國內AI企業深網視界資料庫未加密，200多萬條敏感個人資訊“裸奔”

荷蘭安全研究人員 Victor Gevers 近日發現一家中國面部識別公司的資料庫沒設密碼，完全暴露在網上，其中包含的數百萬人資訊可被隨意訪問。

據 Victor Gevers 稱，這家公司是國內AI公司SenseNets，主要提供面部識別和人群分析服務，據SenseNets自稱，他們的技術可以跟蹤城市中的人群，並將人群根據某些特徵分類。

該未受密碼保護的資料庫包含了250多萬條記錄，資料資訊囊括了人們的身份證號、地址、生日以及SenseNets面部識別標記的位置（位置資訊甚至已經具體到了門牌號）。據悉，僅僅24小時的時間，就有超過680萬個地點被記錄在該資料庫中。

事件影響

Victor Gervers稱GDI Foundation 曾就此開放資料庫向SenseNets發出警告，但是SenseNets並沒有針對此給出回應。

研究人員發現被記錄的地點包括警察局、酒店、旅遊景點、公園以及網咖等場所，其中暴露資料庫中的每個進行人臉識別的攝像頭都有一個單獨的名稱和一個與某個位置相關的IP地址。

由於任何人都可以檢視資料庫中的記錄，且可根據SenseNets的實時面部識別跟蹤某個人的之後動作，所以在一定程度上為入室盜竊犯罪以及進入建築物實施物理攻擊犯罪提供了便利。

除了位置資訊，資料庫中的敏感個人資訊也可被盜用，例如身份證號和地址。而且由於該資料庫可被完全訪問，心懷惡意者可隨意新增、刪除或更改資料庫中的資料，甚至安全研究員還發現曾經有人企圖持有此資料庫，用來勒索贖金。

SenseNets是何方神聖？

SenseNets究竟是何方神聖呢？筆者專門去天眼查查詢了這家公司，SenseNets中文全稱為深圳市深網視界科技有限公司（以下簡稱深網視界），2015年09月09日在深圳市市場監督管理局南山局登記成立。

深網視界曾是東方網力科技股份有限公司和商湯集團成立的一家合資公司，2018年商湯科技退出。目前深網視界的投資方為東方網力科技股份有限公司和寧波梅山保稅港區深網投資管理合夥企業（有限合夥）。

天眼查顯示深網視界的經營範圍包括技術開發、技術轉讓、技術諮詢、技術服務、技術推廣；計算機系統服務；銷售軟體、安全技術防範產品；計算機系統整合、圖形影像識別和處理系統的設計；安防電子產品及其輔助裝置、智慧硬體電子產品、計算機軟硬體的技術開發與銷售；經營進出口業務。

截止目前為止，深網視界共經歷了兩輪融資，分別為A輪和A+輪，其中A輪是由中南文化在2016年12月7日投資的，融資金額為2000萬人民幣，A+輪是東方網力在2017年07月20日投資的，融資金額未透露。

網友討論

2019年2月14日，微博使用者“工程師日常”在微博釋出了關於深圳深網視界資料庫開放的訊息，引起了網友的討論，筆者擷取了一些觀點。

網友1：有資料，卻沒有保護資料的能力；

網友2：這和AI也掛不上勾，主要還是怪常規系統漏洞，兩百多萬條涉及公司的資料被利用可不一般！

網友3：我們談AI帶來的威脅，以為是AI演算法過於強大威脅到人。現在看來，AI的威脅主要來自假模假式的AI公司拿了大資料以後曬在網上帶來的威脅。

網友4：這鍋不應該MongoDB背，它只是預設不開身份驗證而已。而且類似做法的知名開源資料類專案多了，例如Hadoop之類的。

截止發稿時間，深網視界官網已經無法訪問了。針對深網視界這次的資料庫洩露事件，您有哪些看法？歡迎在下方留言評論。

參考連結：https://www.cnet.com/news/chinese-facial-recognition-company-left-database-of-peoples-location-exposed/