伺服器设定错误,脸部辨识技术公司 Clearview 不小心公开原始码-

伺服器设定错误,脸部辨识技术公司 Clearview 不小心公开原始码

阿里云服务器优惠

自今年初各家媒体曝光后,科技新创公司 Clearview AI 就一直备受争议。

Clearview AI 拥有庞大的脸部辨识资料库,包括从网站和社群媒体平台抓取的 30 亿张图像。用户上传感兴趣的人的照片,软体可透过资料库的相似图像进配,以确认上传照片中人的身分。

消息一出,Facebook、Google 等科技公司纷纷要求终止第三方协议。甚至,伊利诺伊州和维吉尼亚州也提起诉讼,要求暂停该程式。

最近程式原始码洩露造成的安全漏洞,更引发不少媒体担忧。TechCrunch 报导,网路安全公司 SpiderSilk 首席安全长 Mossab Hussein 发现 Clearview AI 一个暴露的伺服器,儘管受密码保护,但配置为允许任何人注册为新用户以登入储存原始码的伺服器。

此外,伺服器还储存公司一些密钥和凭证,可授权对 Clearview AI 云端储存的访问权限,进而可访问 Windows、Mac、Android 和 iOS 系统副本。不久前,苹果因违反规则阻止该应用程式。据 Hussein 的说法,还公开 Clearview 的 Slack 令牌,如果使用令牌,能允许无密码访问该公司的内部私人通讯。

▲ Hussein 说,Clearview AI 的 iOS 应用程式不需要登录。他拍了几张萤幕截图,以展示该应用程式的执行方式。範例使用马克‧祖克柏的照片。

儘管 Clearview AI 声称只允许执法部门使用此技术,但报告显示,吸引了梅西百货、沃尔玛、NBA 等企业用户。

Clearview AI 创始人 Hoan Ton-That 表示,「公司多次承受了外界网路入侵挑战,且一直在大力投资以增强安全性防护。」

据了解,Hoan Ton-That 与 HackerOne 建立了一个漏洞赏金计画,透过该漏洞奖励安全研究人员发现 Clearview AI 的漏洞。之前被曝光的这个漏洞并未暴露任何个人身分资讯、搜寻历史或生物辨识资讯。

不过,Hussein 描述了另外一幅画面:他从云端储存发现约 7 万支影片,这些影片是一栋住宅大楼安装的镜头拍摄的。他曾向 Clearview AI 说明此事,但拒绝接受悬赏,在他看来,如果签署该悬赏,将禁止公开披露安全漏洞。

Hoan Ton-That 解释,这些镜头是在大楼管理人员许可后设置的,严格限于调试目的,只收集一些原始影像,这是製作安全监视器原型的一部分。

据报导建筑物位于曼哈顿,一些有建筑物大厅的土地清单也证实这点。不过,负责建筑物的房地产公司代表并未回覆。

Clearview AI 表示,未公开任何可辨识个人身分的资讯、搜寻历史或生物辨识资讯,并补充说明公司已全面审核伺服器,以确认未发生其他未经授权的访问。伺服器公开的密钥也更改过,因此不再发挥作用。

多年以来,数据洩露的威胁、数据保护的责任及对企业和科技产业发展的影响,正受到更多人关注。

2016 年 4 月,欧盟 GDPR 获得批准,并于 2018 年 5 月正式实施。法规提出的最低要求包括:数据保护责任、数据主体的同意、数据访问权以及数据洩密机制等。

实际上,我们早就应该考虑如何管理公共数据安全问题。首先,企业需要让用户更清楚地了解何时可抓取并使用这些数据;同时,还需要充分发挥法律的力量,为用户提供新的保护措施,以防止接下来企业还会使用同样的手段。

直到目前,Clearview AI 仍是有富争议的话题。上週稍早有消息称,骇客已获得 Clearview AI 的客户清单。殊不知,安全问题正持续引发除用户外更多人关注。

  • Clearview AI’s source code and app data exposed in cybersecurity lapse
赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • potplayer
  • directx