这家公司被曝泄露250万人信息 工作人员:不知情

日期:02-16
深网视界东方网力

原标题:直击!海量隐私信息遭泄露,e公司记者实探风暴眼中的深网视界

来源:证券时报

网络信息泄露再添一例!

东方网力(300367)旗下提供视频监控智能分析技术的子公司深网视界,被GDI基金会荷兰安全研究员Victor Gevers在推特上爆料存在大规模数据泄露事件。

Gevers称,该公司所掌握的数百万人的跟踪数据可供任何人访问,668万条记录泄露,其中包括超过250万人的身份证信息、人脸识别图像、过去24小时内的位置等等个人信息。并称该数据库从2018年7月开始就处于任何人都可以访问的状态。

不过,2月14日,Gevers发现该数据库已由防火墙保护起来,“至少现在外部人员没有办法获取这些数据了”。目前,深网视界的网站已无法打开。

深网视界工作人员:对此事件不知情

2月16日(周六)上午,记者来到涉事公司深网视界的办公地,位于深圳市南山区创维半导体大厦东座8楼。

一出电梯门左拐便是深网视界公司前台,前台右手边有一个液晶屏,记者猜测这是公司作为记录考勤用的,上面共显示了90位员工的头像。

周六上午公司大门紧闭,记者隔着玻璃门向里看,有两个正在加班的员工在办公室走动。记者试图进入办公区,被工作人员婉拒,只能隔门喊话。提及此次信息泄露事件,两位员工表示对此次事件并不清楚,也不方便回答。与记者同行的还有一位深圳广电的记者,他表示“可能是周末的原因,跑了一早上,没有打探到任何事件进展。”

记者向大厦物业工作人员侧面了解到,自深网视界信息泄露事发之后,并没有媒体来登记采访过,也没有相关部门来调查。“如果是我的信息被泄露了,我可能会去报案。”物业工作人员这样对记者说。

一位业内人士向记者表示,数据被泄露一方面可能是服务器被黑产团队用高精尖技术攻破;另一方面,公司网络安全合规有漏洞,比如使用数据库弱口令,核心数据未脱敏,未进行防批量拉取,未进行登陆态隔离等,这些也会导致黑产可以非常简单便捷就攻入服务器,窃取大量数据。

“简而言之,前者是黑产技术攻破,后者就是自身安全意识不足、公司安全合规做得不好导致的。从目前的信息来看,深网这个案例属于后者。”该业内人士这样说。

回到此事件,本次泄露超过250万人脸数据可被直接获取,超668万条包含姓名,身份证号码,身份证签发日期,身份证到期日期,性别,国籍,家庭住址,出生日期,照片和雇主等重要信息记录泄露。

董事长是清华博士出身

企查查资料显示,深圳市深网视界科技有限公司成立于2015年,注册资本6703万元,控股股东是创业板上市公司东方网力,后者持股70.16%。

东方网力和深网视界皆为网络安全行业的公司,东方网力主营城市视频监控管理平台的研产销,深网视界则主要在视频监控领域提供智能分析产品和服务,包括开展安防领域深度学习的视频智能分析技术的研发和应用,同时在人群智能分析、人体Re-ID(检索)、人脸识别、模糊图像处理软件产品等方面进行技术开发与销售等。

资料显示,深网视界的董事长及总经理均为万定锐,是本科及博士均毕业于清华大学自动化系的高材生,旗下控制有三家公司,直接及间接合计持有深网视界26.05%股份。

深网视界是由东方网力(出资51%)和知名人工智能公司商汤科技(出资49%)合资成立的公司。2017年5月份,东方网力称“为满足深网视界业务发展需要,增强经营能力、盈利能力”而向深网视界增资,那时深网视界刚成立两年,注册资本超过1亿元。

东方网力增资前,深网视界2016年还处于盈利状态,当年营收约为4400万元、净利润约430万元。不过在东方网力决定增资时,深网视界2017年一季度已出现亏损,此后业绩也并未好转:2017年亏损逾2000万元、2018年上半年继续亏损约570万元。连续一年半亏损之后,商汤科技于2018年7月退出。

与商汤科技退出几乎同时,按照Gevers的说法,深网视界的数据库从2018年7月开始就处于任何人都可以访问的状态。

信息泄露会有什么后果?

简单粗暴地讲,被窃取的批量个人数据,可以拿到黑市上去进行交易。

去年轰动一时的华住酒店信息泄露事件中,在暗网论坛,有人公开售卖华住旗下所有酒店数据,1.3亿人的入住信息,包括姓名、身份证号、家庭住址、生日、登陆密码,甚至连同行人的资料都包含在内。全部资料共53G,涵盖信息总共5亿条。以上数据明码标价,价格为8比特币或520枚门罗币,约合人民币35万元。

“现在我们很多密码都用人脸进行识别,比如手机开机,各种移动支付app,涉及到我们生活的方方面面,如果被黑产掌握了,他们可以用这些信息去‘撞库’,那我们的个人财产就会变得不再安全”。某网络安全工程师告诉记者。

此次事件的揭发者,荷兰籍 “道德黑客”Victor Gevers认为:“知道某人何时不在办公室或家里,对于简单的入室盗窃犯罪来说是有用的,对于进入建筑物的攻击也是有用的。”

之前那些泄露用户信息的公司都怎么样了?

2016年12月14日,雅虎宣布该公司有10亿多用户帐号于2013年被黑客窃取。此次被盗的资料中可能包括姓名、联系方式、密码以及安全问答等内容, 曾经的互联网巨头雅虎公司由于大规模数据泄露,市值骤降,被低价收购,黯然退出历史舞台。

2017年,美国征信巨头Equifax公司1.4亿用户数据被泄露,可能是史上最大的信息泄漏案件,彼时这家公司面临面临用户集体起诉的4500亿美元赔偿,彼时公司股价下跌超过30%,市值暴跌50多亿美元。

2018年,Facebook宣布了其历史上最大的安全漏洞,黑客侵入了数千万Facebook用户的个人信息。Facebook股价高台跳水。据CNN报道,Facebook在这次丑闻中市值蒸发370亿美元(约合人民币2300亿元)。

2018年8月,华住集团被曝出泄露信息包括官网注册资料共53G,约1.23亿条,入住登记身份信息共22.3G,共1.3亿条,酒店开房记录,共66.2G,共2.4亿条,这是国内近5年来规模最大且最严重的个人信息泄漏事件。消息被爆出来之后,华住迎来了史上最严重的公关危机,当天盘前股价大跌近8%。

网络信息泄露的主体应该受到怎样的处罚?

浙江垦丁律师事务所麻策律师表示,行政角度的处罚可以对照网络安全法的罚则,应该是罚款;不过如果构成刑事犯罪的话,就说不定了,要看具体情况,例如侵害公民个人信息犯罪,拒不履行信息网络安全管理义务罪等等。

记者查阅《网络安全法》发现,其中明确规定网络运营者有防止网络信息被泄露或窃取等义务。其中第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。其义务包括采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月等等。

第五十九条规定,网络运营者不履行上述网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

麻策律师还告诉记者,对于网络信息泄密的事件,如果立案的话,网信办不是执法机构,最终案件仍需公安机关处理。

不管如何处罚,人脸信息的泄露都将造成不可挽回的后果,人体生物特征具有唯一性,比如人脸、虹膜、指纹、声纹,因此可以解决目前密码易失窃、易复制、易滥用的问题。但是正是由于生物特征的唯一性,所以其一旦泄露后果十分严重,密码丢了可以再换,脸如何再换呢?最为关键的是,本次数据泄露不仅仅是人脸识别数据泄露,还关联了身份证、行动地址等等信息。

记者在深网视界深圳办公楼实地采访时,该楼楼下的物业管理人员表示近期并无派出所或公安等相关执法人员前来调查。

责任编辑:张申

南水北调中线累计输水200亿立方米 记者手记:“奢侈品”大米饭的变迁
相关阅读: