作者 | 琥珀

出品 | AI科技大本营(ID:rgznai100)

“专窥大众底裤的公司忘记穿裤就裸奔了……”

不得不说,对于这种运维不够,吃瓜群众来凑的热闹,往往能惹来不少相关从业者的愤慨。

事件经过

就在刚刚过去的一天里,追踪 MongoDB 数据库多年的荷兰著名安全研究员 Victor Gevers 又发现了新的“裸奔”用户数据,这次他将矛头指向了一家中国安防视觉领域的企业——SenseNets(深圳深网视界科技有限公司,下称“深网视界”)。

Gevers 连发数条推文指出,该公司其中一个 MongoDB 人脸识别数据库在没有安全认证的情况下直接在公网“裸奔”,可供任何人查找,并允许完全访问,这意味着恶意行为者可以随意添加或删除数据库中的记录。换言之,任何人都可以查看这些记录并跟踪一人的行为。

据悉,被暴露的数据库包含有 2,565,724 名用户的信息,以及仍在飞速增长的 GPS 位置记录。

“这些用户数据不仅包括用户名,还有非常详细且高度敏感的信息,如姓名、身份证号码、身份证签发日期、性别、国籍、家庭住址、出生日期、照片、工作单位等内容。”

此外,该数据还包含一系列“监控器”以及与之相关的 GPS 位置记录,每个摄像头都有一个单独的名称和一个与某个位置相关的 IP 地址。“根据该公司的网站,这些监控器似乎是公共摄像机的位置,通过该摄像机进行视频拍摄和分析。”

如“酒店”、“警察”、“网吧”、“餐馆”等,都是对“监控器”等相关 GPS 位置的描述。在过去的 24 小时内,已经有 670 万 GPS 位置数据被记录下来。

图注:暴露的数据库中发现的一处GPS坐标位置

他表示,现在数据库已通过防火墙“受到保护”。虽然他仍怀疑中国外的流量访问得到了阻止,但至少海外(服务器)是无法再访问到这些数据了。

目前,Gevers 已通过 GDI Foundation 向该公司对自 7 月开始开放的数据库提出警告。

外媒CNET、ZDNet相继报道了该起事件,并引起了国内网友们的强烈关注:

@xiangli:只要不捅大的公关篓子,这些靠忽悠政府和 VC 的所谓“科研独角兽”们就不会往工程方向多看哪怕一眼……这里要给敢于扒“巨人”底裤的国外同行们点赞。

结合 Gevers 指出的几点问题,或许我们可以从两个方面来观察这家公司:一是计算机视觉产品在安防领域的应用特征,二是自身业务 IT 系统治理的安全管控能力。

深网视界是谁?

就在我们着手了解深网视界相关信息时,却意外地发现其公司页面(http://www.sensenets.com)已无法打开。而且,自 2015 年 9 月成立以来,有关这家的公开信息就十分寥寥:

据公开信息,深网视界是一家由东方网力和商汤科技联合成立的,专注安防领域视频分析的公司。于 2015 年 9 月在深圳成立,公司经营范围包括技术开发、技术转让、技术咨询、技术服务、技术推广等。2017 年 5 月,商汤科技出资认购深网视界 2000 万人民币,持股 35.83%,成为第二大股东。

我们这才发现,尽管深网视界大众的视野中并不出众,但为其投资的两家公司——东方网力与商汤科技却不得不提。据亿欧此前报道称,东方网力曾一直与商汤科技背后的港中大汤晓鸥教授团队保持着密切的合作关系。

不过,就在该起事件发生后,商汤科技很快在微博网友留言区表示:

“深圳深网视界科技有限公司目前与商汤科技无关联关系。商汤曾与东方网力合资成立深圳深网视界科技有限公司,但 2018 年商汤就已从深网视界撤资了。”

并通过《每日经济新闻》对外称,

商汤科技在参与深网视界经营阶段,主要通过派出技术人员为其提供底层算法的模式参与对方产品研发,未接触对方的系统层和业务层。

值得一提的是,在东方网力 2018 年 4 月公布的 2017 年度财报中,深网视界的营业利润、净利润、现金流均表现为负数。

那这又是否为商汤科技与深网视界分道扬镳的主要原因呢?

据悉,东方网力是一家从视频管理平台起家,主要提供安防服务、视频监控解决方案的上市公司。除了与商汤科技合作之外,近两年在人工智能领域也耗费了不少资金和精力。

2016 年 1 月,成立东方网力(苏州)智能科技有限公司,主要关注智慧城市、智慧交通、物联网等方面的技术研发;2016 年 9 月,成立北京物灵智能科技有限公司,进行智能家庭机器人和社交机器人的研发。

运维的锅?

笔者还注意到,知乎 2018 年 3 月的一则匿名留言从技术角度对深网视界做出了评价:

反查官网域名所在的服务器,是阿里云的。别的不说,起码公司内没有一个很牛逼的运维。对技术的投入有点怀疑。这是我现在看一家公司的维度之一,属于个人主观意见。

且不论这位匿名网友的观点是否有依据,但他无疑将矛盾点指向了本次事件遇到的问题:数据库运维的安全性。

黑客们往往会利用 Web 漏洞、服务器漏洞、配置错误等技术手段,甚至钓鱼手段,目标直指数据库。

要知道,数据一旦泄密,紧接着而来的可能就是金融账号诈骗、用户信息兜售,这严重损害了公众利益。有网友就警告:

@AB_Clampju:这种信息泄漏不是第一次了,以往有重视过吗?并没有。

而天真的运维狗们也纷纷“喊冤”:

@泽云027:这不能怪 MongoDB 吧?它只是默认不开身份验证而已。类似做法的知名开源数据类项目多了,比如  Hadoop 之类的。

@G口口D:这种低级错误通常是项目管理低下、不经事,年轻攻城狮常犯的。

“我们运维狗招惹谁了?天天背锅已经够累了,还骂我们,日子没发过了……”

然而,事件发生之后,相关方深网视界一直未给出回应。

在笔者看来,这尽管有些难以名状,但也极为符合国内当前市场情况,因为安全问题的产生并非来自于外界黑客的攻击,而是更多来自于企业内部,基于不成熟的合规体系而操作不当导致安全性问题。

只有两类企业,一种是受到攻击自己知道,一种是受到攻击自己并不知道 。如同买保险一样,如果没有“实在地” 遇到黑客攻击,可能无法真切地感受到这份“保险”的价值。

安全不是一个产品,也不是一个方案,而是一个整体的架构,一个风险控制体系,首先要做风险评估,风险定位,然后思考安全架构,最后才是用哪种安全技术和产品来实现。

正如国内企业对安全并未有完全清晰的认识,消费者对隐私的感知程度可能也需要随着时代和科技的发展而改变。

谁来保证我们的隐私?


那么,我们的隐私在中国是何种意义上的“安全”?

去年 6 月在美国,奥兰多警察局使用亚马逊的 Rekognition 的面部识别技术进行测试。尽管如此,还是被媒体批评为侵犯了用户隐私。

该起案件发生后,外媒 ZDNet 就将矛头指向了深网视界的业务背景,它写道:“某种意义上来讲,深网视界更像是一种政府合同承包商,而不是其他出售产品给其他企业的私企。否则,这很难解释它是如何从政府单位获取用户个人信息和摄像头信息的。”

实际上,中国现在是世界上监控摄像头最多的国家,也是在安防监控领域使用 AI 技术最积极的国家之一。2017 年 6 月《华尔街日报》的一篇报道中指出,中国在公共场所有 1.7 亿台监控摄像机,到 2020 年可能还要安装另外 4.5 亿台。

曾有不少媒体报道,“在深圳、济南等地,如果横穿马路不遵守交通的行人,将会被安装有人脸识别功能的摄像头抓拍下来,现场大屏幕曝光、滚动播放。”这究竟是依法行政,还是侵犯公民隐私?

不得不承认,对数据隐私以及政府对公民管控存在的道德担忧,我们思考得还是太少。

如今人脸识别正在中国得到越来越广泛的应用,也成就了国内计算机视觉比较大的优势局面。但是,我们把“脸”交出去了,谁来保证我们“脸”的安全?

参考链接:

https://www.zdnet.com/article/chinese-company-leaves-muslim-tracking-facial-recognition-database-exposed-online/

(本文为AI科技大本营原创文章,转载请微信联系 1092722531)

征稿

推荐阅读:

  • 小心!你的脸正在成为色情片主角

  • Python助你抢红包

  • 相比 App,Web 开发竟更适合初创公司?

  • 互联网公司的架构设计要怎么落地?

  • C 语言:春节回家聚会,只有我没带对象!

  • 年薪百万的好苗头!不俗套的情人节,爱之丘比特走心了

  • 讲讲亿级PV的负载均衡架构!

点击“阅读原文”,打开CSDN APP 阅读更贴心!

深圳一AI公司人脸数据泄露,超256万用户敏感信息在“裸奔”!相关推荐

  1. 深圳一 AI 公司人脸数据泄露,超 256万 用户敏感信息在“裸奔”!

    作者 | 琥珀 出品 | AI科技大本营(ID:rgznai100) "专窥大众底裤的公司忘记穿裤就裸奔了--" 不得不说,对于这种运维不够,吃瓜群众来凑的热闹,往往能惹来不少相关 ...

  2. 专访天冕科技许文彬:以超5000万用户为基础,构建完善的隐私计算数据应用生态

    毫无疑问,隐私计算正处于"大规模应用的前夜".越来越多的隐私计算标的项目出现,尤其在最近一段时间迅猛增长,在一定程度上代表了技术的发展和市场的认可. 近日,天冕科技中标银联商务「隐 ...

  3. 天使轮融资一个亿的AI公司创新奇智,与徐工信息达成战略合作

    郭一璞 发自 凹非寺 量子位 出品 | 公众号 QbitAI 还记得那家天使轮就融了一个亿的AI公司创新奇智么? 继与永辉超市.原麦山丘达成合作后,今天,创新奇智与江苏徐工集团旗下的徐工信息在北京宣布 ...

  4. 观众关注人数超4万,CIOE信息通信展热度持续高涨

    关于第24届中国国际光电博览会(CIOE中国光博会) 时间:2022年9月7-9日 地点:深圳国际会展中心(宝安)  5-16号馆 展示面积:24万㎡, 12馆同开,预计超3000家企业参展,逾10万 ...

  5. 美国演员选拔公司泄露了超26万人的隐私数据

    一个为电影和电视节目挑选人才的流行网站泄露了大约26万人的在线个人数据. 在ZDNet独家分享的一份报告中,由Anurag Sen领导的网络安全小组的安全侦探说,这次入侵是在今年6月初被发现的. 总部 ...

  6. 一个700万人口的国家系统遭黑客入侵,超500万人身份信息泄露...

    回答标题,今天我们要BB的国家,名为保加利亚. 可能这个利亚没啥人听到,但你肯定听过圣索非亚教堂,辣个坐落在哈尔滨的教堂,而保加利亚的首都便是索菲亚,也就是古老版圣索非亚教堂坐落之地. 而这么一个人口 ...

  7. 超400万用户的Chrome截图插件下架始末

    作者 | Claire Kao 译者 | 祝涛 出品 | CSDN(ID:CSDNnews) 在Chrome Web Store有一款很受欢迎的网页截图应用--GoFullPage,它所实现的功能并不 ...

  8. 腾讯qq珊瑚虫版_盗版微信存在近3年,超4万用户使用,腾讯服务器也识别不了...

    盗版这个词,一般出现于商品市场,比如盗版书.盗版包包等.互联网世界中,虽然存在很多相互借鉴甚至抄袭的情况,但直接盗版的情况还是少见. 可就在今年年初,江苏常州经开法院就判决了一起互联网软件盗版案件,被 ...

  9. AI“裸泳”、用户“裸奔”

    不知道什么时候起,AI已经成为我们生活中频繁出现的一份子.早起有着智能音箱的闹钟叫醒,出门有着智能门锁守家护园,中午点个外卖也会有智能物流网安排配送,就连出行上,自动驾驶时代也即将落地. 在近日百度世 ...

最新文章

  1. html,css,js小实例,CSS和JavaScript脚本实例
  2. python os 常用方法_python中os常用方法详解
  3. jQuery 输入框 在光标位置插入内容, 并选中
  4. spark1.0和2.0的区别_【系统】华为正式发布鸿蒙OS 2.0手机Beta版:UI界面、交互无区别...
  5. 不同范数下的余弦定理_第06题 | 从源头追溯「余弦定理」amp; 文理科知识点的异同...
  6. 使用Okta的单点登录保护您的Vert.x服务器
  7. 计数排序和桶排序 java代码实现
  8. python牛顿迭代法_Jacobi迭代算法的Python实现详解
  9. ARM裸机环境搭建(U-Boot命令详解)
  10. 100款违法违规APP下架整改:微店、更美等在列
  11. 百度搜索引擎优化指南_百度SEO优化和其他搜索引擎优化用什么不同的地方
  12. lavavel php 手册,Laravel文档工具
  13. 手机测试耳机音质的软件,10首曲目,测试出你耳机的真实水平!——教你简单快速测出你的耳机音质究竟怎么样?...
  14. 阿里ICON图标,使用教程
  15. (十五)使用任务通知实现命令行解释器
  16. matlab绘制加速度曲线,加速度积分得到速度和位移的问题小结
  17. C#应用程序退出后托盘图标(notify…
  18. HEVC中级别(Level)计算
  19. 微信小程序 苹果手机 https wx.request 不反应
  20. neu ikobikob

热门文章

  1. 如何使用kindle
  2. 炒菜机器人放食材的顺序_机器人能否消灭厨师这个职业?
  3. PS练习3——渐变色
  4. 基于 Servlet + jsp 的企业财务管理系统设计与实现
  5. oracle12c rac恢复,oracle 12c rac恢复votedisk碰到问题了(asm)
  6. 美团拍店,一个“顺道”赚钱的小项目,去饭店的路上,饭钱有了
  7. 抖音同款口红机 微信口红机 在线游戏口红机开发代码 分析
  8. 服务器2016自动备份怎么取消,wps中ppt的制作怎样取消掉定时自动备份
  9. linux设置sfq队列参数,Linux系统运维之Linux高级流量控制工具TC使用方法
  10. C语言实现水果超市信息管理系统