备受争议的面部识别创业公司 Clearview AI 的安全漏洞意味着其源代码,一些秘密密钥和云存储凭据,甚至其应用程序的副本都可以公开访问。 TechCrunch 报道说,网络安全公司 SpiderSilk 的首席安全官 Mossab Hussein 发现了 Clearview AI 一个暴露的服务器,他发现该服务器被配置为允许任何人注册为新用户并登录。
Clearview AI 最早在 1 月份成为头条新闻,当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库,其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片,Clearview AI 的软件将尝试将其与数据库中任何相似的图像进行匹配,从而有可能从单个图像中揭示一个人的身份。
自从其作品公开以来,Clearview AI 一直辩护说自己的软件仅适用于执法机构。但是,有报道称 Clearview 一直在向包括梅西百货和百思买在内的私营企业销售其系统。现在,此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒手中。
据 TechCrunch 称,该服务器包含公司面部识别数据库的源代码,以及允许访问其 Windows,Mac,Android 和 iOS 应用程序副本云存储的密钥和凭据。Mossab Hussein 因此能够截取该公司 iOS 应用程序的屏幕截图,苹果公司最近因为违反其规则而阻止了该应用程序。Mossab Hussein 还表示,他可以访问该公司的 Slack 令牌,这可能允许访问该公司的内部私人通讯。
Mossab Hussein 还说,他从该公司的云存储中发现了大约 7 万个视频,这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI 的创始人 Hoan Ton-That 告诉 TechCrunch,这些镜头是在大楼管理层许可下捕获的,这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿,但 TechCrunch 指出,负责该建筑物的房地产公司未回复置评请求。
针对网络安全故障,,Clearview AI 表示,未公开任何可识别个人身份的信息,搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核,以确认未发生其他未经授权的访问,这表明 Mossab Hussein 是唯一访问配置错误服务器的人。服务器公开的密钥也已更改,因此它们不再起作用。
上市后,Clearview AI 的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台(包括 Facebook,Twitter 和 YouTube)已指示 Clearview 停止抓取图像,已告知警察部门不要使用该软件,佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。