“要的话五毛一张打包带走,总共两万套,不议价。”一位卖家用微信语音对记者说。他还发来两套手持身份证的人脸照片截图。
“新华视点”记者近日调查发现,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程。专家提醒,这些人脸信息有可能被用于虚假注册、电信网络诈骗等违法犯罪活动。
人脸数据0.5元一份、修改软件35元一套
“新华视点”记者调查发现,在淘宝、闲鱼等网络交易平台上,通过搜索特定关键词,就能找到专门出售人脸数据和“照片活化”工具的店铺。
在淘宝上,部分卖家以“人脸全国各地区行业可做,信誉第一”“出售人脸四件套,懂的来”等暗语招徕买家。记者随机点进一家出售“××同城及各大平台人脸”商品的店铺,旋即跳转到闲鱼界面。在该卖家的闲鱼主页中,售卖的商品为部分平台包含用户人脸的信息数据。
在闲鱼平台,不少卖家公开兜售人脸数据。为了保证店铺的“正常运营”,卖家常怂恿买家通过微信或QQ沟通议价。记者近日随机咨询其中一位卖家,对方用语音答复道“加微信聊吧,这个说多了会被封”,并向记者发来了微信号。
除售卖人脸数据外,一些“胆大”的闲鱼卖家还出售“照片活化”工具,利用这种工具,可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。
“一套(‘照片活化’)软件加教程35元,你直接付款,确认收货后我把链接发你。”一位闲鱼卖家在闲鱼对话框内使用语音与记者议价。在记者完成支付并确认收货后,卖家通过百度网盘给记者发来一个文件大小约20GB的“工具箱”,“工具箱”里有虚拟视频刷机包、虚拟视频模拟器和人脸视频修改软件等工具,还有相关工具的操作教程文件。
还有一位卖家在添加记者QQ好友后,先发来了一些单人手持身份证的样本照片,随后向记者展示了其利用工具修改上述照片后欺骗某网络社交平台人脸识别机制的效果视频。
目前,记者已将调查中发现的一些线索移交有关公安机关。
倒卖的人脸数据拿来做什么?
“如果只是采集个人的人脸信息,比如在马路上你被人拍了照,但是没有获得你的其他身份信息,隐私泄露风险并不大。”中国电子技术标准化研究院信安中心测评实验室副主任何延哲说,问题在于,当前网络黑市中售卖的人脸信息并非单纯的“人脸照片”,而是包含公民个人身份信息(包括身份证号、银行卡号、手机号等)的一系列敏感数据。
一位倒卖“人脸视频工具箱”并声称可以“包教会”的卖家告诉记者,只要学会熟练使用“工具箱”,不仅可以利用这些人脸数据帮他人解封微信和支付宝的冻结账号,还能绕过知名婚恋交友平台及手机卡实名认证的人脸识别机制。这位卖家还给记者传来了帮一些“客户”成功解封冻结账号的截图。
“从技术角度看,将人脸信息和身份信息相关联后,利用系统漏洞‘骗过’部分平台的人脸识别机制是有可能的。”人脸识别技术专家、厦门瑞为信息技术有限公司研究中心总监贾宝芝博士认为,尽管一些金融平台在大额转账时需要多重身份认证,但“道高一尺魔高一丈”,网络黑产技术手段也在不断更新,绝不能因此忽视账户安全。
何延哲向记者举例:如果人脸信息和其他身份信息相匹配,可能会被不法分子用以盗取网络社交平台账号或窃取金融账户内财产;如果人脸信息和行踪信息相匹配,可能会被不法分子用于精准诈骗、敲诈勒索等违法犯罪活动。
这些包含人脸信息和其他身份信息的数据从何而来?有卖家向记者透露,自己所售卖的人脸信息来自一些网贷和招聘平台;至于如何从这些平台中获取此类信息,对方没有作答。
需警惕利用人脸信息进行的违法犯罪活动
近年来,人脸识别技术被用于金融支付、小区安防、政务服务等诸多场景,既提高了便利性,也通过数据交互在一定程度上增强了安全性。
但是,人脸数据如果发生泄露或被不法分子非法获取,就有可能被用于违法犯罪活动,对此应保持警惕。
去年8月,深圳龙岗警方发现有辖区居民的身份信息被人冒用,其驾驶证被不法分子通过网络服务平台冒用扣分。
在开展“净网2020”行动中,龙岗警方经多方侦查发现,有不法分子使用AI换脸技术,绕开多个社交服务平台或系统的人脸认证机制,为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。截至目前,龙岗警方在广东、河南、山东等地已抓获涉案犯罪嫌疑人13名。
据警方介绍,在上述案件中,犯罪嫌疑人利用非法获取的公民照片进行一定预处理,而后通过“照片活化”软件生成动态视频,骗过人脸核验机制。随后,通过网上批量购买的私人社交平台账号登录各网络服务平台注册会员或进行实名认证。
人脸信息关系到每个人的生命财产安全。业内专家认为,对倒卖人脸信息的黑色产业链必须予以严厉打击,立法机关需统筹考虑技术发展与信息安全,划定人脸识别技术的使用红线;监管部门也应对恶意泄露他人人脸和身份信息的违法行为予以坚决制止。
明年将施行的民法典,对自然人个人信息的范畴进行了专门说明,生物识别信息被纳入其中。中国信息安全研究院副院长左晓栋认为,除民法典外,正在制定的个人信息保护法和数据安全法也应对人脸等生物特征信息的保护作出安排;立法要充分考虑人脸这一特殊身份信息的可获得性,不能让制定出来的法律因执行难而流于形式。
北京师范大学网络法治国际中心执行主任吴沈括认为,网络平台对平台上的交易行为负有监管义务,应严谨审核卖家资质,对平台内经营者的合规情况进行监控、记录,不应允许发布任何侵犯他人人身财产权利或法律法规禁止的物项。
贾宝芝建议,相关平台在制定人脸识别安全规范的过程中,要强调“人脸数据等生物特征信息”与“其他身份信息”实行完全隔离存储,避免将人脸数据与身份信息相关联后发生批量化泄露。
对于曾经上传过清晰手持身份证照片或同时上传人脸照片并填写身份证、银行卡信息的用户,专家建议,应在开启人脸验证的同时,尽可能选择多重验证方式,减轻单重人脸验证风险。
【延伸阅读】
1
2020年2月,一家人脸识别初创公司表示,它遭到黑客攻击,其全部客户名单都被黑客窃取了。这家公司从互联网上搜集了30多亿张照片,并为美国和加拿大600多家执法机构的嫌疑人身份识别系统提供便利。由于隐私问题,它遭到了包括谷歌、脸书等互联网巨头的抵制。
一家与众多执法机构签有合同的面部识别公司报告说,它遭到黑客攻击,其全部客户名单都被黑客窃取了。
在Daily Beast获得的一份致客户的通知中,初创公司Clearview AI表示,一名入侵者“未经授权进入”其客户名单,获取了这些客户已设置的用户帐户数量以及搜索数量,涉及到的客户包括执法机构和银行等。
该公司是从互联网上搜集了30多亿张照片(远超FBI的数据库),包括来自Facebook、Instagram、Twitter和YouTube等流行社交媒体平台的照片,并还将这些照片保存在其数据库中,比FBI的数据库还大。
2
2019年月2月,据外媒报道,一家人工智能公司Kneron用一个特制的3D面具,成功欺骗了包括支付宝和微信在内的诸多人脸识别支付系统,完成了购物支付程序。该团队表示,他们用同样的方式甚至进入了中国的火车站。
3
2019年9月,北青报记者在一家网络商城中发现,有商家公开兜售“人脸数据”,数量约17万条。在商家发布的商品信息中可以看到,这些“人脸数据”涵盖2000人的肖像,每个人约有50到100张照片。
另外,每张照片搭配有一份数据文件,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子、嘴、眉毛等的轮廓信息等。
此外,数据中还能提供人物性别、表情情绪、颜值、是否戴眼镜等信息。商家在商品说明中称,数据中并不提供所涉及人物的人名和身份证号等信息,也不得用于违法用途。
北青报记者以买家的身份联系售卖前述人脸数据的商家,商家称,其售卖的人脸样本中,一部分是从搜索引擎上抓取的,另一部分来自境外一家软件公司的数据库等。
4
2019年8月30日-31日,打出“仅需一张照片,出演天下好戏”口号的AI换脸App“ZAO”刷屏朋友圈。通过这款App,仅需上传一张照片,就能用你的脸制作网络热门表情包,出演经典电影片段,跟偶像、朋友飙戏。
8月30日正式上线,8月31日下午14时,“ZAO”在苹果应用商店App Store的免费下载排名中已跃居第二。其火爆程度可见一斑。
不过,就在8月31日晚间,已有不少网友聚集在“ZAO”的官方微博,要求注销账号,删除本地面孔。截至9月1日0时,“ZAO”在苹果App store的评分由此前的4.6分降至2.2分。
火速蹿红又遭遇极大争议的背后,是网民对于个人隐私安全的担忧。
8月31日,“ZAO”刷屏,让业内人士再次关注这项技术的可控性。宋宇昊进一步解释,AI换脸有两个关键步骤,脸部提取和脸部转换。脸部提取从照片中勾勒出人脸的轮廓,并且标注出眼睛鼻子等关键部位,这样就明确了图片中需要被替换的对象。脸部转换比较常用的实现方法是名为"自编码器"的深度学习模型,通过学习替换双方人脸的照片,训练出一个"编码器"和两个"解码器"。
5
2019年7月,人民银行科技司司长李伟在第四届全球金融科技峰会上表示,人脸是非常敏感的个人信息,一旦泄露会带来非常大的影响。
2019年3月,全国政协委员、上海众人网络安全技术有限公司创始人谈剑锋表示,自己不用指纹解锁,也不用人脸解锁,手机设置密码保护。“密码丢了可以换,但生物信息是不可再生,一旦泄露,你不可能再有第二张脸了。”谈剑锋说。
6
2019年2月15日,位于中国深圳的深网视界(SenseNet)发生了大规模数据泄露事件。这家公司的人脸识别数据库,包含了超过256万用户信息,其中包括身份证号码、人脸识别图像、位置记录、出生日期等非常私密的数据。
荷兰某安全研究员在社交网站上表示,中国的一家面部识别公司SenseNets(即深网视界)未对内部数据库做密码保护,将数据库暴露在公网上,导致超过数百万公民的个人信息数据能够不受限制被访问。
提醒:人脸识别不只隐私问题
随着人工智能的助力,人脸识别技术以其不可复制性、非接触性、可扩展性和快速性等特点在多种生物识别技术中脱颖而出。人脸识别在安防、金融、教育等领域得到广泛应用,尤其是在智慧校园应用中,门禁出入口、人员识别、消费支付,甚至开始在课堂上识别学生面部表情,找出不专心的学生。
从技术层面讲,人脸识别技术的大规模使用,人脸是无法复制的,但是基于人脸特征点的信息是以数字化信息进行存储的,相关数据库就面临着被黑客攻击或者自身防范不力导致泄露事件。人脸特征数据库的外泄将面临更大的隐患,首先以往密码被窃取,可通过重新设置实现密码更改,并提高安全防范级别。但人脸等生物特征信息是唯一且终身不变的,因此,一旦泄露就将导致人们个人财产、或者隐私等被公开,造成重大损失,并且无法挽回。
浙公网安备 33060402001093号
