深圳人臉識別公司爆資訊漏洞 256萬筆個人資料、行蹤疑遭洩

高詣軒

中國企業遭爆資安漏洞!據中國《南方都市報》報導,有安全研究人員在社群網站發布消息,稱深圳一家人臉識別技術公司出現安全漏洞,任何人都可以訪問該公司的資料庫,而資料庫內包含250萬以上的個人資訊及軌跡。

根據荷蘭安全研究人員傑弗斯(Victor Gevers)在13日透過推特發文指出,他發現深圳公司「深網視界」的數據庫存在安全漏洞,「任何人都可以完全觸及該公司的業務IP、以及數百萬筆的人們的軌跡數據。」

傑弗斯透漏,該數據庫包含了256萬筆個人資訊,其中包括身份證號碼、地址、生日、照片和雇主信息。同時,資料庫內還儲存了這些人過去24小時可能經過的地點,約有668萬條記錄,其中包括賓館、旅遊景點、公園、網咖等地。

專家:類似問體普遍 疑似用以監控維吾爾人

據《南方都市報》的「隱私護衛隊」了解,「深網視界」成立於2015年,由「東方網力科技股份有限公司」控股,公司定位在「AI+安防」,具備人臉檢測和人群分析技術。

其後傑弗斯提供的截圖顯示,該資料庫的訪問端口目前已被關閉。此前,他曾將漏洞情況向深網視界反映,但並沒有得到回覆。

報導指出,根據公開報導顯示,深網視界總經理萬定銳在2018年4月曾出席AI安防的主題論壇,當時他表示,「東方網力」將人臉識別、視頻結構化、大數據等自研技術,與社區場景應用結合,以構建「智慧安全社區」。

該報「隱私護衛隊」在15日曾致電深網視界,據工作人員表示,該公司已在配合調查,但不便透露具體細節。報導也引述安全研究人員表示,如果傑弗斯提供的情況屬實,「則該漏洞屬於MongoDB數據庫未授權訪問漏洞,簡單說就是任何人不需要帳號密碼就可以訪問數據庫。在 (中國)國內,此類問題普遍存在。」

《南方都市報》指出,開啟MongoDB服務時默認是沒有權限驗證的,而且可以遠程訪問資料庫,所以登錄的用戶可以通過默認端口,無需密碼對數據庫進行增、刪、改、查等高危動作。

不過日前,傑弗斯在分析資料後,發現有追蹤到的地點位在新疆,再度推文質疑「這個不安全的人臉/個人辨識方案的建立、運作目標只有一個。這是一個『穆斯林追蹤器』,由中國當局資助的,在新疆監控維吾爾族穆斯林。」

更多上報內容:

邀業界專家談APP資安漏洞 張善政:中國經常對台灣毛手毛腳

21世紀一場不流血的種族清洗 中國對新疆灌輸身份再教育、互相舉報重回文革時期

【2018國際十大新聞】中國新疆再教育營 全面對維吾爾進行「民族侵略」