「人臉密碼」真的安全嗎?

2019-02-25
作者 鍾琳,國際電子商情(ESMC)

現在的人臉辨識資料往往是透過網路上傳到雲端,這其中就存在不少資料洩露或被違規應用的可能……

如今,人臉辨識技術和應用已逐步走進人們生活的各個角落,讓生活將更方便、更舒適。

手機人臉辨識開鎖、支付;智慧門鎖只要掃一下人臉,就能打開房門;超市裡的無感支付,能直接找到你的支付帳號直接扣費;火車站外的身份辨識,一秒鐘就能辨識出真偽;街道上各種監控設備,讓違法犯罪行為無所遁形……

每個人的「臉」只有一張,它不像數位密碼那般可隨意更換,也不像指紋辨識那樣可以任意使用其中一根手指,每個人的「人臉密碼」都是不可替代的。況且,和應用於手機和打卡機中的終端運算不同,現在的人臉辨識資料往往是通過網路上傳到雲端,然而這其中就存在不少資料洩露或被違規應用的可能。

深圳AI公司洩露人臉資料

2019年2月中旬據外媒報導,中國人臉辨識公司——深圳市深網視界科技發生大規模資料洩露事件。其人臉辨識資料庫包含了超過250萬人的個人資訊,內容包括身份證號、身份證簽發和到期日期、性別、國籍、地址、生日、通行證、雇主,以及他們在過去24小時內路過攝影機的位置。資料顯示,單單在過去24小時之內,這家公司收集的資料就多達668萬條!

更驚悚的是,這家公司的資料庫在網路上對外是全權開放,任何人都可以查看。這意味著外界根據即時的人臉辨識功能跟蹤每一個人的行蹤,甚至可以修改或刪除資料。

不可思議的是,發現該問題的荷蘭安全研究員Victor Gevers稱,其資料庫開放是從2018年7月開始,隨後他所在的GDI基金會曾試圖聯繫深網視界,警告資料庫公開的問題。現在看來,直至資料洩露,深網視界並沒有採取什麼有效行動。

所幸的是,目前經媒體曝光和警告後,深網視界資料庫已設置了防火牆規則的「保護」,相關資料不再允許外國IP位址訪問。

截止發稿,深網視界及其控股股東東方網力均表示,相關事件正在調查中。而另一位合資股東商湯科技,則在洩露事件的第一時間極力撇清關係,稱「公司已於2018年從深網視界撤資」。

時常「裸奔」的企業資料庫

一石激起千層浪。深網視界資料洩露曝光之後,資料安全再次成為業界關注的焦點。

在剛剛過去的2018年,駭客、惡意軟體和社交攻擊(如網路釣魚)等新聞層出不窮,讓人們談「隱私」色變。Facebook史上最大規模的資料洩露醜聞、3億條快遞物流資料被人在暗網(Dark web,根據維基百科,暗網是指那些儲存在網路數據庫裡、但不能透過超連結訪問而需要利用動態網頁技術訪問的資源集合)兜售,以及華住集團5億條公民個人資訊被洩露等事件,都引發了人們對資料隱私和人工智慧(AI)技術信任機制的討論熱潮。

結合近年發生的資料洩露事件,可以推測,企業不設置資料庫密碼的情況並不鮮見。

一位資深業內人士表示,資料庫,尤其是一些開來源資料庫的早期版本,本身就沒有設置密碼,這是非常常見的。例如,微信跟手機綁定之後,不需要密碼,透過手機號就可以登陸,好多資料庫都是這樣。

而深網視界資料洩露事件,可能就是在這方面出了問題,既沒有設置密碼,也沒有資料庫管理員(DBA)去維護。這是企業單方面的問題,需要內部運營維護人員去加強管理。

誰來保障我們的人臉安全?

科技,是一把雙刃劍。在享受科技生活帶來的便捷時,往往也伴隨著許多安全風險。街道上的霓虹燈五彩繽紛,卻造成了城市光污染;電腦改變了整個社會的工作形態,卻滋生了網路成癮的病態;人們發明了AI機器人,卻擔心未來機器人是否會取代所有工作崗位……

其實,人臉辨識也一樣。我們在享受它帶來便捷的同時,自然也可能被極度脆弱的網路安全所侵犯。這是很正常的產業規律,但絕不能忽略。

除了企業要對使用者資料引起重視,並加強資料庫管理維護外,資料安全的最終解決方案,還是要靠政策性法規的強制規定。

一方面,政府及大型網際網路企業應該加強防護措施,嚴格執行資訊安全和資料保密的操作流程,建立完善的資訊安全防範體系,進一步完善對使用者隱私資訊資料的安全防護。另一方面,從國家層面來說,還要加強網路安全監管能力和處罰力度,提高自身的可信程度。最後,個人隱私資訊資料的保護,還需要政府宣導線民共同努力,加強網路安全的認知能力。

資料安全話題永遠不會過時。相信隨著網路資訊技術的深度發展,還有很多資料安全問題將湧現出來。但長期來看,有問題就是有前進的方向,資料安全問題將促進中國資料獲取和使用的規劃化、制度化,從而助力中國大資料產業的長期發展。

本文為國際電子商情原創文章

活動簡介
未來寬能隙半導體元件會在哪些應用成為主流?元件供應商又會開發出哪些新的應用寬能隙元件的電路架構,以協助電力系統開發商進一步簡化設計複雜度、提升系統整體效率?TechTaipei「寬能隙元件市場與技術發展研討會」將邀請寬能隙半導體的關鍵供應商一一為與會者解惑。
贊助廠商
訂閱EETT電子報