新华社重庆7月13日电 标题:每份0.5元! 谁在出售我们的面部信息?
新华社“新华视点”记者 颜志红 颜红新 陈宇轩
“要50毛钱一包,就拿走吧,一共两万套,不还价。” 一位买家用沫沫的声音对记者说道。 他还发了两组持身份证的人脸截图。
《新华视点》记者近日调查发现,一些网络黑产业从业者利用电商平台,批量窃取并出售非法获取的人脸等身份信息以及“照片激活”网络工具和教程。 专家提醒,此类人脸信息可能被用于虚假注册、电信网络盗窃等违法犯罪活动。
人脸数据一份0.5元,修改软件一套35元
《新华视点》记者调查发现,在天猫、闲鱼等网络交易平台上,通过搜索特定关键词,可以找到专门从事人脸数据传输和“照片激活”工具的店铺。
天猫上,有买家用“全省各地区都可以做人脸,信誉第一”、“卖人脸四件套,懂的话”等暗语招揽卖家。 记者随机点击进入一家销售“同城、各大平台面孔”产品的店面,然后跳转到淘宝界面。 在店铺的淘宝首页,所售商品是包括用户人脸在内的平台信息数据的一部分。
在淘宝平台上,不少店铺公开出售人脸数据。 为了保证店铺的“正常经营”,卖家常常强迫卖家通过陌陌或者QQ进行沟通、协商价格。 记者近日随机咨询了一位买家,对方语音回复“和沫沫聊天淘宝查信誉软件,话多了就会被拉黑”,并给记者发了一条微信。
除了出售人脸数据,一些“大胆”的淘宝店还转让“照片激活”工具。 通过这些工具,可以将人脸照片变成执行“眨眼、张嘴、点头”等操作的人脸验证视频。
“一套(‘照片激活’)软件加一个教程是35元,你直接付款,确认收到后我会给你发链接。” 一位淘宝买家在淘宝对话框中用语音与记者洽谈。 记者完成付款并确认收到货后,买家通过百度云盘向记者发送了一个文件大小约20GB的“工具箱”。 视频编辑软件等工具以及有关如何使用这些工具的教程文件。
另一位买家在添加了记者的QQ好友后,先发了一些两人手持身份证的样张照片,然后向记者展示了一段视频,展示了将上述照片修改为“误导网络社交平台人脸识别机制”后的效果。工具的帮助。
目前,记者已将调查中发现的部分线索移交给相关公安机关。
被盗的人脸数据有什么用?
“如果只收集个人人脸信息,比如在路上被拍到,而没有获取到你的其他身份信息,那么隐私泄露的风险并不大。” 中国电子技术标准化研究院新安中心评测实验室副主任何彦哲表示,问题在于,目前网络上黑市出售的人脸信息并非单纯的“人脸照片”,而是一系列敏感信息含有公民个人身份信息(包括身份证号码、银行卡号、手机号码等)。 数据。
一家盗版销售“人脸视频工具箱”并自称能“教你”的店家告诉记者淘宝查信誉软件,只要学会熟练使用“工具箱”,就可以利用那些人脸数据帮助别人解冻。陌陌和支付宝账户。 可以绕过知名交友平台的人脸识别机制和手机卡实名认证。 买家还给记者发来了部分“客户”被冻结账户成功解冻的截图。
“从技术角度来看,人脸信息与身份信息关联后,有可能借助系统漏洞‘欺骗’一些平台的人脸识别机制。” 人脸识别技术专家、厦门瑞微信息科技有限公司研究中心经理贾宝志博士认为,虽然有些金融平台在大额汇款时需要多重身份验证,但“一脚踩在了起点”。路比魔鬼高一尺”,互联网黑产的技术和手段不断更新。 决不能因此而忽视账户。 安全。
何彦哲给记者举了一个例子:如果人脸信息与其他身份信息匹配,犯罪分子可能会利用它窃取社交平台账户或窃取金融账户中的财产; 如果人脸信息与行踪信息相符,就可能被不法分子利用。 犯罪分子利用其进行精准盗窃、敲诈勒索、恐吓等违法犯罪活动。
这些数据(包括面部信息和其他身份信息)从何而来? 有店主向记者透露,他们出售的人脸信息来自一些网贷、急聘平台; 至于如何从此类平台获取这些信息,对方没有回答。
谨防利用人脸信息进行违法犯罪活动
近年来,人脸识别技术已应用于金融支付、社区安防、政务服务等多个场景,不仅增强了便利性,而且通过数据交互也一定程度上提高了安全性。
但如果面临数据泄露或者被不法分子非法获取,则有可能被用于违法犯罪活动,所以要小心。
今年8月,上海龙华警方发现,辖区村民身份信息被盗,驾驶证被不法分子通过网络服务平台盗取。
“净网2020”行动中,布吉警方通过多方侦查发现,不法分子利用AI换脸技术绕过多个社交服务平台或系统的人脸认证机制,为犯罪团伙提供虚假登记、刷卡等服务。 。 刷脸支付等非法服务。 截至目前,布吉警方已在广州、河南、山东等地抓获涉案犯罪嫌疑人13名。
警方介绍,在上述案件中,犯罪嫌疑人利用非法获取的公民照片进行一定的预处理,然后利用“照片激活”软件生成动态视频来欺骗人脸验证机制。 之后登录各网络服务平台注册成为会员或通过网上批量订单的私密社交平台账号进行实名认证。
人脸信息关系到每个人的生命财产安全。 业内专家认为,窃取、贩卖人脸信息的蓝色产业链必须严厉打击。 立法机关需要统筹考虑技术发展和信息安全,划定人脸识别技术的使用红线; 监管机构还应该处理恶意窃取他人脸部的问题。 坚决杜绝身份信息违规行为。
今年即将实施的民法典专门解释了自然人个人信息的范围,生物识别信息也被纳入其中。 中国信息安全研究院副教授左晓东认为,除了民法典外,正在起草的个人信息保护法、数据安全法也应对人脸等生物识别信息的保护做出安排; 立法必须充分考虑面孔的特殊性。 身份信息的可用性不应让颁布的法律因执行困难而成为纯粹的手段。
上海师范大学国际互联网法治中心执行主任吴申阔认为,网络平台有义务对平台内的交易进行监管,应严格审查买家资质,对经营者的合规情况进行监控和记录。本平台不得发布任何侵犯他人人身财产权或法律法规严禁的物品。
贾宝芝建议,相关平台在制定人脸识别安全规范过程中,应指出“人脸数据等生物特征信息”与“其他身份信息”完全隔离存储,防止人脸关联后出现误报情况。数据和身份信息。 大量盗窃。
对于此前已上传手持身份证清晰照片或上传人脸照片并填写身份证、银行卡信息的用户,专家建议,开启人脸验证时,应选择多种验证方式:尽可能减少单人脸验证的次数。 验证风险。
