备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码,一些秘密密钥和云存储凭据,甚至其应用程序的副本都可以公开访问。 TechCrunch报道说,网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了一个暴露的服务器,他发现该服务器被配置为允许任何人注册为新用户并登录。
 
Clearview AI最早在1月份成为头条新闻,当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库,其中包括从网站和社交媒体平台抓取的数十亿张图像。用户上传感兴趣的人的照片,Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配,从而有可能从单个图像中揭示一个人的身份。
 

 
暴露了其MAC,WINDOWS,IOS和ANDROID应用程序
自从其工作公开以来,Clearview AI一直辩护说自己的软件仅适用于执法机构(尽管有报道称Clearview一直在向包括梅西百货和百思买在内的私营企业销售其系统,以此为自己辩护。但是,此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒。
 
据TechCrunch称,该服务器包含公司面部识别数据库的源代码,以及允许访问其某些包含Windows,Mac,Android和iOS应用程序副本的云存储的秘密密钥和凭据。侯赛因能够截取该公司的iOS应用程序的屏幕截图,苹果公司最近因为违反其规则而阻止了该应用程序。还可以访问该公司的Slack令牌,这可能允许访问该公司的内部私人通讯。
 
侯赛因能够访问该服务的iOS应用并截图。
侯赛因还说,他从该公司的云存储中发现了大约7万个视频,这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI的创始人Hoan Ton-That告诉TechCrunch,这些镜头是在大楼管理层许可下捕获的,这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿,但TechCrunch指出,负责该建筑物的房地产公司未回复置评请求。
 
针对网络安全故障,Ton-That说“未公开任何可识别个人身份的信息,搜索历史或生物识别信息”,并补充说公司已“对主机进行了全面的法医审核,以确认未发生其他未经授权的访问”,这表明侯赛因是唯一访问配置错误的服务器的人。服务器公开的密钥也已更改,因此它们不再起作用。
 
上市后,Clearview AI的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台(包括Facebook,Twitter和YouTube)已指示Clearview停止抓取图像,已告知警察部门不要使用该软件,佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。