漏洞

网络安全漏洞暴露了 Clearview AI 的源代码和应用程序数据

  • 浏览次数 37033
  • 喜欢 0
  • 评分 12345

备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码,一些秘密密钥和云存储凭据,甚至其应用程序的副本都可以公开访问。 TechCrunch报道说,网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器,他发现该服务器被配置为允许任何人注册为新用户并登录。

Clearview AI最早在1月份成为头条新闻,当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库,其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片,Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配,从而有可能从单个图像中揭示一个人的身份。

6

自从其作品公开以来,Clearview AI一直辩护说自己的软件仅适用于执法机构。但是,有报道称Clearview一直在向包括梅西百货和百思买在内的私营企业销售其系统。现在,此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒手中。

据TechCrunch称,该服务器包含公司面部识别数据库的源代码,以及允许访问其Windows,Mac,Android和iOS应用程序副本云存储的密钥和凭据。Mossab Hussein因此能够截取该公司iOS应用程序的屏幕截图,苹果公司最近因为违反其规则而阻止了该应用程序。Mossab Hussein还表示,他可以访问该公司的Slack令牌,这可能允许访问该公司的内部私人通讯。

Mossab Hussein还说,他从该公司的云存储中发现了大约7万个视频,这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI的创始人Hoan Ton-That告诉TechCrunch,这些镜头是在大楼管理层许可下捕获的,这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿,但TechCrunch指出,负责该建筑物的房地产公司未回复置评请求。

针对网络安全故障,Clearview AI表示,未公开任何可识别个人身份的信息,搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核,以确认未发生其他未经授权的访问,这表明Mossab Hussein是唯一访问配置错误服务器的人,服务器公开的密钥也已更改,因此它们不再起作用。

上市后,Clearview AI的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台(包括Facebook,Twitter和YouTube)已指示Clearview停止抓取图像,已告知警察部门不要使用该软件,佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。

 

(稿源:cnBeta,封面源自网络。)