최신 뉴스

伺服器設定錯誤,臉部辨識技術公司Clearview不小心公開原始碼

뉴스 미디어 2020-04-30


自今年初各家媒體曝光後,科技新創公司 Clearview AI 就一直備受爭議。

Clearview AI 擁有龐大的臉部辨識資料庫,包括從網站和社群媒體平台抓取的 30 億張圖像。用戶上傳感興趣的人的照片,軟體可透過資料庫的相似圖像進配,以確認上傳照片中人的身分。

消息一出,Facebook、Google 等科技公司紛紛要求終止第三方協議。甚至,伊利諾伊州和維吉尼亞州也提起訴訟,要求暫停該程式。

最近程式原始碼洩露造成的安全漏洞,更引發不少媒體擔憂。TechCrunch 報導,網路安全公司 SpiderSilk 首席安全長 Mossab Hussein 發現 Clearview AI 一個暴露的伺服器,儘管受密碼保護,但配置為允許任何人註冊為新用戶以登入儲存原始碼的伺服器。

此外,伺服器還儲存公司一些密鑰和憑證,可授權對 Clearview AI 雲端儲存的訪問權限,進而可訪問 Windows、Mac、Android 和 iOS 系統副本。不久前,蘋果因違反規則阻止該應用程式。據 Hussein 的說法,還公開 Clearview 的 Slack 令牌,如果使用令牌,能允許無密碼訪問該公司的內部私人通訊。

▲ Hussein 說,Clearview AI 的 iOS 應用程式不需要登錄。他拍了幾張螢幕截圖,以展示該應用程式的執行方式。範例使用馬克‧祖克柏的照片。(Source:TechCrunch

儘管 Clearview AI 聲稱只允許執法部門使用此技術,但報告顯示,吸引了梅西百貨、沃爾瑪、NBA 等企業用戶。

Clearview AI 創始人 Hoan Ton-That 表示,「公司多次承受了外界網路入侵挑戰,且一直在大力投資以增強安全性防護。」

據了解,Hoan Ton-That 與 HackerOne 建立了一個漏洞賞金計畫,透過該漏洞獎勵安全研究人員發現 Clearview AI 的漏洞。之前被曝光的這個漏洞並未暴露任何個人身分資訊、搜尋歷史或生物辨識資訊。

不過,Hussein 描述了另外一幅畫面:他從雲端儲存發現約 7 萬支影片,這些影片是一棟住宅大樓安裝的鏡頭拍攝的。他曾向 Clearview AI 說明此事,但拒絕接受懸賞,在他看來,如果簽署該懸賞,將禁止公開披露安全漏洞。

Hoan Ton-That 解釋,這些鏡頭是在大樓管理人員許可後設置的,嚴格限於調試目的,只收集一些原始影像,這是製作安全監視器原型的一部分。

據報導建築物位於曼哈頓,一些有建築物大廳的土地清單也證實這點。不過,負責建築物的房地產公司代表並未回覆。

Clearview AI 表示,未公開任何可辨識個人身分的資訊、搜尋歷史或生物辨識資訊,並補充說明公司已全面審核伺服器,以確認未發生其他未經授權的訪問。伺服器公開的密鑰也更改過,因此不再發揮作用。

多年以來,數據洩露的威脅、數據保護的責任及對企業和科技產業發展的影響,正受到更多人關注。

2016 年 4 月,歐盟 GDPR 獲得批准,並於 2018 年 5 月正式實施。法規提出的最低要求包括:數據保護責任、數據主體的同意、數據訪問權以及數據洩密機制等。

實際上,我們早就應該考慮如何管理公共數據安全問題。首先,企業需要讓用戶更清楚地了解何時可抓取並使用這些數據;同時,還需要充分發揮法律的力量,為用戶提供新的保護措施,以防止接下來企業還會使用同樣的手段。

直到目前,Clearview AI 仍是有富爭議的話題。上週稍早有消息稱,駭客已獲得 Clearview AI 的客戶清單。殊不知,安全問題正持續引發除用戶外更多人關注。

(本文由 雷鋒網 授權轉載;首圖來源:shutterstock)


出處:https://technews.tw/2020/04/21/clearview-ais-source-code-and-app-data-exposed-in-cybersecurity-lapse/

關注我們

NOTICE US