本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。

自今年年初被各家媒體曝光后，科技初創(chuàng)公司Clearview AI就一直備受爭(zhēng)議。

據(jù)雷鋒網(wǎng)此前報(bào)道，該家公司擁有龐大的面部識(shí)別數(shù)據(jù)庫(kù)，其中包括從網(wǎng)站和社交媒體平臺(tái)上抓取的30億張圖像。用戶上傳感興趣人的照片，該軟件可通過(guò)數(shù)據(jù)庫(kù)中相似圖像進(jìn)行匹配，以確認(rèn)上傳照片中人的身份。

消息一出，F(xiàn)acebook、Google等科技公司紛紛要求終止第三方協(xié)議。甚至，伊利諾伊州和弗吉尼亞州也提起訴訟，要求暫停該程序。

而最近，該程序存在的源代碼泄露造成的安全漏洞，更讓不少媒體擔(dān)憂起來(lái)。TechCrunch報(bào)道中，網(wǎng)絡(luò)安全公司SpiderSilk首席安全官M(fèi)ossab Hussein發(fā)現(xiàn)了Clearview AI一個(gè)暴露的服務(wù)器，盡管該服務(wù)庫(kù)受密碼保護(hù)，但該服務(wù)器被配置為允許任何人注冊(cè)為新用戶以等登陸存儲(chǔ)源代碼的服務(wù)器。

此外，該服務(wù)器還存儲(chǔ)了公司的一些秘密密鑰和憑證，可授權(quán)對(duì)Clearview AI云存儲(chǔ)的訪問(wèn)權(quán)限，從而可訪問(wèn)Windows、Mac、Android和iOS系統(tǒng)副本。不久前，蘋果公司因其違反規(guī)則而阻止了該應(yīng)用程序。根據(jù) Hussein的說(shuō)法，該還公開(kāi)了Clearview的Slack令牌，如果使用該令牌，則可能允許無(wú)密碼訪問(wèn)該公司的內(nèi)部私人通訊。

 圖：Hussein說(shuō)，Clearview AI的iOS應(yīng)用程序不需要登錄。他拍攝了幾個(gè)屏幕截圖，以展示該應(yīng)用程序的運(yùn)行方式。示例中使用了馬克·扎克伯格的照片。

盡管Clearview AI聲稱它只允許執(zhí)法部門使用該技術(shù)，但報(bào)告顯示，該公司吸引了梅西百貨、沃爾瑪、NBA等企業(yè)用戶。

Clearview AI創(chuàng)始人Hoan Ton-That表示，“公司多次經(jīng)受住了外界網(wǎng)絡(luò)入侵挑戰(zhàn)，且一直在大力投資以增強(qiáng)安全性防護(hù)。”

據(jù)了解，Hoan Ton-That與HackerOne建立了一個(gè)漏洞賞金計(jì)劃，通過(guò)該漏洞獎(jiǎng)勵(lì)安全研究人員發(fā)現(xiàn)Clearview AI的漏洞。此前被曝光的這個(gè)漏洞并未暴露任何個(gè)人身份信息、搜索歷史或生物識(shí)別信息。

不過(guò)，Hussein描述了另外一幅畫面：他從該公司的云存儲(chǔ)中發(fā)現(xiàn)了大約7萬(wàn)個(gè)視頻，這些視頻是從一棟住宅樓中安裝的攝像頭拍攝的。他曾向Clearview AI說(shuō)明過(guò)此事，但拒絕接受懸賞，在他看來(lái)，如果簽署該懸賞，將禁止被公開(kāi)披露安全漏洞。

對(duì)此，Hoan Ton-That解釋，這些鏡頭是在大樓管理人員許可下捕獲的，嚴(yán)格處于調(diào)試目的，收集了一些原始視頻，這是制作安全攝像機(jī)原型的一部分。

據(jù)報(bào)道該建筑物本身位于曼哈頓，一些帶有建筑物大廳的土地清單也證實(shí)了這一點(diǎn)。不過(guò)，負(fù)責(zé)該建筑物的房產(chǎn)公司代表并未對(duì)此予以回復(fù)。

Clearview AI表示，未公開(kāi)任何可識(shí)別個(gè)人身份的信息，搜索歷史或生物識(shí)別信息并補(bǔ)充說(shuō)公司已對(duì)服務(wù)器進(jìn)行了全面的審核，以確認(rèn)未發(fā)生其他未經(jīng)授權(quán)的訪問(wèn)。服務(wù)器公開(kāi)的密鑰也已更改，因此它們不再起作用。

多年以來(lái)，數(shù)據(jù)泄露的威脅、數(shù)據(jù)保護(hù)的責(zé)任以及其對(duì)企業(yè)和科技產(chǎn)業(yè)發(fā)展的影響正得到更多人的關(guān)注。

2016年4月，歐盟GDPR獲得批準(zhǔn)，并于2018年5月正式實(shí)施。該法規(guī)提出的最低要求包括：數(shù)據(jù)保護(hù)責(zé)任；數(shù)據(jù)主體的同意；數(shù)據(jù)訪問(wèn)權(quán)以及數(shù)據(jù)泄密機(jī)制等。

實(shí)際上，我們?cè)缇蛻?yīng)該考慮如何管理公共數(shù)據(jù)安全問(wèn)題。首先，企業(yè)需要讓用戶更清楚地了解何時(shí)可抓取并使用這些數(shù)據(jù)；同時(shí)，還需要充分發(fā)揮法律的力量，為用戶提供新的保護(hù)措施，以防止接下來(lái)企業(yè)還會(huì)啟用同樣的手段。

直到目前，Clearview AI仍是有富有爭(zhēng)議的話題。而本周早些時(shí)候消息稱，黑客已經(jīng)捕獲了Clearview AI的客戶列表。殊不知，安全問(wèn)題正持續(xù)引發(fā)除了用戶之外的更多人關(guān)注。