客户数据因面部识别公司Clearview AI数据泄露而被盗

有争议的面部识别公司Clearview AI Inc.遭受数据泄露，该公司建议客户入侵者对其客户列表“获得了未经授权的访问”。

正如《每日野兽》（The Daily Beast）首次报道的那样，没有通过Clearview AI披露有关数据泄露如何发生的详细信息，只是说数据包括“这些客户已建立的用户帐户数量，以及……其客户进行的搜索数量。 。”该公司继续指出，“ Clearview的系统或网络没有受到损害”，并且已修复了该漏洞。

该公司的一名律师在一份声明中说：“安全是Clearview的头等大事。” “不幸的是，数据泄露是21世纪生活的一部分。我们的服务器从未访问过。我们修补了该漏洞，并继续致力于增强我们的安全性。”

由于Clearview AI为其面部识别软件抓取了公开可用的图像，因此备受争议。然后将该软件出售给执法机构，以识别CCTV录像中的人物。 Google LLC在本月初向该公司发出了终止通知函，而Twitter Inc.也要求该公司在一月份停止从其应用程序收集照片。

如果Clearview AI所说的是对公司服务器没有妥协的说法是正确的，那么合乎逻辑的结论是，这可能是公司无法保护在线数据库安全并且安全专家同意的另一种情况。

“目前尚不清楚’未经授权的访问’是什么意思，我只是在猜测，但是所报告内容的一般轮廓似乎表明，未经授权的人能够在没有预期认证的情况下对服务器或数据库执行有限的命令或查询。 ”，安全意识培训公司KnowB4 Inc.的数据驱动防御传道人Roger Grimes告诉SiliconANGLE。 “这是由编程或配置错误引起的非常常见的攻击。”

Synopsys Inc.网络安全研究中心的首席安全策略师Tim Mackey指出：“利用Clearview AI拥有的数据类型和客户群，犯罪组织将把Clearview AI系统的危害列为优先事项。”

“尽管他们的律师正确地指出，数据泄露已成为现代社会的现实，但Clearview AI业务的性质使这种攻击特别成问题，” Mackey解释说。 “面部识别系统已经发展到可以快速识别个人的地步，但是将面部识别数据与其他来源（如社交媒体）的数据结合在一起，可以将面部放置在上下文中，从而可以进行详细的用户配置文件分析，而这一切都不需要得到跟踪的人的明确同意。执法部门寻求识别失踪人员以有益地使用此类技术具有明显的好处，但好处却是坏处。”

网络安全公司Tripwire Inc.产品管理和战略副总裁Tim Erlin指出披露中缺乏信息，并补充说：“此通知为所涉及的任何人或试图避免相同错误的人提供的信息很少。此类违规行为为Clearview的批评家们助了一臂之力。随着调查发现更多数据，我们可能会更多地了解到此违规的程度，而历史告诉我们，范围可能会扩大。

图片：mikemacmarketing / Flickr