过去两年来中国政府大范围使用人脸辨识,也真的在车站或演唱会等人潮聚集的地方,因人脸辨识系统协助,成功捕获一些嫌犯。不过,如果这些人脸辨识的资料外泄了怎么办?这可能不是妄想,据荷兰安全研究人员表示,中国政府在-地区用来辨识穆斯林的人脸辨识数据库有漏洞,而且披露数据库监控了哪些资料。
中国“天网”在不同地区各有不同科技公司协助人脸辨识及数据库比对等技术。根据报导,名为 SenseNets(深网视界)的公司,是帮助中国政府建立人脸辨识技术及群众脸孔分析的单位之一。前几天,知名资安研究员 Victor Gevers(他以发现 MongoDB 数据库管理系统漏洞而闻名)表示,他发现 SenseNets 的 MongoDB 数据库管理系统漏洞,数据库并没有密码保护,一般人不经授权就能检视数据库内容。
Gevers 表示,SenseNets 的数据库有 2,565,724 笔使用者资料,包含 GPS 座标资讯。其中不只是使用者名字,还有许多个人敏感资料,包括身份相关资讯。Gevers 表示,他看到的资料包括名字、居民证 ID、居民证注册日期及到期日期、性别、国籍、住址、生日资料、照片及工作资料等。
除此之外,更重要的应该是由于这间公司的系统还有连接到-地区的各个重要公共场所的监控系统以进行辨识,因此每个使用者除了基本资料之外,还有一连串的 GPS 座标、地点,记录这个人到过哪些地方。
SenseNets(深网视界)的简介是“将深度学习等前沿先进技术用于监控影片分析”,实际上就是提供脸部辨识及人群分析技术,并提供公开数据库可直接在线上寻找。举个例子,穿过街道的人可能会被镜头拍到,这家公司可透过镜头画面分析出你是谁,任何人都可根据这家公司的脸部辨识查看某人的位置纪录并跟踪。
Gevers 表示,从他拿到的资料来看,这些在数据库的位置都局限在-地区,而监控的“公共场所”地点,包括警察局、饭店、旅游景点、公园、网咖和清真寺等。而且他表示这些可以看到的不光是旧资料,而是“即时”的。光是他在检视时,过去 4 小时内,就有 670 万笔 GPS 资料新增进去。
过去几年中国政府监控-地区的新闻一直不断,包括所谓的“再教育营”,以及强迫当地人在手机安装监控软件,以便让政府掌握行踪。很多网友判断这间公司是中国政府的承包商,帮助中国政府建立穆斯林监控的科技承包商之一。否则你很难解释为什么 SenseNets 可存取居民证 ID 资讯,以及从警局、政府单位取得监控画面来人脸辨识资讯。
Gevers 发现漏洞后不久,回报给这间公司,之后这间公司就阻挡了所有非中国的 IP 连线,但没有任何评论。当 Gevers 之后得知中国对-监控问题的相关资讯后,表示他现在后悔将这漏洞回报给这公司,感觉自己做了错事。
(本文由 T客邦 授权转载;首图来源:shutterstock)
