灰黑产品泛滥 大大小小的巨头很多 谁在吃你的“脸”?
深蓝蔡京原作
作者|周继峰
编辑|金强
“我不知道你的脸信息是谁收集的,也不知道一般情况下怎么保存,也不知道这些信息会有什么用。”
住在北京通州区某小区的张老师,突然被小区物业告知“小区门禁要改成人脸识别”。在业主的欢呼声中,他显得有些“与众不同”。“我更担心的是,收集到的人脸信息会存放在哪里。”数据会泄露吗?但是社区里大多数人并不在乎人脸识别的隐患,觉得自己的脸一文不值。"
最近,远在广东东莞的人们发现,去公厕需要刷脸和带卫生纸。市民需要站在机器前的识别区,把脸对着机器上的人脸识别显示屏。3秒钟后,机器慢慢“吐出”约90厘米长的卫生纸。
不久前,“一个戴着头盔的男人看房”的视频在网上疯传。原来,一些房产销售部门开始在“飞单”的情况下使用人脸识别技术对比客户,而头盔男则在努力保护自己的脸。
人脸识别几乎充斥着我们的生活,我们无法回避。
相应的,产灰猖獗。深燃发现,在QQ、淘宝、仙宇、百度贴吧、知乎等平台上,“替代人脸识别”的人脸相关信息和服务正在公开交易。
麻烦的是,“目前对采集数据的保护更多的是靠厂商的意识”。虽然人脸识别市场巨头们聚在一起,种植了大量独角兽,市场规模即将超过100亿元,但行业目前的状态是缺乏监管标准。
业内不止一人指出,如果应用开发公司和云公司跟不上技术能力,或者内部人员泄密,很有可能会泄露人脸信息。无论采集、运营、存储哪个环节出了问题,你的脸、身份证等个人信息都可以在大数据时代轻松裸奔。一些媒体透露,数十万张带口罩的人脸照片以20美分的价格出售。这些照片有一半是通过网络抓取的,另一半来自现实世界。
因为人脸与个人身份信息绑定,一旦人脸信息丢失,个人将面临难以想象的后果。对人脸识别安全性的担忧使这项日益流行的新技术站在了风口浪尖上。谁在靠我们的脸赚钱?这项技术正在日益普及。怎样才能保护自己?
人脸识别的泛滥
不知道什么时候我们已经被各种人脸识别包围了,尤其是疫情过后,对非接触的需求加速了人脸识别在普通人生活中出现的频率。现在,在进入任何公共场所之前,请先刷一下脸。
进医院,先在门口通过人脸识别测体温;去商场购物,门口保安拦着你刷脸;进出车站需要人脸识别和认证;很多住宅物业以安全为名引入人脸识别系统;有些演唱会需要人脸识别才能输入真实姓名,有些人脸识别系统甚至通过摄像头识别有犯罪记录的逃犯.
来源/项目
我们每天使用的带支付功能的APP也推出了实时人脸识别技术,都需要实名认证,这离不开人脸识别。
在安全和金融风险控制领域,人脸识别成了身份认证的强制手段,普通人难以拒绝.
此外,很多场景还以方便为名“刷脸”。去便利店购物,可以选择刷脸付款;去健身房可以选择刷脸进出;刷脸认证已经成为手机APP和电子产品解锁密码的替代选择。更极端的是,据媒体报道,北京某区垃圾桶使用人脸识别,识别居民身份后自动打开垃圾桶盖。
2019年发布的《中国刷脸支付技术应用社会价值专题研究报告》显示,今年将成为中国刷脸支付的第一年,用户数量达到1.18亿,2022年国内刷脸支付用户数量将超过7.6亿。
人脸识别技术也进入了一些大学和中小学。一些学校开始使用人脸识别记录来分析学生在课堂上的表情,以“方便”老师的教学。
更可怕的是,越来越多的场景在没有当事人感知的情况下悄悄获取人脸信息,成为“定期客户识别”和营销定位的数据源。比如为了实现精准营销,很多地区都推出了人脸识别广告屏,一般设置在电梯旁边,路过电梯的人会被摄像头拍到。比如“看房戴头盔”事件的背后,几乎所有的房产销售部门都安装了人脸识别系统,通过对比客户的脸来防止“飞单”。
总的来说,“安全是人脸识别最早和最广泛使用的应用场景,其次是金融行业的风险控制和营销。”爱情分析师黄勇总结道。
但是仔细想想,大部分人脸信息的收集未经当事人同意,没人知道自己的人脸信息存储在何处,更不知道自己的“脸”是否会被私下贩卖、交易甚至用于违法勾当.
因为人脸信息涉及身份ID认证,一张人脸对应一个身份信息。如果一个人的面部信息和身份证信息同时被犯罪分子获取,就相当于匹配个人信息,很有可能被欺诈性地用于申请网贷、注册软件或网站,甚至解锁支付软件,进行诈骗。
“不像普通的账号和手机号,人是有脸的。如果人脸信息被盗,他们只能换脸。否则,被偷了匹配的人脸信息后,每天出门就相当于走在额头上。用信用卡走路很危险。”日本二维码聚合支付平台Netstars的CTO陈斌曾指出沈欢。
猖獗的灰黑色生产
在人脸识别泛滥的背后,是一个巨大而混乱的人脸识别市场。水面之上有光明的一面,水面之下隐藏着灰黑色的产业链。
深度燃烧观察发现,由于强烈的需求,靠人脸信息赚钱的灰产遍布百度贴吧、淘宝、知乎、QQ等我们常用的社交平台.
在QQ上搜索了与“人脸识别”相关的关键词后,我们跳出了几个QQ群。进群后发现不断有买家卖家发布需求,承接业务,一分钟就滚了十几条消息。不难看出生意正如火如荼。
“微信支付限制谁能解决”“有没有人能登录到闲鱼脸”“能获得拼多多脸,第一次合作先付款后付款,后面会发大量订单”,马上有人回应:“我加你”。
群内还有人在“领料”(即购买身份证信息和人脸信息)。“真人现在可以拍了,价格也到位了。”一个群友在群里说。
据深燃观察,群里最多的业务当属针对微信和支付宝等支付类产品的人脸识别破解技术.有人不停叫卖,“成功率99%,当我们拿起微信面解封时,我冻结它,限制收藏,拿起别人过不去的收藏。”。
其次是陌陌、探索等互联网产品的代过人脸识别的需求,社交平台,品多多等电商,58个城市的公司注册。
为了应对灰黑产品的需求,出现了很多提供身份证、人脸信息和“替代人脸识别”技术的中间商。
提供“人脸识别”服务的商家可以“激活”照片,生成动态视频,从而欺骗了人脸验证机制。
部分黑货买家在非法获取支付宝账户相关信息后需要借助“代过人脸识别”技术将倒卖来的账号实名认证,再将账号卖出,如登录邮箱账号、登录密码、支付密码、注册人姓名、身份证号等。
还有些活跃在社交、电商APP上的黑产从业者,也是借助人脸信息以及代过技术绕过平台上的人脸识别认证,实施精准诈骗.据媒体报道,同城绕过58人脸识别的骗子,可以发布招聘信息实施诈骗。一些骗子在Momo等社交平台上通过“替代人脸识别技术”的手段绕过实名认证,从事情感诈骗等活动。
深度燃烧QQ对话,面向技术提供商
随着买家掌握大量支付宝账户的身份,又增加了一个可以“代替人脸识别”的商家。对方说提供支付宝账号可以帮助动态人脸识别认证,一张脸25元。此外,它还可以为社交平台上的活体动态人脸识别认证提供“替代服务”。
与一代人脸技术提供商深度燃烧QQ对话
群里另一个卖人脸信息的卖家介绍了神火,一个25元,一个30元。并且顺手发了两张清晰的头像和身份证照片,却迅速收回。
对于这个定价,对方解释说,以前那些便宜的5毛钱一张的,都被人脸识别过多次了,根本过不了,而他提供的是“最新的”,价格贵一些.
已被媒体曝光,部分黑制作从业者在淘宝和闲鱼上卖0.5元一份的人脸数据和35元一套的“照片激活”网络工具和教程。
《北京青年报》还报道说,一些商家在网上商场兜售“人脸数据”,涉及2000张人像,共计17万张。照片的主角不仅有明星,还有不同职业、不同年龄的普通人。此外,每张照片都附有一个数据文件。
虽然最近人脸识别越来越受重视,但并不妨碍从业者赚钱。深燃在淘宝、闲鱼、百度贴吧、知乎上也发现了“代过人脸识别”交易,据了解,提供的服务和前文所述大同小异.
淘宝、闲鱼、知乎、百度贴吧“一代人脸识别”交易
靠“面子”吃饭的企业
灰色和黑色都很丰富,但必须承认,人脸识别是合法的好生意。
首先,技术本身比较成熟。“相对于姿态识别、行为轨迹识别等更复杂场景的识别技术,人脸识别相对简单,主要是静态场景,数据丰富。”黄勇指出。
如果技术门槛没那么高,就意味着容易进入。人脸作为一种个人生物特征,实际上已经成为鉴定一个人的重要手段,一张脸只对应一个人。这种独特性满足了大量需要认证的场景的需求,也使得人脸识别的应用场景非常广泛,便于场景落地和业务实现。比如被称为“AI四小龙”的上唐科技、不屑科技、从云科技、易图科技,都是从人脸识别开始的。
技术成熟,还能立马落地商用,没有哪家公司愿意放弃这块蛋糕.黄勇指出,其实“无论传统厂商、互联网巨头还是中小型创新厂商,只要场景解决方案中需要人脸识别,他们的业务或多或少都会涉及到这项技术”。
闻着金钱的味道,上游的人工智能芯片、算法技术和数据集公司,提供解决方案的中游技术公司,以及与人脸识别相关的具体场景的下游应用公司,各种看似与人脸识别无关的机构跑进体育场,把整条赛道推上了特快线。
来源/项目
现在,如今的赛道已经被这几类玩家瓜分.
最引人注目的是“AI四小龙”等AI初创公司,他们专注于核心识别算法,最早把目光投向人脸识别技术,业务模式主要是2B和2G。比如迪法恩科技2014年选择与支付宝合作,找到了第一个商业落地的场景;从云科技最早部署在金融安全领域,先后获得公安部、四大行等标杆单位。最近还成为“海关总署2020动态人脸识别综合应用系统”的解决方案提供商。
Hikvision、大华、川大智胜、欧比特等老牌安全公司也在虎视眈眈。掌握用户数据的运营商,如中国移动、中国联通,以及集成商(如中国移动建设、东华软件)和省级广电公司,都试图分一杯羹。
值得注意的是,互联网巨头已经成为不可忽视的力量,已经开始投资或研究相关的人脸识别技术。比如蚂蚁金服开始自主开发人脸识别技术;百度最近发布了四款硬件:人脸应用套件H1、AI镜头模块C1、视频分析盒B1、人脸捕捉机VH-01;腾讯推出腾讯Youtu,在人脸识别技术和应用上积累研发。今年年初,它开发了一款专门用于口罩佩戴识别的AI,戴口罩时也能识别人脸。
“人脸识别相当于人工智能时代的一项基本技术能力,巨人本身有大量适用场景。同时,这些巨头并不缺乏资金和技术,目前正在对外出口,转行做B业务。”黄勇说。
谁漏了你的脸
2019年,杭州大学教授状告杭州野生动物园,引发全国范围内关于人脸识别技术安全隐患的讨论。人们才发现,在便捷、无处不在的人脸识别背后,其实存在着难以想象的安全隐患。
水上的人脸识别市场,巨人云集,前景广阔,方便生产生活。但在水下,大量泄露的人脸信息被出售,交易价格仅为几毛钱。当人们刷脸时,个人信息可能会在网上裸奔。
有哪些问题和漏洞?
很多业内人士表示,现在的人脸识别技术应用广泛,采集到的人脸信息按照不同的部署方式存储在不同的地方,有的上传到云端,有的上传到本地化的后端服务器。
”而安业内人士告诉申然,这两个环节可能会因为技术能力不足,或者因为内部员工权限管理不严、数据泄露而遭到黑客攻击,成为灰黑产品的一顿美餐,但大公司在安全防护上相对更胜一筹。
360城市智能集团CEO、360视觉总经理邱曾向媒体证实,“数据的泄露大概率出现在两个环节,应用开发公司和云服务厂商。攻击他们甚至不需要黑客。网络工程师可以通过wifi、蓝牙或网线远程访问该端口。除了‘窃取’数据,还可以植入定向传输木马程序,让设备自动将数据传输到指定的IP。”
然而,这不仅仅是一个技术问题。一位长期关注AI行业的投资者表示,“区块链技术是最有可能解决数据泄露的方案,但实际上在现有框架下,数据很难做到100%安全。所以只能通过法律法规强制执行。技术永远是一尺高一丈高。只要有技术,就一定有漏洞。”
一位分析师也告诉沈伯恩,“360视觉曾对市面上的人脸识别设备测试,发现70-80%没有任何安全防护,基本处于裸奔状态”
来源/项目
上塘科技首席执行官徐莉曾向媒体表达过相应的意见。他认为应对的方法不是限制人脸识别的使用,而是在技术发展的早期或某个阶段制定相应的标准,规定在什么情况下可以使用这些数据,在什么情况下不可以使用。
幸运的是,一些地区已经采取了行动。
天津12月1日通过《天津市社会信用条例》,突出保护信用主体权益,规定任何组织和个人不得非法收集、收集、使用、加工、传递社会信用信息,不得非法买卖、提供、披露社会信用信息。
将于明年1月1日生效的《民法典》在《人格权汇编》中提出,在处理包括人脸在内的个人信息时,应遵循合法性、正当性和必要性原则。
至于脸主,我们每个人是怎么保护自己的脸的?许多专家指出,公众在面对需要人脸识别的场景时,应提高自我防范意识,认真阅读隐私政策;特别要警惕用身份证拍照的需要,因为身份证和人脸信息都有;个人信息侵权事件发生后,应向法院起诉,并及时向政府相关部门报告。
*标题图来自Pexels。