專窺大眾底褲的公司忘記穿褲就裸奔了&helpp;&helpp;”不得不說����,對于這種運維不夠��,吃瓜群眾來湊的熱鬧���,往往能惹來不少相關(guān)從業(yè)者的憤慨�����。
事件經(jīng)過就在剛剛過去的一天里�����,追蹤 MongoDB 數(shù)據(jù)庫多年的荷蘭著名安全研究員 Victor Gevers 又發(fā)現(xiàn)了新的“裸奔”用戶數(shù)據(jù)泄露�����,這次他將矛頭指向了一家中國安防視覺領(lǐng)域的企業(yè)
Gevers 連發(fā)數(shù)條推文指出�����,該公司其中一個 MongoDB 人臉識別數(shù)據(jù)庫在沒有安全認(rèn)證的情況下直接在公網(wǎng)“裸奔”�����,可供任何人查找�,并允許完全訪問��,這意味著惡意行為者可以隨意添加或刪除數(shù)據(jù)庫中的記錄��。
換言之���,任何人都可以查看這些記錄并跟蹤一人的行為�����。
據(jù)悉��,被暴露的數(shù)據(jù)庫包含有 2,565,724 名用戶的信息�,以及仍在飛速增長的 GPS 位置記錄。
這些用戶數(shù)據(jù)不僅包括用戶名���,還有非常詳細(xì)且高度敏感的信息��,如姓名���、身份證號碼、身份證簽發(fā)日期�����、性別���、國籍����、家庭住址����、出生日期、照片��、工作單位等內(nèi)容����。
此外�,該數(shù)據(jù)還包含一系列“監(jiān)控器”以及與之相關(guān)的 GPS 位置記錄��,每個攝像頭都有一個單獨的名稱和一個與某個位置相關(guān)的 IP 地址�����。
根據(jù)該公司的網(wǎng)站��,這些監(jiān)控器似乎是公共攝像機的位置�����,通過該攝像機進行視頻拍攝和分析��。
如“酒店”�����、“警察”����、“網(wǎng)吧”���、“餐館”等��,都是對“監(jiān)控器”等相關(guān) GPS 位置的描述�。
在過去的 24 小時內(nèi),已經(jīng)有 670 萬 GPS 位置數(shù)據(jù)被記錄下來���。
圖注:暴露的數(shù)據(jù)庫中發(fā)現(xiàn)的一處GPS坐標(biāo)位置他表示����,現(xiàn)在數(shù)據(jù)庫已通過防火墻“受到保護”�����。
雖然他仍懷疑中國外的流量訪問得到了阻止��,但至少海外(服務(wù)器)是無法再訪問到這些數(shù)據(jù)了����。
目前,Gevers 已通過 GDI Foundation 向該公司對自 7 月開始開放的數(shù)據(jù)庫提出警告���。
外媒CNET�����、ZDNet相繼報道了該起事件���,并引起了國內(nèi)網(wǎng)友們的強烈關(guān)注:@xiangp:只要不捅大的公關(guān)簍子��,這些靠忽悠政府和 VC 的所謂“科研獨角獸”們就不會往工程方向多看哪怕一眼&helpp;&helpp;這里要給敢于扒“巨人”底褲的國外同行們點贊��。
結(jié)合 Gevers 指出的幾點問題���,或許我們可以從兩個方面來觀察這家公司:一是計算機視覺產(chǎn)品在安防領(lǐng)域的應(yīng)用特征,二是自身業(yè)務(wù) IT 系統(tǒng)治理的安全管控能力�。
深網(wǎng)視界是誰?就在我們著手了解深網(wǎng)視界相關(guān)信息時�����,卻意外地發(fā)現(xiàn)其公司頁面(http://www.sensenets.com)已無法打開�。
而且���,自 2015 年 9 月成立以來�,有關(guān)這家的公開信息就十分寥寥:據(jù)公開信息���,深網(wǎng)視界是一家由東方網(wǎng)力和商湯科技聯(lián)合成立的����,專注安防領(lǐng)域視頻分析的公司。
于 2015 年 9 月在深圳成立����,公司經(jīng)營范圍包括技術(shù)開發(fā)、技術(shù)轉(zhuǎn)讓�、技術(shù)咨詢、技術(shù)服務(wù)���、技術(shù)推廣等�����。
2017 年 5 月�����,商湯科技出資認(rèn)購深網(wǎng)視界 2000 萬人民幣��,持股 35.83%���,成為第二大股東。
我們這才發(fā)現(xiàn)�����,盡管深網(wǎng)視界大眾的視野中并不出眾,但為其投資的兩家公司——東方網(wǎng)力與商湯科技卻不得不提���。
據(jù)億歐此前報道稱����,東方網(wǎng)力曾一直與商湯科技背后的港中大湯曉鷗教授團隊保持著密切的合作關(guān)系����。
不過,就在該起事件發(fā)生后����,商湯科技很快在微博網(wǎng)友留言區(qū)表示:“深圳深網(wǎng)視界科技有限公司目前與商湯科技無關(guān)聯(lián)關(guān)系。
商湯曾與東方網(wǎng)力合資成立深圳深網(wǎng)視界科技有限公司����,但 2018 年商湯就已從深網(wǎng)視界撤資了。
并通過《每日經(jīng)濟新聞》對外稱�����,商湯科技在參與深網(wǎng)視界經(jīng)營階段��,主要通過派出技術(shù)人員為其提供底層算法的模式參與對方產(chǎn)品研發(fā)����,未接觸對方的系統(tǒng)層和業(yè)務(wù)層。
值得一提的是���,在東方網(wǎng)力 2018 年 4 月公布的 2017 年度財報中�����,深網(wǎng)視界的營業(yè)利潤����、凈利潤���、現(xiàn)金流均表現(xiàn)為負(fù)數(shù)�。
那這又是否為商湯科技與深網(wǎng)視界分道揚鑣的主要原因呢�?據(jù)悉,東方網(wǎng)力是一家從視頻管理平臺起家�,主要提供安防服務(wù)、視頻監(jiān)控解決方案的上市公司��。
除了與商湯科技合作之外,近兩年在人工智能領(lǐng)域也耗費了不少資金和精力���。
2016 年 1 月����,成立東方網(wǎng)力(蘇州)智能科技有限公司�����,主要關(guān)注智慧城市���、智慧交通�、物聯(lián)網(wǎng)等方面的技術(shù)研發(fā)��;2016 年 9 月�,成立北京物靈智能科技有限公司,進行智能家庭機器人和社交機器人的研發(fā)��。
運維的鍋�����?筆者還注意到�����,知乎 2018 年 3 月的一則匿名留言從技術(shù)角度對深網(wǎng)視界做出了評價:反查官網(wǎng)域名所在的服務(wù)器�,是阿里云的。
別的不說����,起碼公司內(nèi)沒有一個很牛逼的運維。對技術(shù)的投入有點懷疑�。這是我現(xiàn)在看一家公司的維度之一,屬于個人主觀意見����。
且不論這位匿名網(wǎng)友的觀點是否有依據(jù),但他無疑將矛盾點指向了本次事件遇到的問題:數(shù)據(jù)庫運維的安全性���。
黑客們往往會利用 Web 漏洞���、服務(wù)器漏洞、配置錯誤等技術(shù)手段�����,甚至釣魚手段���,目標(biāo)直指數(shù)據(jù)庫�。
要知道,數(shù)據(jù)一旦泄密�,緊接著而來的可能就是金融賬號詐騙、用戶信息兜售�,這嚴(yán)重?fù)p害了公眾利益。
有網(wǎng)友就警告:@AB_Clampju:這種信息泄漏不是第一次了����,以往有重視過嗎?并沒有�。
而天真的運維狗們也紛紛“喊冤”:@澤云027:這不能怪 MongoDB 吧?它只是默認(rèn)不開身份驗證而已����。
類似做法的知名開源數(shù)據(jù)類項目多了,比如 Hadoop 之類的�。@G口口D:這種低級錯誤通常是項目管理低下、不經(jīng)事��,年輕攻城獅常犯的���。
我們運維狗招惹誰了���?天天背鍋已經(jīng)夠累了����,還罵我們�,日子沒發(fā)過了&helpp;&helpp;”然而�����,事件發(fā)生之后�,相關(guān)方深網(wǎng)視界一直未給出回應(yīng)。
在筆者看來�����,這盡管有些難以名狀�����,但也極為符合國內(nèi)當(dāng)前市場情況���,因為安全問題的產(chǎn)生并非來自于外界黑客的攻擊��,而是更多來自于企業(yè)內(nèi)部���,基于不成熟的合規(guī)體系而操作不當(dāng)導(dǎo)致安全性問題��。
只有兩類企業(yè)���,一種是受到攻擊自己知道,一種是受到攻擊自己并不知道 �����。
如同買保險一樣����,如果沒有“實在地” 遇到黑客攻擊,可能無法真切地感受到這份“保險”的價值�����。
安全不是一個產(chǎn)品���,也不是一個方案��,而是一個整體的架構(gòu)���,一個風(fēng)險控制體系,首先要做風(fēng)險評估�����,風(fēng)險定位,然后思考安全架構(gòu)����,最后才是用哪種安全技術(shù)和產(chǎn)品來實現(xiàn)。
正如國內(nèi)企業(yè)對安全并未有完全清晰的認(rèn)識���,消費者對隱私的感知程度可能也需要隨著時代和科技的發(fā)展而改變。
誰來保證我們的隱私��?那么���,我們的隱私在中國是何種意義上的“安全”�����?去年 6 月在美國�,奧蘭多警察局使用亞馬遜的 Rekognition 的面部識別技術(shù)進行測試��。盡管如此���,還是被媒體批評為侵犯了用戶隱私���。
該起案件發(fā)生后��,外媒 ZDNet 就將矛頭指向了深網(wǎng)視界的業(yè)務(wù)背景��,它寫道:“某種意義上來講���,深網(wǎng)視界更像是一種政府合同承包商,而不是其他出售產(chǎn)品給其他企業(yè)的私企���。
否則�����,這很難解釋它是如何從政府單位獲取用戶個人信息和攝像頭信息的���。實際上,中國現(xiàn)在是世界上監(jiān)控攝像頭最多的國家�����,也是在安防監(jiān)控領(lǐng)域使用 AI 技術(shù)最積極的國家之一�����。
2017 年 6 月《華爾街日報》的一篇報道中指出,中國在公共場所有 1.7 億臺監(jiān)控攝像機���,到 2020 年可能還要安裝另外 4.5 億臺�。
曾有不少媒體報道�����,“在深圳�、濟南等地,如果橫穿馬路不遵守交通的行人���,將會被安裝有人臉識別功能的攝像頭抓拍下來,現(xiàn)場大屏幕曝光���、滾動播放����。
這究竟是依法行政��,還是侵犯公民隱私�?不得不承認(rèn),對數(shù)據(jù)隱私以及政府對公民管控存在的道德?lián)鷳n�����,我們思考得還是太少。
如今人臉識別正在中國得到越來越廣泛的應(yīng)用�,也成就了國內(nèi)計算機視覺比較大的優(yōu)勢局面。
