中國監控新疆「天網」資料庫有漏洞,超過 250 萬人資料及詳細路徑、座標可能外洩

作者 | 發布日期 2019 年 02 月 22 日 8:15 | 分類 生物科技 , 科技政策 , 網路 follow us in feedly

過去兩年來中國政府大範圍使用人臉辨識,也真的在車站或演唱會等人潮聚集的地方,因人臉辨識系統協助,成功捕獲一些嫌犯。不過,如果這些人臉辨識的資料外洩了怎麼辦?這可能不是妄想,據荷蘭安全研究人員表示,中國政府在新疆地區用來辨識穆斯林的人臉辨識資料庫有漏洞,而且披露資料庫監控了哪些資料。



中國「天網」在不同地區各有不同科技公司協助人臉辨識及資料庫比對等技術。根據報導,名為 SenseNets(深網視界)的公司,是幫助中國政府建立人臉辨識技術及群眾臉孔分析的單位之一。前幾天,知名資安研究員 Victor Gevers(他以發現 MongoDB 資料庫管理系統漏洞而聞名)表示,他發現 SenseNets 的 MongoDB 資料庫管理系統漏洞,資料庫並沒有密碼保護,一般人不經授權就能檢視資料庫內容。

Gevers 表示,SenseNets 的資料庫有 2,565,724 筆使用者資料,包含 GPS 座標資訊。其中不只是使用者名字,還有許多個人敏感資料,包括身分相關資訊。Gevers 表示,他看到的資料包括名字、居民證 ID、居民證註冊日期及到期日期、性別、國籍、住址、生日資料、照片及工作資料等。

除此之外,更重要的應該是由於這間公司的系統還有連接到新疆地區的各個重要公共場所的監控系統以進行辨識,因此每個使用者除了基本資料之外,還有一連串的 GPS 座標、地點,記錄這個人到過哪些地方。

SenseNets(深網視界)的簡介是「將深度學習等前沿先進技術用於監控影片分析」,實際上就是提供臉部辨識及人群分析技術,並提供公開資料庫可直接在線上尋找。舉個例子,穿過街道的人可能會被鏡頭拍到,這家公司可透過鏡頭畫面分析出你是誰,任何人都可根據這家公司的臉部辨識查看某人的位置紀錄並跟蹤。

Gevers 表示,從他拿到的資料來看,這些在資料庫的位置都侷限在新疆地區,而監控的「公共場所」地點,包括警察局、飯店、旅遊景點、公園、網咖和清真寺等。而且他表示這些可以看到的不光是舊資料,而是「即時」的。光是他在檢視時,過去 4 小時內,就有 670 萬筆 GPS 資料新增進去。

過去幾年中國政府監控新疆地區的新聞一直不斷,包括所謂的「再教育營」,以及強迫當地人在手機安裝監控軟體,以便讓政府掌握行蹤。很多網友判斷這間公司是中國政府的承包商,幫助中國政府建立穆斯林監控的科技承包商之一。否則你很難解釋為什麼 SenseNets 可存取居民證 ID 資訊,以及從警局、政府單位取得監控畫面來人臉辨識資訊。

Gevers 發現漏洞後不久,回報給這間公司,之後這間公司就阻擋了所有非中國的 IP 連線,但沒有任何評論。當 Gevers 之後得知中國對新疆監控問題的相關資訊後,表示他現在後悔將這漏洞回報給這公司,感覺自己做了錯事。

(本文由 T客邦 授權轉載;首圖來源:shutterstock)

延伸閱讀: