Com 2 yuans para 70 celebridades populares sem fotos de maquiagem, o vazamento de dados faciais excede em muito a sua imaginação
Há alguns dias, se você gastasse 2 yuans, poderia comprar as fotos de registro de 70 celebridades populares. Se você leu direito, uma garrafa de água mineral custa apenas 2 yuans.
De onde vieram as fotos?
Alguém descobriu que no miniaplicativo "Saúde", desde que você insira seu nome e número de identificação, você pode encontrar a foto do Healthbao da pessoa designada sem reconhecer o rosto.
▲ Fotos de rostos de celebridades são embaladas para venda. Foto de: Red Star News
De acordo com a introdução oficial, o miniaplicativo "Healthcare" é uma ferramenta de serviço de informação digital lançada pelo Beijing Big Data Center com base nos dados de prevenção de epidemias de Pequim e nas funções relevantes da plataforma de serviço do governo nacional.
No ano passado, a discussão sobre se o reconhecimento facial é seguro mudou. As pessoas mudaram de discutir "A tecnologia de reconhecimento facial é segura" para "O armazenamento e o uso de dados de reconhecimento facial são seguros".
A popularidade do reconhecimento facial está além da imaginação
A tecnologia de reconhecimento facial penetrou em todos os aspectos de nossas vidas e sua popularidade está além da imaginação.
Em abril deste ano, a segurança da comunidade me parou na porta e disse se desculpando: "Existem regulamentos na comunidade que você só pode entrar por reconhecimento facial. Por favor, registre os dados faciais no local."
Achei que não era razoável, então recusei. Cada vez mais pessoas como eu recusavam e aos poucos bloqueavam o portão da comunidade. Em meio aos protestos de todos, a segurança finalmente permitiu que os moradores entrassem na comunidade.
Quando voltei para casa e liguei meu celular, descobri que o grupo de proprietários na comunidade estava como uma explosão.Muitas pessoas reclamaram da imobiliária.
Falar sobre gerenciamento de segurança é basicamente uma desculpa. O que é reconhecimento facial para coletar dados? A porta é aberta passando o dedo no rosto de uma pessoa. Quem quer entrar na comunidade ainda entra na comunidade. Qual a diferença do cartão de acesso? ! ! ! !
A resposta dos funcionários da propriedade no grupo foi: "(Isso é para) a prevenção e o controle da epidemia. Você pode identificar quem está entrando e saindo da comunidade passando o pano no rosto, e também é para o bem de todos."
Porém, durante a epidemia, todos usavam máscaras. Um grupo de pessoas tirou as máscaras para reconhecimento facial e as bloqueou na porta para contato próximo. Isso não aumenta o risco?
Vendo a alma torturar todos os enviados para o grupo, a equipe nunca respondeu.
▲ Um segurança em uma comunidade em Wuhan está demonstrando a função de controle de acesso de reconhecimento facial. Foto de: Chutian Metropolis Daily
Aifaner descobriu que, desde setembro de 2019, os residentes do distrito de Qingshan da cidade de Wuhan questionaram as notícias sobre o controle de acesso por reconhecimento facial, e os residentes disseram que o controle de acesso por reconhecimento facial começou a operar há 3 meses. Obviamente, a mudança para o controle de acesso por reconhecimento facial é para a prevenção e controle da epidemia, o que é insustentável.
Além do controle de acesso à comunidade, o reconhecimento facial está "florescendo em toda parte" há muito tempo. Ele pode ser visto em miniaplicativos de código de saúde, pagamento facial, serviços bancários e venda de casas comerciais, etc., que estão intimamente relacionados à vida.
Quanto vale o seu rosto? Pode ser várias centenas de milhares de yuans.
Tornou-se um segredo aberto usar um capacete quando vai ao centro de vendas para ver uma casa. Muitos centros de vendas instalaram câmeras com funções de reconhecimento facial para registrar os dados faciais de cada cliente visitante. Um cliente que já o visitou muitas vezes prova que é um cliente altamente intencionado, "uma suíte pode ser vendida a eles por centenas de milhares de dólares".
Todo mundo está ridicularizando a "natureza mágica" do capacete, mas uma coisa foi esquecida. Onde estão os dados faciais coletados? Eles foram compartilhados por vários agentes imobiliários?
Os dados de reconhecimento facial são seguros?
A razão pela qual a discussão pública mudou de "se a tecnologia de reconhecimento facial é segura" para "se o armazenamento e uso de dados de reconhecimento facial são seguros" é porque o incidente de vazamento de dados faciais ocorreu mais de uma vez.
Há alguns dias, se você gastasse 2 yuans, poderia comprar 70 fotos de autorretratos de celebridades populares. Desde o incidente até a resposta da empresa correspondente, quase ninguém se importou se as fotos de pessoas comuns vazaram.
O que é preocupante é que alguns retratos tirados pela câmera frontal de telefones celulares têm informações de profundidade 3D.Contanto que você obtenha a imagem original, você pode ver as informações de profundidade com um aplicativo normal.
▲ Esta selfie não só contém as informações de profundidade do meu rosto, mas também as informações precisas de posicionamento
Há três meses, o aplicativo Sichuan Renshe foi exposto a uma vulnerabilidade. Se o celular do usuário for perdido acidentalmente, os criminosos podem retirar o cartão SIM do telefone e usar o aplicativo Sichuan Renshe para obter as informações do cartão de identificação e as credenciais do rosto da pessoa correspondente ao número do telefone celular. A foto e o cartão do banco no cartão financeiro da previdência social e, em seguida, usar as informações obtidas para solicitar vários pequenos empréstimos ou recarregar os cartões virtuais, e depois desaparecer após o saque.
▲ Diagrama de vulnerabilidade V2EX feito por internautas. Imagem de: V2EX
Em janeiro de 2019, um aplicativo popular chamado Twinning apareceu nos Estados Unidos. Os usuários só precisam fazer upload de uma foto do rosto para encontrar a celebridade com a aparência mais semelhante por meio do reconhecimento de rosto.
Alguém encontrou o endereço do servidor de nuvem diretamente no código do site oficial do Twinning. Após entrar, eles puderam ver diretamente o fluxo de informações das fotos de rostos carregadas pelos usuários em tempo real. Após o vazamento, muitas fotos de rosto de pessoas podem ser pesquisadas diretamente no Google.
Rachadura de reconhecimento de rosto não é difícil
Na verdade, hackers profissionais podem quebrar o reconhecimento facial em apenas 150 segundos, até mesmo estudantes do ensino fundamental podem fazer isso.
Na Competição Superb Carnival 2017, tyy, uma hacker pós-90 que se formou no Departamento de Ciência da Computação da Universidade de Zhejiang, quebrou com sucesso o sistema de controle de acesso usando reconhecimento facial em 150 segundos usando uma vulnerabilidade do dispositivo.
Em outubro de 2019, um grupo de alunos do ensino fundamental descobriu que poderia abrir facilmente o gabinete expresso de Fengchao apenas segurando uma foto impressa do rosto. Posteriormente, Fengchao afirmou imediatamente que não será lançado novamente até que a tecnologia seja aperfeiçoada.
No entanto, Wang Jinqiao, pesquisador do Instituto de Automação da Academia Chinesa de Ciências, disse que o custo de encontrar uma pessoa adequada, entender as informações de sua conta e modelar ataques é muito alto.
Por exemplo, usando uma foto de rosto para quebrar os armários expressos da Fengchao, o cracker precisa obter uma foto de uma pessoa e, em seguida, descobrir quando o TA fez uma compra online e também saber o tempo de entrega e saber em qual armário expresso o TA expresso está colocado. O juro cinza nada mais é do que roubar um mensageiro no valor de dezenas de yuans da outra parte.
Em comparação com o cracking preciso de um único indivíduo, devemos prestar mais atenção ao vazamento em grande escala de dados de reconhecimento facial durante a coleta, armazenamento e uso. A empresa por trás disso inclui até mesmo seus hábitos de vida, preferências de navegação, nível econômico e sociedade. A relação é "tocada" claramente e, juntamente com os dados faciais em grande escala, pode haver algumas mariposas. Esse também é o foco da necessidade atual de fortalecer a supervisão.
Não é difícil de quebrar, mas é difícil defender direitos
Leva apenas 150 segundos para quebrar, mas o caminho para a proteção de direitos é difícil.
De acordo com o relatório "People", em março de 2020, o professor da Escola de Direito da Universidade de Tsinghua, Lao Dongyan, escreveu um parecer jurídico detalhado após descobrir que a comunidade havia permitido o controle de acesso por reconhecimento facial, apontando que o comportamento de coleta da comunidade era contrário ao quadro jurídico atual. Enviado ao comitê de propriedade e bairro.
▲ Os residentes de Hangzhou usam máscaras e tocam o rosto na comunidade. O sistema pode identificar com precisão os residentes, mesmo quando eles estão usando máscaras. Foto de: Pessoas (conta pública)
Após uma longa mediação, o escritório da rua finalmente deu três alternativas: passar o cartão de acesso, registrar o cartão de identificação e usar o aplicativo móvel.
Lao Dongyan disse que se as informações biométricas forem obtidas por terceiros, eles podem usar seu rosto combinado com as informações do seu cartão de identificação para fazer login em sua conta bancária, transferir o dinheiro da conta e entrar na unidade, comunidade ou comunidade que você deveria ter inserido. Nojo de você, mude seu rosto para um vídeo obsceno . Esses riscos são mais relevantes para a vida diária dos residentes. Além disso, uma vez que as informações biológicas, como rostos humanos e impressões digitais, vazam, não podem ser alteradas e nenhum alívio pode ser obtido.Você pode ficar exposto a esses riscos para sempre.
Lao Dongyan acredita que a proteção dos direitos do "rosto humano" é muito especial, porque as informações na Internet são infinitas.
Mesmo que o órgão de segurança pública pegue o criminoso, ele apenas o mantém na prisão. Se suas informações vazaram, vazaram. Foi vendido para a próxima família e a próxima família pode ser vendida para outra próxima família. Está fora de controle e você não pode restaurá-lo ao estado original … Dados não são o mesmo que propriedade e dados são compartilhados. É exclusivo. Sobre a questão dos dados, a coleta sem aviso prévio é obviamente prejudicial, mas mesmo com o consentimento da parte como titular dos dados, é possível usar os dados pessoais correspondentes à vontade? Certamente não.
Onde está a fonte da violação de dados pessoais?
Quando estive em outra empresa, há alguns anos, participei de algumas licitações, representei a empresa para negociar com as áreas competentes a fabricação de alguns produtos que exigem reconhecimento facial para a localidade.
Ao negociar, a outra parte está mais preocupada com a composição dos custos, quando entrará online, se poderá entrar online antes de um determinado horário para cooperar com o trabalho de publicidade e qual será o preço anual de operação e manutenção no período posterior. Ninguém nunca perguntou como salvar os dados faciais depois de coletados e se vazarão.
▲ A maioria dos projetos de serviços de subsistência precisa verificar a face, e muitos desses projetos de serviços de subsistência são realizados por empresas de Internet para desenvolvimento técnico e posterior operação e manutenção.
Isso não tem culpa de sua ignorância dos dados. Como diz o ditado, eles não entendem de big data, assim como nós não entendemos seu trabalho.
Se houver vazamento de dados faciais, com base em minha experiência limitada, há uma chance maior de erros no link "terceirização".
O projeto foi executado on-line sem problemas e o trabalho de publicidade estava em andamento. Não é um grande problema para todos usá-lo. Ninguém se importa se os dados faciais serão vazados. Alguns dados confidenciais e privados estão em um estado de "estrias". Pessoas com um pouco de conhecimento técnico Pode ser rastreado. Após um ano de operação, não sei quantas vezes ele foi salvo e colocado na dark web para venda de pacote. —— um líder de projeto
Além disso, algumas empresas não hesitam em perder dinheiro ou até mesmo postar para ganhar projetos. O objetivo não é ganhar dinheiro com projetos, mas aproveitar a oportunidade para coletar grandes dados extremamente confidenciais, como dados de face e impressões digitais.
Portanto, uma supervisão rigorosa das empresas que coletam e armazenam big data é a chave para evitar o vazamento de dados privados dos cidadãos.
A regulamentação de big data é iminente
Nos últimos anos, várias localidades emitiram regulamentos sobre o gerenciamento de big data, a Administração Nacional do Ciberespaço da China também lançou as "Medidas de gerenciamento de segurança de dados (rascunho para comentários)" para comentários públicos e o estado também emitiu a "Lei de proteção de informações pessoais (rascunho) “Estamos muito satisfeitos em ver que os dados dos cidadãos estão recebendo mais atenção.
Os regulamentos relevantes estipulam claramente a coleta, classificação, preservação e uso de big data do cidadão, o que é um grande progresso.
Ao mesmo tempo, também tenho algumas preocupações. No momento, a coleta, o armazenamento e o uso de big data dependem principalmente da consciência da empresa correspondente. Não existe uma equipe técnica nacional de alto nível para supervisionar os métodos de coleta, local de armazenamento e direitos de uso específicos, ou nenhum deles está em O "grande banco de dados" controlado é usado para verificar (por exemplo, a coleta, o armazenamento e o uso precisam solicitar permissão deste banco de dados e o escopo de uso é estritamente limitado, etc.) , pode haver algumas lacunas que podem ser exploradas .
Os dados faciais não são tão simples como algumas pessoas dizem: "Sou uma pessoa comum, apenas os uso". Quando os dados faciais em grande escala são usados ilegalmente, a mão que domina o big data pode até virtualizá-los na Internet. Um grupo de pessoas inexistentes, mas "vivas" trará desafios mais perigosos para o mundo real.
Como Lao Dongyan, professor da Escola de Direito da Universidade Tsinghua, disse em uma entrevista à People:
Se vale a pena proteger as informações pessoais, não depende se essas informações envolvem privacidade, mas se você pode ser identificado por meio dessas informações. Se uma pessoa física específica puder ser identificada por meio de certas informações ou em combinação com outras informações, essas informações serão protegidas por lei. Desta vez, o “Código Civil” também estipula os direitos das informações pessoais, além do direito à privacidade. O anonimato é a base da sociedade moderna. Você não quer que todas as suas ações sejam permanentemente registradas sem omissão e expostas a todos. Caso contrário, você pode descobrir que, em qualquer lugar, pode haver um olho sempre olhando para você. Você perde sua liberdade por causa disso e não necessariamente se sente seguro.
Observações: As opiniões do Professor Lao Dongyan, da Escola de Direito da Universidade de Tsinghua, citadas no artigo de contas públicas "Pessoas" " Preso no Reconhecimento de Rosto "
#Bem-vindo a seguir a conta oficial do WeChat da Aifaner: Aifaner (WeChat ID: ifanr), mais conteúdo interessante será fornecido a você o mais rápido possível.