国内一人脸识别公司被指存在安全漏洞 250万人轨迹信息疑泄露

隐私护卫队
原创2019-02-15 16:16

南都讯记者冯群星 近日,有安全研究人员在社交网络发布信息,称深圳一家人脸识别技术公司出现安全漏洞,任何人都可以访问该公司的数据库,而数据库内包含250多万人的个人信息及轨迹信息。

2月13日,荷兰安全研究人员Victor Gevers在推特发文称,深圳公司深网视界的数据库存在安全漏洞,“任何人都可以完全访问”该公司的业务IP和数百万人的轨迹数据。

Gevers说,该数据库包含了256万余人的个人信息,比如身份证号码、地址、生日、照片和雇主信息。同时,数据库内还储存了这些人过去24小时内被摄像头拍到过的地点,约有668万条记录。已记录的地点中包括宾馆、旅游景点、公园、网吧等。

WechatIMG9563.jpeg

Gevers 提供的截图显示,该数据库的访问端口目前已被关闭。此前,他曾将漏洞情况反馈给深网视界,但没有得到回复。

隐私护卫队了解到,深网视界成立于2015年,由东方网力科技股份有限公司控股。该公司定位在“AI+安防”,具有人脸检测和人群分析技术。

公开报道显示,2018年4月,深网视界总经理万定锐曾出席AI安防的主题论坛。他介绍,东方网力将人脸识别、视频结构化、大数据等自研技术与社区场景应用结合,以构建“智慧安全社区”,打通安防的“最后一公里”。

屏幕快照 2019-02-15 下午4.02.38.png

万定锐演讲 PPT。图自雷锋网。

15日下午,隐私护卫队致电深网视界,有工作人员表示,该公司已在配合调查,具体细节不便透露。

有安全研究人员告诉隐私护卫队,如Gevers提供的情况属实,则该漏洞属于MongoDB数据库未授权访问漏洞,简单说就是任何人不需要账号密码就可以访问数据库。在国内,此类问题普遍存在。

据了解,开启MongoDB服务时默认是没有权限验证的,而且可以远程访问数据库,所以登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。

编辑:蒋琳

41
对这篇文章有想法?跟我聊聊吧
本作品著作权归南方都市报社所有,如需使用需经书面授权。授权联系方式:
banquan@nandu.cc,020-87006626。
好嘢听新闻报料去APP