随着人脸识别技术的普及,隐私保护和数据安全之类的话题已然成为了社会焦点,也是很多网络安全机构的重点观察对象。
近日,一家名为 GDI 基金会的荷兰非盈利组织发现,一个包含数千名中国学生和儿童信息的人脸识别数据库未经保护,可以在互联网上公开访问。该数据库与一套名为“Safe School Shield”的监控系统相连接,由第三方公司托管于阿里巴巴的云服务器上。
GDI 基金会研究员 Victor Gevers 表示,“我们就数据库问题向阿里巴巴公司发送了警告电子邮件,随后在社交媒体上披露了。目前管理员已经将数据保护起来了,不清楚管理员的身份(不清楚管理员来自阿里巴巴,还是第三方公司的)。”
公开资料显示,GDI 基金会以维护网络信息安全为主要目标,Gevers 是该基金会的联合创始人兼主席,同时他还在荷兰政府部门工作,曾任 IT 安全架构师。他在网络安全领域经验丰富,领导旗下研究员参与披露了多起数据泄露和网络安全漏洞事件。
图 | GDI 基金会宣传图(来源:GDI)
针对研究人员发现,这个数据库可能是在 10 天时间内收集的,其中有 130 万份个人信息,涵盖四川和甘肃的 20 所学校和 3 家公司。
由于这些数据涉及隐私,GDI 并没有公开其具体形式,而是与《华尔街日报》记者分享了多个样例。
按照描述,未经保护的学生资料似乎可以分成多个合集,包括学生身着校服的高分辨率照片,以及与之对应的学生所在地、姓名、父母的姓名和手机号。
“自去年 12 月中旬以来,这个数据库就可以在网络安全研究员和开发人员常用的搜索引擎上搜到,”Gevers 表示,“如果有攻击者盯上了这些信息,很可能早已经创建了管理员账户。这样的话,即使数据库被保护起来了,攻击者也可以继续拥有访问权限。”
这番言论是 Gevers 对《华尔街日报》表述的,并没有提供任何证据作为支撑,也无法找到其他公开佐证。必须注意的是,他曾有意夸大过网络安全漏洞的负面影响,因此数据泄露的实质影响有待考证。
早在 2019 年 2 月,GDI 基金会就曾披露过中国公司的个人数据泄露,也就是当时引发巨大舆论争议的“深网视界数据泄露”事件。
当时遭到泄露的数据库体积超过 3.5G,包含 250 多万份个人信息记录,以身份证信息为主,涵盖号码、性别、生日、住址等等,还包括 24 小时内定位信息等敏感隐私数据。
在最早公布的信息时,Gevers 声称“任何人都可以访问这些数据”。
但在推敲细节之后不难发现,所谓的“任何人”必须具备一定的网络安全知识和技术,懂得利用 MangoDB 的数据库未授权访问漏洞,之后才能通过后端服务器指令查询和修改数据库,不懂相关技术的普通网民几乎不可能完成这种操作。
即便如此,深网视界数据库存在重大权限漏洞也是不争的事实。至于是否被别有用心之人恶意滥用,公众不得而知。
近年来,越来越多的互联网服务提供商开始收集用户数据,很多企业开始抛弃传统数据库,转投云服务,但因为数据保护水平低下,责任意识淡薄等原因,导致数据泄露事件层出不穷。
有些数据泄露事件仅仅是因为云服务配置不当造成的,比如将数据库权限设为“公开”,而非“私有”。
在全球范围内,非法获取、滥用和倒卖用户数据的黑色产业链也已经形成规模,除了“深网视界数据泄露”事件,还有 2018 年的华住集团 5 亿条个人数据在暗网上售卖,Facebook 剑桥分析丑闻,万豪国际(酒店)集团数据泄露等等。
造成这种现象的原因十分复杂,有企业安全意识淡薄的原因,有技术原因,比如数据库或服务器存在安全漏洞,也有监管原因——配套政策没有跟上技术发展的脚步。
最近几年,使用大数据和人工智能等技术的应用突然呈井喷之势爆发,配套的监管政策和实际操作流程还没有完全落实,虽然欧盟已经开始施行“最严数据法案”GDPR,但大部分国家仍然处于摸索阶段。
以人脸识别技术为例,美国个别州和欧洲国家对是否允许使用这项技术都存在较大争议,欧盟甚至在考虑暂时全面禁止人脸识别技术。这侧面反映出立法监管这种技术的难度之高,只能暂时将其束之高阁,直到形成成熟的监管体系,哪怕它能带来巨大的价值和收益。
常用于企业安全管理的“海恩法则”指出,每一起严重事故的背后,必然有 29 次轻微事故,300 起未遂先兆和 1000 起事故隐患。
在大数据时代,将数据安全归于企业安全管理范畴也合情合理,那么在隐私泄露事故频发的今天,欧洲国家的心态或许值得我们反思和借鉴。
参考:https://www.wsj.com/articles/thousands-of-chinese-students-data-exposed-on-internet-11579283410
声明:本文来自DeepTech深科技,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
