由于服务器配置错误,导致面部识别公司Clearview源代码公开
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
自今年年初被各家媒体曝光后,科技初创公司Clearview AI就一直备受争议。
据雷锋网(公众号:雷锋网)此前报道,该家公司拥有庞大的面部识别数据库,其中包括从网站和社交媒体平台上抓取的30亿张图像。用户上传感兴趣人的照片,该软件可通过数据库中相似图像进行匹配,以确认上传照片中人的身份。
消息一出,Facebook、Google等科技公司纷纷要求终止第三方协议。甚至,伊利诺伊州和弗吉尼亚州也提起诉讼,要求暂停该程序。
而最近,该程序存在的源代码泄露造成的安全漏洞,更让不少媒体担忧起来。TechCrunch报道中,网络安全公司SpiderSilk首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器,尽管该服务库受密码保护,但该服务器被配置为允许任何人注册为新用户以等登陆存储源代码的服务器。
此外,该服务器还存储了公司的一些秘密密钥和凭证,可授权对Clearview AI云存储的访问权限,从而可访问Windows、Mac、Android和iOS系统副本。不久前,苹果公司因其违反规则而阻止了该应用程序。根据 Hussein的说法,该还公开了Clearview的Slack令牌,如果使用该令牌,则可能允许无密码访问该公司的内部私人通讯。
由于服务器配置错误,导致面部识别公司Clearview源代码公开
图:Hussein说,Clearview AI的iOS应用程序不需要登录。他拍摄了几个屏幕截图,以展示该应用程序的运行方式。示例中使用了马克·扎克伯格的照片。
尽管Clearview AI声称它只允许执法部门使用该技术,但报告显示,该公司吸引了梅西百货、沃尔玛、NBA等企业用户。
Clearview AI创始人Hoan Ton-That表示,“公司多次经受住了外界网络入侵挑战,且一直在大力投资以增强安全性防护。”
据了解,Hoan Ton-That与HackerOne建立了一个漏洞赏金计划,通过该漏洞奖励安全研究人员发现Clearview AI的漏洞。此前被曝光的这个漏洞并未暴露任何个人身份信息、搜索历史或生物识别信息。
不过,Hussein描述了另外一幅画面:他从该公司的云存储中发现了大约7万个视频,这些视频是从一栋住宅楼中安装的摄像头拍摄的。他曾向Clearview AI说明过此事,但拒绝接受悬赏,在他看来,如果签署该悬赏,将禁止被公开披露安全漏洞。
对此,Hoan Ton-That解释,这些镜头是在大楼管理人员许可下捕获的,严格处于调试目的,收集了一些原始视频,这是制作安全摄像机原型的一部分。
据报道该建筑物本身位于曼哈顿,一些带有建筑物大厅的土地清单也证实了这一点。不过,负责该建筑物的房产公司代表并未对此予以回复。
Clearview AI表示,未公开任何可识别个人身份的信息,搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核,以确认未发生其他未经授权的访问。服务器公开的密钥也已更改,因此它们不再起作用。
多年以来,数据泄露的威胁、数据保护的责任以及其对企业和科技产业发展的影响正得到更多人的关注。
2016年4月,欧盟GDPR获得批准,并于2018年5月正式实施。该法规提出的最低要求包括:数据保护责任;数据主体的同意;数据访问权以及数据泄密机制等。
实际上,我们早就应该考虑如何管理公共数据安全问题。首先,企业需要让用户更清楚地了解何时可抓取并使用这些数据;同时,还需要充分发挥法律的力量,为用户提供新的保护措施,以防止接下来企业还会启用同样的手段。
直到目前,Clearview AI仍是有富有争议的话题。而本周早些时候消息称,黑客已经捕获了Clearview AI的客户列表。殊不知,安全问题正持续引发除了用户之外的更多人关注。
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/live立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
原文发布时间:2020-04-19
本文作者:杨丽
本文来自:“雷锋网”,了解相关信息可以关注“雷锋网”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
你真的需要Kubernetes吗?
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 引入 Kubernetes 时不能太草率,因为它不一定适合你。本篇文章探讨了在使用 Kubernetes 前应该考虑的一些因素。 过去几年,Docker 成为一种非常受欢迎的应用程序构建、交付和运行方式。使用 Docker,只需一次构建应用程序,即可随处运行。虽然这是软件开发方式的一次巨大飞跃,但它也带来一些新挑战。对初学者而言,在 Docker 容器和主机间建立网络连接不是一件简单的事。这与我们过去传统的联网方法有很大不同,它要求具备一定的技能才能做好。 另一个挑战是存储。默认情况下,Docker volumes 被绑定到它们的主机。这意味着,如果我们希望运行一个服务的多个实例,并让它们共享 volume,就不得不设置好复制机制或配置成使用云存储服务。 虽然 Docker 被视为一项了不起的技术,但缺少一个能将所有技术联系在一起的组件。而 Kubernetes 正是那个组件。尤其是通过 Azure、AWS 等云平台提供的全托管形式,Kubernetes 解决了所有这些问题,并通过一系列...
- 下一篇
快速了解专有网络VPC基础架构
云栖号快速入门:【点击查看更多云产品快速入门】不知道怎么入门?这里分分钟解决新手入门等基础问题,可快速完成产品配置操作! 基于目前主流的隧道技术,专有网络(Virtual Private Cloud,简称VPC)隔离了虚拟网络。每个VPC都有一个独立的隧道号,一个隧道号对应一个虚拟化网络。 背景信息 随着云计算的不断发展,对虚拟化网络的要求越来越高,例如弹性(scalability)、安全性(security)、可靠性(reliability)和私密性(privacy),并且还有极高的互联性能(performance)需求,因此催生了多种多样的网络虚拟化技术。 比较早的解决方案,是将虚拟机的网络和物理网络融合在一起,形成一个扁平的网络架构,例如大二层网络。随着虚拟化网络规模的扩大,这种方案中的ARP欺骗、广播风暴、主机扫描等问题会越来越严重。为了解决这些问题,出现了各种网络隔离技术,把物理网络和虚拟网络彻底隔开。其中一种技术是用户之间用VLAN进行隔离,但是VLAN的数量最大只能支持到4096个,无法支撑公共云的巨大用户量。 原理描述 基于目前主流的隧道技术,专有网络隔离了虚拟网络。每...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS7设置SWAP分区,小内存服务器的救世主
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,CentOS7官方镜像安装Oracle11G
- Hadoop3单机部署,实现最简伪集群
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7安装Docker,走上虚拟化容器引擎之路