一名安全研究人员发现,一家中国面部识别公司将其数据库暴露在网上,泄露了数百万人的信息。

SenseNets是一家总部位于中国深圳的公司,提供面部识别技术和人群分析,该公司在一段宣传视频中吹嘘称,这种技术可以追踪城市中的人群,并在人群中进行识别。

但周三,荷兰GDI基金会(GDI Foundation)的安全研究员Victor Gevers发现该公司未能以密码保护该数据库。这个数据库包含了250多万条相关人的记录,包括他们的身份证号码、地址、生日以及SenseNets的面部识别识别到的他们的位置。

Gevers说,仅24小时,就有超过680万个地点被记录在案。任何人都可以看到这些记录,并基于SenseNets的实时面部识别来跟踪一个人的动作。

Gevers在一条信息中说:“知道某人何时不在办公室或家中,不仅对简单的盗窃犯罪有用,也有助于社会工程攻击进入建筑物。”他说,GDI基金会联系了该公司,对该开放数据库提出了警告。SenseNets没有回复记者的置评请求。

Gevers说,被记录的地点包括警察局、酒店、旅游点、公园、网吧和清真寺。研究人员发现,在中国有1039种独特的设备在跟踪人们。

Gevers说,任何人都可以在线找到这个数据库,而且它允许完全访问——这意味着恶意行为者可以从数据库中添加或删除记录。当它可用时,安全研究人员发现过去有人试图劫持数据库。除了位置记录,窃贼还可能偷走了人们的地址和身份证号码等敏感信息。

面部识别在中国非常普遍,用于监控全国各地的公民。到2020年,中国计划通过人脸识别记录行为,如乱穿马路和购物频率,给每个公民一个社会信用评分。中国目前有大约2亿台监控摄像头,并计划到明年将摄像头数量增加两倍以上。

这项技术经常被批评为侵犯隐私,因为它允许政府机构在未经公民同意的情况下实时跟踪公民。在美国,奥兰多警察局(Orlando police department)尝试使用亚马逊(Amazon)的Rekognition技术追踪个人面部识别。

SenseNets的公开数据库记录了每一个人被散布在城市各处的追踪器的面部识别识别出来的时间。Gevers说,每个摄像头都有一个独立的名称和一个与某个位置相关联的IP地址。