暴露了安全失效的Clearview AI源代码

在一月份的报纸曝光后于一月爆炸后,Clearview AI迅速成为了科技初创企业中最难以捉摸,最秘密和最受辱骂的公司之一。

备受争议的面部识别初创公司允许其执法用户拍照,上传照片,并将其与所谓的30亿张图像数据库进行匹配,该公司从公共社交媒体资料中抓取了该图像。

但是有一段时间,配置错误的服务器暴露了公司的内部文件,应用程序和源代码,供互联网上的任何人查找。

迪拜网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了存储Clearview源代码的存储库。尽管存储库受密码保护,但配置错误的设置允许任何人注册为新用户以登录到存储代码的系统。

该存储库包含Clearview的源代码,可用于从头开始编译和运行应用程序。该存储库还存储了公司的一些秘密密钥和凭证,从而授予了对Clearview的云存储桶的访问权限。在这些存储桶中,Clearview存储了其完成的Windows,Mac和Android应用程序以及其iOS应用程序的副本,Apple 最近因违反其规则而对其进行了阻止。侯赛因说,存储桶还包含早期的,预发行的开发人员应用程序版本,这些版本通常仅用于测试。

根据侯赛因的说法,该存储库还公开了Clearview的Slack令牌,如果使用该令牌,则可能允许无密码访问该公司的私人消息和通讯。

自从被《纽约时报》(New York Times)引爆后,Clearview就一直被迫隐身,这一直受到隐私问题的困扰,但是它的技术在很大程度上未经测试,面部识别技术的准确性也未经验证。Clearview声称它只允许执法部门使用其技术,但报告显示,这家初创公司吸引了梅西百货,沃尔玛和NBA等私营企业的用户。但是,最新的安全漏洞可能会导致对公司的安全和隐私惯例进行更严格的审查。

当受到评论时,Clearview创始人Hoan Ton-That声称他的公司“经历了不断的网络入侵尝试,并一直在大力投资以增强我们的安全性。”

“我们已经与HackerOne建立了一个漏洞赏金计划,通过该漏洞奖励计算机安全研究人员发现Clearview AI的缺陷。系统”,Ton-That说。“不是我们的赏金计划的一部分的SpiderSilk公司发现了Clearview AI中的一个缺陷,并与我们联系。该漏洞并未暴露任何个人身份信息,搜索历史或生物识别信息。”他说。

《暴露了安全失效的Clearview AI源代码》

Ton-That指控该研究公司勒索,但Clearview和SpiderSilk之间的电子邮件描绘了另一幅图景。

侯赛因此前曾在MoviePass,Remine和Blind等多家初创公司中报告过安全问题,他说他报告了Clearview的曝光,但拒绝接受赏金。他说,如果签署该赏金,将禁止他公开披露安全漏洞。

对于公司来说,使用漏洞赏金条款和条件或保密协议来防止安全漏洞一旦得到修复,就很常见。但是专家告诉研究人员没有义务接受赏金或同意披露规则。

Ton-That说,Clearview已“对主机进行了全面的法医审核,以确认没有发生其他未经授权的访问。” 他还确认了密钥已更改并且不再起作用。

侯赛因的发现为这家秘密公司的运作提供了难得的一瞥。侯赛因共享的一个屏幕截图显示了引用公司Insight相机的代码和应用程​​序,Ton-That自停产以来被称为“原型”相机。

《暴露了安全失效的Clearview AI源代码》

根据BuzzFeed News的报道,测试相机的公司之一是纽约市房地产公司Rudin Management,该公司在其两座城市住宅楼中试用了相机。

侯赛因说,他在Clearview的一个云存储桶中发现了大约70,000个视频,这些视频来自安装在居民楼大厅高处的摄像头。视频显示居民进出建筑物。

Ton-That解释说:“作为安全摄像头产品原型的一部分,我们在建筑物管理人员的许可下,严格出于调试目的,收集了一些原始视频。”

鲁丁(Rudin)拥有的建筑物位于曼哈顿的东侧。一些带有建筑物大厅图像的财产清单也证实了这一点。房地产公司的代表未回复我们的电子邮件。

自1月份首次亮相以来,Clearview受到了严格的审查。它也引起了黑客的注意。

2月,Clearview 向客户承认,其客户清单因数据泄露而被盗-尽管该公司声称其服务器“从未访问过”。Clearview还对其包含Android应用程序的多个云存储桶进行了无保护的保护。

佛蒙特州总检察长办公室已经对公司涉嫌违反消费者保护法的行为展开了调查,并已被告知警察部门停止使用Clearview,包括在新泽西州和圣地亚哥。包括Facebook,Twitter和YouTube在内的数家科技公司已经向Clearview AI提交了终止与终止函。

在2月份接受 CBS新闻采访时,Ton-That为他公司的做法辩护。他说:“如果它是公开的并且在外面,并且可以在Google的搜索引擎中,它也可以在我们的搜索引擎中。”

点赞

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注