime geçin)
