Bezpieczeństwo
Duży wyciek danych z Clearview AI. 70 tysięcy nagrań z kamer znalazło się w sieci

Zajmująca się oprogramowanie do rozpoznawania twarzy firma właśnie stała się obiektem gorącej dyskusji, bo pozwoliła, by w sieci bez większej ochrony znalazły się jej assety, własność intelektualna (w tym kod źródłowy do aplikacji mobilnej) i ogromna liczba materiałów wideo.

Problemy Clearview AI zaobserwowała zajmująca się cyberbezpieczeństwem firma SpiderSilk, bo podczas standardowych procedur natknęła się na nieprawidłowo skonfigurowany serwer. I choć zawartość magazynu danych była chroniona hasłem, to dosłownie każdy mógł założyć sobie konto, żeby zalogować się do systemu i uzyskać wgląd w jego zawartość. Tak właśnie postąpili specjaliści SpiderSilk, żeby przekonać się, jakie łakome kąski czekają tu na łowców okazji, czyli hakerów. Szybko okazało się, że poza kodem źródłowym, prywatnymi kluczami i listami uwierzytelniającymi przechowywanie w chmurze, serwer zawierał również działające wersje aplikacji Clearview AI na Windowsa, macOS, iOS i Androida. 

Ba, wystarczyło je pobrać i uruchomić, bo nie były w żaden sposób zabezpieczone, więc dosłownie każdy mógł je ściągnąć na swoje urządzenie i uzyskać dostęp do całej bazy systemu rozpoznawania twarzy. Niemożliwe? A jednak, choć Clearview AI zapewnia, że ciągle pracują nad kwestiami bezpieczeństwa: - Doświadczyliśmy wielu prób cyberwtargnięć do naszych systemów, dlatego badamy sprawą i inwestujemy jeszcze więcej w bezpieczeństwo. Ustanowiliśmy program bug bounty z HackerOne, gdzie osoby zajmujące się cyberbezpieczeństwem mogą zostać nagrodzone za znalezienie luk w naszych systemach. 

- SpiderSilk, firma, która nie była częścią naszego programu, znalazła lukę w Clearview AI i zgłosiła się do nas. Luka nie ujawniła żadnych danych umożliwiających identyfikację, historii wyszukiwania czy identyfikatorów biometrycznych - twierdzi CEO Clearview, Hoan Ton-That. Przy okazji sugeruje też, że SpiderSilk ucieka się tu do wymuszeń, choć korespondencja między firmami sugeruje coś zupełnie innego - możemy bowiem dowiedzieć się z niej, że SpiderSilk po prostu zgłosiło problem i odmówiło nawet nagrody w ramach bug bounty. Należy jednak zaznaczyć, że nie chodziło tu o pobudki altruistyczne, po prostu nie mogłoby wtedy nic ujawnić w ramach umowy NDA. 

SpiderSilk uznało zaś, że opinia publiczna powinna poznać szczegóły sprawy, szczególnie że mowa tu również o znajdujących się na niechronionych serwerach 70 tysiącach nagrań z kamery bezpieczeństwa na Manhattanie, na których można zobaczyć ludzi wchodzących i wychodzących z budynku mieszkalnego. CEO Clearview tłumaczy, że to nagrania z testów prototypu monitoringu, który został już porzucony i zostały pozyskane za zgodą zarządcy budynku, ale nie zmienia to faktu, że materiały nie były chronione i ktoś mógłby bez problemu z nich skorzystać. Poza tym, to nie pierwszy raz, kiedy Clearview jest na językach, bo wcześniej udowodniono mu trenowanie swojego AI na zdjęciach z różnych stron internetowych, korzystanie ze zdjęć profilowych w mediach społecznościowych mu korzystanie, a jakiś czas temu ktoś ukradł z niezabezpieczonego serwera całą listę klientów firmy, więc jej wiarygodność jest mocno nadszarpnięta. Mówiąc krótko, cała ta sytuacja dobrze pokazuje, jakie ryzyko niesie ze sobą każdy system rozpoznawania twarzy, który na dodatek nie jest odpowiednio chroniony.

Źródło: GeekWeek.pl/TechCrunch