深圳一AI公司人臉資料洩露，超256萬使用者敏感資訊在“裸奔”！

作者 | 琥珀

出品 | AI科技大本營（ID:rgznai100）

“專窺大眾底褲的公司忘記穿褲就裸奔了……”

不得不說，對於這種運維不夠，吃瓜群眾來湊的熱鬧，往往能惹來不少相關從業者的憤慨。

 

事件經過

就在剛剛過去的一天裡，追蹤 MongoDB 資料庫多年的荷蘭著名安全研究員 Victor Gevers 又發現了新的“裸奔”使用者資料，這次他將矛頭指向了一家中國安防視覺領域的企業——SenseNets（深圳深網視界科技有限公司，下稱“深網視界”）。

Gevers 連發數條推文指出，該公司其中一個 MongoDB 人臉識別資料庫在沒有安全認證的情況下直接在公網“裸奔”，可供任何人查詢，並允許完全訪問，這意味著惡意行為者可以隨意新增或刪除資料庫中的記錄。換言之，任何人都可以檢視這些記錄並跟蹤一人的行為。

據悉，被暴露的資料庫包含有 2,565,724 名使用者的資訊，以及仍在飛速增長的 GPS 位置記錄。

“這些使用者資料不僅包括使用者名稱，還有非常詳細且高度敏感的資訊，如姓名、身份證號碼、身份證簽發日期、性別、國籍、家庭住址、出生日期、照片、工作單位等內容。”

此外，該資料還包含一系列“監控器”以及與之相關的 GPS 位置記錄，每個攝像頭都有一個單獨的名稱和一個與某個位置相關的 IP 地址。“根據該公司的網站，這些監控器似乎是公共攝像機的位置，通過該攝像機進行視訊拍攝和分析。”

如“酒店”、“警察”、“網咖”、“餐館”等，都是對“監控器”等相關 GPS 位置的描述。在過去的 24 小時內，已經有 670 萬 GPS 位置資料被記錄下來。

圖注：暴露的資料庫中發現的一處GPS座標位置

他表示，現在資料庫已通過防火牆“受到保護”。雖然他仍懷疑中國外的流量訪問得到了阻止，但至少海外（伺服器）是無法再訪問到這些資料了。

目前，Gevers 已通過 GDI Foundation 向該公司對自 7 月開始開放的資料庫提出警告。

外媒CNET、ZDNet相繼報導了該起事件，並引起了國內網友們的強烈關注：

@xiangli：只要不捅大的公關簍子，這些靠忽悠政府和 VC 的所謂“科研獨角獸”們就不會往工程方向多看哪怕一眼……這裡要給敢於扒“巨人”底褲的國外同行們點贊。

結合 Gevers 指出的幾點問題，或許我們可以從兩個方面來觀察這家公司：一是計算機視覺產品在安防領域的應用特徵，二是自身業務 IT 系統治理的安全管控能力。

深網視界是誰？

就在我們著手瞭解深網視界相關資訊時，卻意外地發現其公司頁面（http://www.sensenets.com）已無法開啟。而且，自 2015 年 9 月成立以來，有關這家的公開資訊就十分寥寥：

據公開資訊，深網視界是一家由東方網力和商湯科技聯合成立的，專注安防領域視訊分析的公司。於 2015 年 9 月在深圳成立，公司經營範圍包括技術開發、技術轉讓、技術諮詢、技術服務、技術推廣等。2017 年 5 月，商湯科技出資認購深網視界 2000 萬人民幣，持股 35.83%，成為第二大股東。

我們這才發現，儘管深網視界大眾的視野中並不出眾，但為其投資的兩家公司——東方網力與商湯科技卻不得不提。據億歐此前報導稱，東方網力曾一直與商湯科技背後的港中大湯曉鷗教授團隊保持著密切的合作關係。

不過，就在該起事件發生後，商湯科技很快在微博網友留言區表示：

“深圳深網視界科技有限公司目前與商湯科技無關聯關係。商湯曾與東方網力合資成立深圳深網視界科技有限公司，但 2018 年商湯就已從深網視界撤資了。”

並通過《每日經濟新聞》對外稱，

商湯科技在參與深網視界經營階段，主要通過派出技術人員為其提供底層演算法的模式參與對方產品研發，未接觸對方的系統層和業務層。

值得一提的是，在東方網力 2018 年 4 月公佈的 2017 年度財報中，深網視界的營業利潤、淨利潤、現金流均表現為負數。

那這又是否為商湯科技與深網視界分道揚鑣的主要原因呢？

據悉，東方網力是一家從視訊管理平臺起家，主要提供安防服務、視訊監控解決方案的上市公司。除了與商湯科技合作之外，近兩年在人工智慧領域也耗費了不少資金和精力。

2016 年 1 月，成立東方網力（蘇州）智慧科技有限公司，主要關注智慧城市、智慧交通、物聯網等方面的技術研發；2016 年 9 月，成立北京物靈智慧科技有限公司，進行智慧家庭機器人和社交機器人的研發。

運維的鍋？

筆者還注意到，知乎 2018 年 3 月的一則匿名留言從技術角度對深網視界做出了評價：

反查官網域名所在的伺服器，是阿里雲的。別的不說，起碼公司內沒有一個很牛逼的運維。對技術的投入有點懷疑。這是我現在看一家公司的維度之一，屬於個人主觀意見。

且不論這位匿名網友的觀點是否有依據，但他無疑將矛盾點指向了本次事件遇到的問題：資料庫運維的安全性。

黑客們往往會利用 Web 漏洞、伺服器漏洞、配置錯誤等技術手段，甚至釣魚手段，目標直指資料庫。

要知道，資料一旦洩密，緊接著而來的可能就是金融賬號詐騙、使用者資訊兜售，這嚴重損害了公眾利益。有網友就警告：

@AB_Clampju：這種資訊洩漏不是第一次了，以往有重視過嗎？並沒有。

而天真的運維狗們也紛紛“喊冤”：

@澤雲027：這不能怪 MongoDB 吧？它只是預設不開身份驗證而已。類似做法的知名開源資料類專案多了，比如  Hadoop 之類的。

@G口口D：這種低階錯誤通常是專案管理低下、不經事，年輕攻城獅常犯的。

“我們運維狗招惹誰了？天天背鍋已經夠累了，還罵我們，日子沒發過了……”

然而，事件發生之後，相關方深網視界一直未給出回應。

在筆者看來，這儘管有些難以名狀，但也極為符合國內當前市場情況，因為安全問題的產生並非來自於外界黑客的攻擊，而是更多來自於企業內部，基於不成熟的合規體系而操作不當導致安全性問題。

只有兩類企業，一種是受到攻擊自己知道，一種是受到攻擊自己並不知道 。如同買保險一樣，如果沒有“實在地” 遇到黑客攻擊，可能無法真切地感受到這份“保險”的價值。

安全不是一個產品，也不是一個方案，而是一個整體的架構，一個風險控制體系，首先要做風險評估，風險定位，然後思考安全架構，最後才是用哪種安全技術和產品來實現。

正如國內企業對安全並未有完全清晰的認識，消費者對隱私的感知程度可能也需要隨著時代和科技的發展而改變。

誰來保證我們的隱私？

那麼，我們的隱私在中國是何種意義上的“安全”？

去年 6 月在美國，奧蘭多警察局使用亞馬遜的 Rekognition 的面部識別技術進行測試。儘管如此，還是被媒體批評為侵犯了使用者隱私。

該起案件發生後，外媒 ZDNet 就將矛頭指向了深網視界的業務背景，它寫道：“某種意義上來講，深網視界更像是一種政府合同承包商，而不是其他出售產品給其他企業的私企。否則，這很難解釋它是如何從政府單位獲取使用者個人資訊和攝像頭資訊的。”

實際上，中國現在是世界上監控攝像頭最多的國家，也是在安防監控領域使用 AI 技術最積極的國家之一。2017 年 6 月《華爾街日報》的一篇報導中指出，中國在公共場所有 1.7 億臺監控攝像機，到 2020 年可能還要安裝另外 4.5 億臺。

曾有不少媒體報導，“在深圳、濟南等地，如果橫穿馬路不遵守交通的行人，將會被安裝有人臉識別功能的攝像頭抓拍下來，現場大螢幕曝光、滾動播放。”這究竟是依法行政，還是侵犯公民隱私？

不得不承認，對資料隱私以及政府對公民管控存在的道德擔憂，我們思考得還是太少。

如今人臉識別正在中國得到越來越廣泛的應用，也成就了國內計算機視覺比較大的優勢局面。但是，我們把“臉”交出去了，誰來保證我們“臉”的安全？

參考連結：

https://www.zdnet.com/article/chinese-company-leaves-muslim-tracking-facial-recognition-database-exposed-online/

（本文為AI科技大本營原創文章，轉載請微信聯絡 1092722531）

徵稿

推薦閱讀：

• 小心！你的臉正在成為色情片主角
  

• Python助你搶紅包

• 相比 App，Web 開發竟更適合初創公司？

• 網際網路公司的架構設計要怎麼落地？

• C 語言：春節回家聚會，只有我沒帶物件！
  

• 年薪百萬的好苗頭！不俗套的情人節，愛之丘位元走心了

• 講講億級PV的負載均衡架構！
  

                         

點選“閱讀原文”，開啟CSDN APP 閱讀更貼心！