Распознавание лиц Clearview: 1000000000 конфиденциальных данных находятся в свободном доступе из-за бреши в безопасности
Функция распознавания лиц Clearview в последнее время наделала много шума. Стартап вызывает споры. Теперь эксперт по безопасности обнаружил исходный код на небрежно настроенном сервере и, следовательно, значительную утечку данных.
Всегда дело в распознавании лиц, защита данных здесь обычно не поддерживается. Это не исключение и с функцией распознавания лиц Clearview. Американский стартап якобы только предоставляет данные властям — фотографии можно сравнить с огромными базами данных Clearview. Однако, как выяснилось во время недавнего взлома, список клиентов Clearview, который просочился в процесс, также содержит множество универмагов — проверяется, были ли какие-либо нарушения защиты данных.
Плохо защищенный сервер разрешает доступ
Исследователь безопасности обнаружил совершенно другую утечку данных: на плохо защищенном сервере Clearview он смог получить представление о конфиденциальной информации, такой как исходный код приложений для распознавания лиц Clearview, 70000 видео и данные доступа для внутренней системы обмена сообщениями компании. Просто так, в свободном доступе в сети. К счастью, очевидно, что ни один киберпреступник не обнаружил брешь в безопасности заранее и не высосал данные …
Уязвимость обнаружил Моссаб Хусейн из компании SpiderSilk в Дубае. Он сообщил Clearview Facial Recognition, что компания закрыла утечку. Хусейн также передал информацию Techcrunch.
Исходный код приложений Clearview в свободном доступе …
Брешь в безопасности возникла таким образом, что для сервера действительно требовался пароль. Но вы также можете зарегистрировать нового пользователя, а затем войти в систему без каких-либо проблем. Вы уже были на сервере и теоретически могли получить исходный код приложений и создать свою собственную программу … Или прочитать внутреннюю переписку сотрудников в Slack.
Кроме того, по словам эксперта по безопасности, были и другие секретные ключи хранилища, на которых были, например, видеозаписи с людьми из жилого дома на Манхэттене. Clearview не объяснил, было ли это слежкой без согласия жителей. Но проект уже не актуален.
По данным Clearview, несанкционированного доступа не было.
Так много взрывчатки, что распознавание лиц Clearview снова выглядит плохо. По заявлению компании, тестирование уязвимости показало, что никто другой не вмешивался в работу сервера. Никаких данных не использовалось. Что ж, надеюсь, это правда …