深圳人臉識別公司爆資訊漏洞 256萬筆個人資料、行蹤疑遭洩

高詣軒 2019年02月16日 19:45:00

深圳一家科技公司傳出個資漏洞。(湯森路透)

中國企業遭爆資安漏洞!據中國《南方都市報》報導,有安全研究人員在社群網站發布消息,稱深圳一家人臉識別技術公司出現安全漏洞,任何人都可以訪問該公司的資料庫,而資料庫內包含250萬以上的個人資訊及軌跡。

 

根據荷蘭安全研究人員傑弗斯(Victor Gevers)在13日透過推特發文指出,他發現深圳公司「深網視界」的數據庫存在安全漏洞,「任何人都可以完全觸及該公司的業務IP、以及數百萬筆的人們的軌跡數據。」

 

 

傑弗斯透漏,該數據庫包含了256萬筆個人資訊,其中包括身份證號碼、地址、生日、照片和雇主信息。同時,資料庫內還儲存了這些人過去24小時可能經過的地點,約有668萬條記錄,其中包括賓館、旅遊景點、公園、網咖等地。

 

專家:類似問體普遍 疑似用以監控維吾爾人

 

《南方都市報》的「隱私護衛隊」了解,「深網視界」成立於2015年,由「東方網力科技股份有限公司」控股,公司定位在「AI+安防」,具備人臉檢測和人群分析技術。

 

其後傑弗斯提供的截圖顯示,該資料庫的訪問端口目前已被關閉。此前,他曾將漏洞情況向深網視界反映,但並沒有得到回覆。

 

報導指出,根據公開報導顯示,深網視界總經理萬定銳在2018年4月曾出席AI安防的主題論壇,當時他表示,「東方網力」將人臉識別、視頻結構化、大數據等自研技術,與社區場景應用結合,以構建「智慧安全社區」。


該報「隱私護衛隊」在15日曾致電深網視界,據工作人員表示,該公司已在配合調查,但不便透露具體細節。報導也引述安全研究人員表示,如果傑弗斯提供的情況屬實,「則該漏洞屬於MongoDB數據庫未授權訪問漏洞,簡單說就是任何人不需要帳號密碼就可以訪問數據庫。在 (中國)國內,此類問題普遍存在。」

 

《南方都市報》指出,開啟MongoDB服務時默認是沒有權限驗證的,而且可以遠程訪問資料庫,所以登錄的用戶可以通過默認端口,無需密碼對數據庫進行增、刪、改、查等高危動作。

 

不過日前,傑弗斯在分析資料後,發現有追蹤到的地點位在新疆,再度推文質疑「這個不安全的人臉/個人辨識方案的建立、運作目標只有一個。這是一個『穆斯林追蹤器』,由中國當局資助的,在新疆監控維吾爾族穆斯林。」

 

 

喜歡這篇文章,請幫我們按個讚

【加入上報國際圈,把世界帶到你眼前!】

 

【上報徵稿】

 

上報歡迎各界投書,來稿請寄至editor@upmedia.mg,並請附上真實姓名、聯絡方式與職業身分簡介。

 

一起加入Line好友(ID:@upmedia)
或點此網址https://line.me/ti/p/%40zsq4746x

熱門影音


@
回頂端