Do sự giám sát yếu, chúng tôi không thực sự biết các công ty công nghệ đang sử dụng dữ liệu nhận dạng khuôn mặt như thế nào
Vụ hack gần đây của cơ sở dữ liệu của nhà thầu phụ của Cơ quan Hải quan và Bảo vệ Biên giới Hoa Kỳ đã xác nhận lo ngại rằng dữ liệu sinh trắc học như ID hình ảnh và dấu vân tay. Dễ bị hack.
Do sự giám sát yếu, chúng tôi không thực sự biết các công ty công nghệ đang sử dụng dữ liệu nhận dạng khuôn mặt như thế nào
[Ảnh: Donna Burton / Hải quan và Bảo vệ Biên giới Hoa Kỳ]
BỞI DJ PANGBURNĐỌC LÂU
Trong nhiều năm, các nhà hoạt động trong cộng đồng bảo mật và quyền riêng tư đã cảnh báo rằng dữ liệu sinh trắc học, bao gồm ID ảnh, dấu vân tay và thông tin khác, có thể bị hack bởi các diễn viên xấu. Tuần trước, những lo ngại này đã được xác nhận khi cơ quan Hải quan và Bảo vệ Biên giới Hoa Kỳ tuyên bố rằng các tin tặc đã truy cập được vào cơ sở dữ liệu chứa ID ảnh du lịch và hình ảnh biển số xe được quản lý bởi Perceptionics. Trong những năm gần đây, CPB đã yêu cầu khách du lịch nước ngoài cung cấp dữ liệu nhận dạng khuôn mặt, dấu vân tay và thông tin sinh trắc học khác, vì vậy có thể thông tin đó cũng có nguy cơ bị tin tặc lấy được.
Nếu dữ liệu nhận dạng khuôn mặt (FR) bị xâm phạm, cùng với thông tin cá nhân khác như tên và số an sinh xã hội, danh tính của một người có thể dễ dàng bị đánh cắp vì gian lận tài chính. Ngoài loại hoạt động tội phạm này, còn có một số rủi ro về thể chất, chẳng hạn như tiết lộ vị trí của một cá nhân cho kẻ theo dõi hoặc giao dữ liệu FR an ninh gia đình cho một tên trộm. Và, tất nhiên, nếu một chính phủ duy trì một cơ sở dữ liệu về quét khuôn mặt, nó có thể được sử dụng để xác định và kiểm soát các nhà hoạt động, đó là cách Trung Quốc hiện đang giám sát cộng đồng thiểu số Hồi giáo Duy Ngô Nhĩ của mình.
Các cơ quan đang gấp rút thu thập càng nhiều thông tin càng tốt, và nó vượt xa khả năng bảo vệ dữ liệu của họ, Dave Maass, một nhà nghiên cứu điều tra cao cấp tại Electronic Frontier Foundation nói. Điều tương tự cũng đúng đối với các nhà cung cấp sinh trắc học tiếp thị hệ thống của họ cho các công ty thuộc khu vực tư nhân.
Nói thật, họ nên thấy điều này sắp diễn ra, vì hệ thống sinh trắc học của Ấn Độ đã bị vi phạm chỉ một năm trước đó, theo Ma Maass. Chúng tôi cũng thấy việc thực thi pháp luật đặt niềm tin vào các nhà cung cấp, mà an toàn công cộng và an ninh mạng có thể không phải là mối quan tâm chính của họ.
Maass hy vọng các vi phạm của các hệ thống giám sát như công nghệ nhận dạng khuôn mặt sẽ tiếp tục phát triển. Vài năm trước, Electronic Frontier Foundation đã phát hiện ra rằng các đầu đọc biển số tự động đã bị lộ trực tuyến, một vấn đề mà các phóng viên gần đây đã xác nhận là đang sinh sôi nảy nở.
Nếu hệ thống của CBP bị vi phạm, thì những mối đe dọa nào sẽ xảy ra trước mắt đối với tất cả các hệ thống giám sát này do cơ quan thực thi pháp luật địa phương trên khắp đất nước không có tài nguyên của chính phủ liên bang? Maass nói. Nhận thức của người dùng đã sử dụng các hợp đồng CBP của mình để thiết lập uy tín. Chúng tôi chưa biết ai khác ký hợp đồng với họ dựa trên sự chứng thực đó.
Jay Stanley, một nhà phân tích chính sách cao cấp tại Liên minh Tự do Dân sự Hoa Kỳ (ACLU), không chắc chắn nếu các công ty sinh trắc học đang sử dụng dữ liệu khuôn mặt thu được trong khu vực tư nhân ngoài việc chỉ đơn giản là nhận dạng người. Nhưng, ông nói, dữ liệu này có thể được bán cho các chuỗi cửa hàng bán lẻ, có hệ thống nhận diện khuôn mặt có thể xác định khách hàng ngay khi họ đặt chân vào tòa nhà. Hệ thống có thể sử dụng phân tích video để ghi nhật ký thông tin khác, như thời gian họ ở trong cửa hàng và nơi họ tập trung sự chú ý của họ.
Do quy định lỏng lẻo và sự giám sát của chính phủ yếu, Stanley cho biết thêm, chúng tôi thực sự không biết các công ty công nghệ sinh trắc học đang xử lý và bảo mật dữ liệu FR như thế nào.
Stanley là tất cả các công ty cho riêng mình, đó là Wild West, không có quy tắc nào cả, không có bất kỳ hoạt động tốt nhất nào trong ngành, Stanley nói. Không có gì ngăn cản một công ty sử dụng camera giám sát có độ phân giải rất cao trong cửa hàng, lấy bản in khuôn mặt của tất cả những người bước vào, lưu trữ nó trong cơ sở dữ liệu và sử dụng nó cho bất kỳ mục đích nào mà trí tưởng tượng của họ có thể đưa ra. Sự thèm ăn của thế giới quảng cáo về thông tin về con người là vô biên.
Một khi bạn tạo ra những cơ sở dữ liệu lớn này, Stanley giải thích, chúng trở thành những tổ ong thu hút tin tặc. Và cuối cùng, nó chứng tỏ việc hack vào hệ thống dễ dàng hơn là ngăn chặn tin tặc. Nhưng nó không chỉ là tin tặc quan tâm đến cơ sở dữ liệu như vậy. Với nhiệm vụ leo núi, FR FR bị bình thường hóa, khiến nó lây lan từ việc làm thủ tục tại sân bay đến một cơ quan công cộng như CPB, được giao nhiệm vụ xác định và trục xuất người nhập cư bất hợp pháp khỏi Hoa Kỳ.
'Khi bạn tạo các cơ sở dữ liệu [sinh trắc học] lớn này, đó chỉ là một công thức cho các cuộc xâm phạm quyền riêng tư và lạm dụng của tin tặc, ngoài bất kỳ hành vi lạm dụng nào mà những người đang thu thập dữ liệu đang tham gia, Stanley nói.
HOẠT ĐỘNG TRONG BÓNG TỐI
Tại Hoa Kỳ, hàng chục công ty tạo ra các hệ thống nhận diện khuôn mặt, phục vụ cả khách hàng của chính phủ và doanh nghiệp. Các công ty này đang xây dựng hệ thống của họ trong trường hợp không có bất kỳ quy định thực sự.
Theo Electronic Frontier Foundation, một trong những nhà cung cấp nhận dạng khuôn mặt lớn nhất và công nghệ ID sinh trắc học khác ở Mỹ là Idemia (trước đây là MorphoTrust), nhà sản xuất hệ thống FR IdentoGO. Công ty đã thiết kế các hệ thống cho các cơ quan thực thi pháp luật liên bang và tiểu bang, DMV tiểu bang, kiểm soát biên giới và sân bay, và Bộ Ngoại giao. Các nhà cung cấp phổ biến khác bao gồm 3M , Cognitec , DataWorks Plus , Hệ thống hình ảnh động , FaceFirst và NEC Global , ED viết EFF.
Lynch của EFF đã đưa ra cảnh báo về Idemia trở lại vào năm 2017 khi TSA tuyên bố ý định sử dụng FR để theo dõi mọi người xung quanh các sân bay. Idemia là nhà cung cấp trong chương trình PreCheck của TSA, mà Lynch lưu ý đã di chuyển ra ngoài các sân bay để bao gồm cả việc nhập cảnh nhanh chóng cho khách du lịch đã được phê duyệt của Pre Preeck tại các buổi hòa nhạc và sân vận động trên khắp Hoa Kỳ.
Tiêu chí Idemia cho biết họ sẽ trang bị cho các sân vận động công nghệ dựa trên sinh trắc học, không chỉ để bảo mật mà còn 'để hỗ trợ trải nghiệm của người hâm mộ', Lyn Lyn viết. Nhận dạng khuôn mặt sẽ thêm cho phép Idemia theo dõi người hâm mộ khi họ di chuyển khắp sân vận động, giống như một công ty khác, NEC , đang làm việc tại một sân vận động bóng đá chuyên nghiệp ở Medellin, Columbia và tại một sự kiện vô địch LPGA ở California vào đầu năm nay.
Vào tháng Tư, Idemia tuyên bố hợp tác với Boston Red Sox. Là nhóm MLB đầu tiên hợp tác với Idemia, Công viên Fenway sẽ được trang bị làn đường Fast Pass của công ty, người hâm mộ chỉ có thể sử dụng nếu họ gửi đến quét vân tay. Công ty tự hào cung cấp một loạt các dịch vụ liên quan đến danh tính của người dùng cho các khách hàng thương mại thông qua các trung tâm IdentoGo. Dịch vụ chính của chúng tôi là bắt giữ và truyền tải dấu vân tay điện tử an toàn cho việc làm, chứng nhận, cấp phép và các mục đích xác minh khác, công ty nói. Các dịch vụ bổ sung, chẳng hạn như ảnh hộ chiếu, kiểm tra lịch sử nhận dạng và thẻ vân tay có sẵn tại các địa điểm tham gia ngày hôm nay và các sản phẩm và dịch vụ mới liên quan đến danh tính đang được phát triển cho tương lai.
Vào năm 2016, tập đoàn đa quốc gia 3M có trụ sở tại Minnesota đã tuyên bố tham gia vào trò chơi nhận dạng khuôn mặt với Hệ thống nhận dạng khuôn mặt trực tiếp 3M. Không giống như sản phẩm của Idemia, hệ thống sử dụng video trực tiếp để khớp với danh tính trong thời gian thực, cho khách hàng khu vực công và tư nhân. Trong một thông cáo báo chí , 3M Cogent lưu ý rằng hệ thống tự động nhận diện nhiều khuôn mặt từ cảnh quay trực tiếp hoặc nhập khẩu để xác định từng người từ môi trường động, không kiểm soát được. Trong thời gian thực, các khuôn mặt được chụp và khớp, và bất kỳ máy tính để bàn hoặc thiết bị di động nào cũng có thể được thông báo ngay lập tức khi có sự trùng khớp trong cơ sở dữ liệu.
3M Cogent không thấy Hệ thống nhận dạng khuôn mặt trực tiếp của nó chỉ được sử dụng cho thực thi pháp luật, kiểm soát biên giới và lực lượng an ninh tư nhân. Họ đang tiếp thị nó để được sử dụng trong các không gian như sòng bạc, khu vực lên tàu, sân vận động thể thao và ngân hàng.
Trong khi nhiều nhà cung cấp FR đang bận rộn tiếp thị cho các cơ quan chính phủ Hoa Kỳ và các công ty tư nhân, IBM đang tìm kiếm ở nước ngoài. Vào tháng 5, Megha Rajagopalan của BuzzFeed đã báo cáo rằng gã khổng lồ công nghệ, cùng với Hikvision và Huawei của Trung Quốc, đang tiếp thị công nghệ nhận dạng khuôn mặt cho Các Tiểu vương quốc Ả Rập Thống nhất, một chế độ nổi tiếng với việc sử dụng phần mềm gián điệp di động chống lại những người bất đồng chính kiến. Sản phẩm này, được biết đến với cái tên Oyoon (tiếng Ả Rập cho tiếng Nhật mắt), hiện đang được cảnh sát Dubai tung ra. Nó kết hợp nhận dạng khuôn mặt và phân tích AI, với mục tiêu đã nêu là xác định tai nạn giao thông. Nhưng, như Rajagopalan lưu ý, các tài liệu mua sắm và quy định của chính phủ cho thấy rõ rằng cảnh sát Dubai muốn có thể quét khuôn mặt của mọi người và phân tích chúng, trong số những thứ khác như ghi âm giọng nói.
Các dự án FR khác, như Face-Int, sản phẩm của Verint, đã gây lo ngại cho các nhà hoạt động nhân quyền. Verint là một nhà sản xuất phần mềm gián điệp có hệ thống rình mò điện thoại thông minh đã được sử dụng bởi các chính phủ bị nghi ngờ vi phạm nhân quyền, như UAE, Nam Sudan và Mexico. Được phát triển bởi Terrogence, một công ty con của Verint, Face-Int sử dụng quét video và ảnh từ Facebook, YouTube và các phương tiện truyền thông xã hội khác cho cơ sở dữ liệu FR được sử dụng để xác định những kẻ khủng bố. Nhưng, như Thomas Brewster của Forbes đã báo cáo vào tháng 4 năm 2018, một cựu nhân viên Terrogence đã lưu ý trên hồ sơ LinkedIn của họ rằng Face-Int cũng đã được sử dụng để lập hồ sơ cho các nhóm hoạt động.
DỮ LIỆU SINH TRẮC HỌC CÓ NGUY CƠ
Không giống như mật khẩu có thể thay đổi nếu bị đánh cắp, khuôn mặt hoặc tròng đen của một người không thể thay đổi. Lưu trữ và truyền dữ liệu này một cách an toàn là điều tối quan trọng đối với các công ty công nghệ sinh trắc học. Nhưng, như vi phạm cơ sở dữ liệu Perception và các phơi nhiễm khác minh họa, điều này thực sự không có vẻ là trường hợp.
Đầu năm nay, nhà nghiên cứu bảo mật người Hà Lan Victor Gevers đã phát hiện ra rằng SenseNets, một công ty Trung Quốc bán công nghệ phân tích đám đông và nhận dạng khuôn mặt dựa trên video, đã để cơ sở dữ liệu của họ mở trên internet trong nhiều tháng. Công nghệ nhận dạng khuôn mặt của công ty được chính phủ Trung Quốc sử dụng để theo dõi dân số Hồi giáo Uyghur ở khu vực Tân Cương. Cơ sở dữ liệu mở đã tiết lộ 2.565.724 người dùng, theo Gevers, cũng như tọa độ GPS.
Sau khi khám phá, Gevers đã tweet rằng cơ sở dữ liệu chứa thông tin cá nhân: Cơ sở dữ liệu này chứa hơn 2.565.724 hồ sơ của những người có thông tin cá nhân như số chứng minh nhân dân (ngày phát hành và ngày hết hạn, giới tính, quốc gia, địa chỉ, sinh nhật, mật khẩu, nhà tuyển dụng và Những địa điểm có trình theo dõi họ đã đi qua trong 24 giờ qua.
Nhưng đây không phải là cơ sở dữ liệu nhận dạng khuôn mặt duy nhất còn sót lại ở Trung Quốc, một quốc gia có hy vọng lớn sẽ sử dụng công nghệ này để nhận dạng người trong vài giây . Hai tháng trước, nhà nghiên cứu bảo mật John Wet Breathton đã tìm thấy và truy cập cơ sở dữ liệu thành phố thông minh của Trung Quốc trên trình duyệt web không có mật khẩu. Như Wet Breathton nói với TechCrunch, anh đã tìm thấy dữ liệu được phơi bày trị giá hàng gigabyte trên cơ sở dữ liệu Elaticsearch bao gồm quét nhận dạng khuôn mặt của hàng trăm người. Cơ sở dữ liệu, được sử dụng bởi một công ty giấu tên, được lưu trữ trên dịch vụ đám mây khổng lồ của công nghệ Trung Quốc Alibaba.
Mặc dù những ví dụ này có vẻ giống như ngoại lệ, Wet Breathton nói với Fast Company rằng cơ sở dữ liệu không quá khó để có được. Ông nói rằng các hệ thống nhận dạng khuôn mặt phụ thuộc vào công nghệ cơ sở dữ liệu hiện có của các sản phẩm như Elaticsearch, MySQL, SQL và các giải pháp lưu trữ dữ liệu khác và hầu hết chúng đều có cấu hình kém.
Các công ty nhận diện khuôn mặt thường sử dụng dịch vụ lưu trữ và dịch vụ đám mây để mở rộng quy mô một cách rẻ tiền và hiệu quả, theo ông Wet Wetton. Một số rất ít các tổ chức này đang chú trọng đến an ninh và quyền riêng tư. Thành thật mà nói, thái độ phổ biến là người tiêu dùng từ bỏ quyền đó ở nơi công cộng.
Nhà thầu CPB Perceptionics, một công ty như vậy hiện đang có một cú hích PR lớn. Casey Self, Giám đốc Tiếp thị của công ty, nói với Fast Company rằng Perceptionics không có cơ sở dữ liệu nhận dạng khuôn mặt và cũng không có quyền truy cập vào cơ sở dữ liệu nhận dạng khuôn mặt của chính phủ. Ông cũng nhấn mạnh rằng công ty không cung cấp phần mềm FR.
Gần đây, Per Pericsics đã được trao một hợp đồng trình diễn để đánh giá khả năng của máy ảnh để ghi lại hình ảnh khuôn mặt chất lượng cho từng người ngồi trên xe, theo ông Self. Chúng tôi không có quyền truy cập vào bất kỳ thông tin cá nhân nào về người ngồi trên xe.
CÁCH TÌM CƠ SỞ DỮ LIỆU NHẬN DẠNG KHUÔN MẶT TRONG VÀI GIÂY
Wet Breathton gọi những cơ sở dữ liệu nhận dạng khuôn mặt này là những tài sản được bảo vệ kém, có thể dễ dàng khám phá bằng cách sử dụng những thứ như BinaryEdge, Shodan và các công cụ tương tự. Ông nói rằng một số trong số các hệ thống này thậm chí còn được thiết kế để có thể mở ra cho người dùng, mặc dù vậy, tùy thuộc vào người triển khai để đảm bảo an toàn cho người triển khai. Một máy chủ SQL điển hình, có thể được sử dụng để lưu trữ dữ liệu nhận dạng khuôn mặt, chạy trên một tập hợp các cổng tiêu chuẩn có thể dễ dàng quét bằng các công cụ miễn phí như Masscan. Khám phá những cơ sở dữ liệu này là tầm thường, Wet nói.
Như ông đã chứng minh, một tin tặc độc hại có thể thực hiện tìm kiếm cơ sở dữ liệu Elaticsearch bằng các công cụ này bằng cách xác định một cổng, chỉ mục và từ khóa. Trong vòng chưa đầy một phút, Wet Breathton đã tìm thấy 33.000 cơ sở dữ liệu Elaticsearch mở, một tỷ lệ nhỏ trong số đó sẽ liên quan đến nhận dạng khuôn mặt hoặc trí tuệ nhân tạo. Quan điểm là dữ liệu rất dễ tìm thấy nếu nó thậm chí không an toàn từ xa, ông nói. Trong một thời gian ngắn, Wet Breathton đã tìm thấy một cơ sở dữ liệu ở Trung Quốc đang sử dụng công nghệ nhận dạng khuôn mặt. Ông nói rằng các công cụ để truy cập các hệ thống này là có sẵn miễn phí và thường không cần xác thực. Về mặt kỹ thuật, họ không bị hack, họ chỉ đơn giản là không được bảo mật.
Nhà nghiên cứu bảo mật Gevers, làm việc tại GDI Foundation, một tổ chức đang cố gắng bảo vệ một mạng internet mở và miễn phí bằng cách làm cho nó an toàn hơn, nói rằng lý do có rất nhiều cơ sở dữ liệu nguồn mở là chúng có thể được cài đặt nhanh chóng. Vấn đề, ông nói, là các kỹ sư dường như không đọc hướng dẫn khi nói đến việc bảo mật dữ liệu.
Gợi ý tôi nghĩ đó là lý do chính tại sao Trung Quốc là nơi rò rỉ dữ liệu nhiều thứ hai, theo ông Gevers. Một người đầu tiên ở Hoa Kỳ vì Dịch vụ web Amazon, Dịch vụ trực tuyến của Google và Azure. Mọi người triển khai hệ thống rất nhanh, quên tường lửa hoặc đặt một số thông tin đăng nhập vào đó để bạn phải đăng nhập.
Thời điểm bạn triển khai các hệ thống dự đoán của mình trên đám mây trực tuyến, bạn phải chắc chắn rằng các hệ thống này sẽ không bị lộ vì quản trị viên hệ thống để lại một cái gì đó mở, hoặc một nhà phát triển web đã tạo ra một lỗ hổng, ông nói thêm .
Gevers nghĩ rằng rất có thể sẽ có một sự gia tăng trong các vi phạm dữ liệu bao gồm ảnh hoặc tài liệu khác đang được sử dụng để nhận dạng khuôn mặt hoặc nhận diện mống mắt. Và ngay cả khi các hệ thống bị khóa với thông tin đăng nhập, chỉ cần một lỗi để tạo lỗ hổng và sau đó bất kỳ hacker nào cũng có quyền truy cập vào cơ sở dữ liệu.
Vấn đề với nhận dạng khuôn mặt là bạn cần rất nhiều dữ liệu và để lưu trữ nhiều dữ liệu và làm cho nó có thể tìm kiếm nhanh chóng, Gevers nói. Chúng tôi thấy rất nhiều người có xu hướng sử dụng [các sản phẩm nguồn mở, miễn phí]. Đây là những sản phẩm tốt nếu bạn biết những gì bạn đang làm. Và tôi nghĩ đó là vấn đề: hầu hết mọi người không biết họ đang làm gì. Họ chỉ cần lấy một khối xây dựng Lego, xếp nó lên và nói, 'Này, nhìn này, sản phẩm đã hoàn thành.'
Nếu bạn nhìn vào số lượng rò rỉ dữ liệu trong ba năm qua và bạn thêm từ 'MongoDB' hoặc 'Elaticsearch', bạn sẽ thấy những dữ liệu đó tăng lên rất nhanh, ông nói. Điều này là do các sản phẩm rất dễ sử dụng và thiết lập, nhưng khó hơn một chút để làm cho chúng an toàn hơn.
Gevers đổ lỗi cho bảo mật cơ sở dữ liệu FR yếu trên thị trường cạnh tranh, nơi một bằng chứng về khái niệm được xây dựng và sản phẩm nhanh chóng được bán và bán ra thị trường. Và mặc dù chính phủ hoặc công ty có thể học hỏi từ các lỗ hổng, khi thời gian trôi qua và mọi người được thăng chức hoặc rời bỏ công việc của họ, Gevers nói rằng xu hướng là để các tổ chức quên đi những gì họ đã học về bảo mật hệ thống. Đó là lý do tại sao anh muốn thấy các nhà cung cấp đám mây như AWS, Google và Azure cung cấp cho các lập trình viên các mẫu, chẳng hạn như có sẵn từ Dự án bảo mật ứng dụng web mở , để họ có thể xây dựng an toàn và bảo mật trên các nền tảng đó.
Đây là chi phí để bảo vệ dữ liệu đúng cách và các công ty không muốn trả tiền, Jay Stanley của ACLU nói. Và trừ một cú đánh PR, họ thường không trả chi phí cho các vi phạm dữ liệu. Đó là những khách hàng trả chi phí cho những khách hàng của Haiti, những người thậm chí có thể không biết rằng dữ liệu đang được thu thập, chứ chưa nói đến việc có sự lựa chọn [đồng ý].
'MỘT MỐI ĐE DỌA HIỆN HỮU CHO CÁC QUYỀN TỰ DO CƠ BẢN'
Trong những lời khai gần đây trước Ủy ban Hạ viện và Cải cách, Clare Garvie, một cộng tác viên cao cấp của Trung tâm Quyền riêng tư & Công nghệ tại Georgetown Law, nói rằng chỉ vài năm trước, cô nghĩ rằng các quy định mạnh mẽ là đủ để bảo vệ mọi người khỏi việc lạm dụng công nghệ nhận dạng khuôn mặt. Bây giờ cô ấy tin rằng chính phủ liên bang, tiểu bang và địa phương nên đặt lệnh cấm cảnh sát sử dụng nhận dạng khuôn mặt.
Cộng đồng cần có thời gian để xem xét liệu họ có muốn nhận diện khuôn mặt trên đường phố và khu vực lân cận hay không, ông Garvie nói. Sức mạnh mà công nghệ này mang lại cho cơ quan thực thi pháp luật, kết hợp với sự bí mật mà công nghệ đã được triển khai, sự thiếu chính xác và chủng tộc và giới tính của nó, và cách nó bị lạm dụng và lạm dụng, khiến nhận diện khuôn mặt trở thành mối đe dọa hiện hữu đối với nền tảng quyền tự do trong xã hội của chúng ta.
Ngoại trừ luật sinh trắc học ở Illinois và Texas, và lệnh cấm của San Francisco, thông thường không có giới hạn pháp lý nào ngăn cản các công ty bán dữ liệu họ thu thập, John Verdi, phó chủ tịch chính sách tại Diễn đàn Tương lai Bảo mật , cho biết xe tăng tập trung vào sự riêng tư dữ liệu.
Một lý do cho điều này là các hệ thống công nghệ FR không tương thích. Đó là, không có tiêu chuẩn chung nào cho phép chia sẻ dữ liệu FR giữa các hệ thống. Vì vậy, nếu một nhà bán lẻ có in hình mặt của một khách hàng từ hệ thống NEC muốn tiếp thị cho một cá nhân bước vào một cửa hàng khác sử dụng công nghệ Hitachi FR, hai hệ thống sẽ không thể nói chuyện với nhau.
Đây là một lý do khác: khi bạn nói về theo dõi trong thế giới thực cho các mục đích tiếp thị, hầu hết các nhà tiếp thị và hệ sinh thái đã có một định danh gần như tốt và có thể tương tác, và được hiểu và sử dụng thường xuyên, và đó là điện thoại di động của bạn ID thiết bị, nói rằng Verdi. Vì vậy, nếu tôi là một nhà bán lẻ hoặc môi giới dữ liệu, tôi có thể. . . cố gắng tham gia vào một thang máy xây dựng sự đồng thuận to lớn với một loạt các công ty nhận dạng khuôn mặt và tôi có thể nhận được dữ liệu chính xác hơn một chút so với dữ liệu tôi nhận được từ điện thoại di động, mặc dù có lẽ tôi sẽ không.
Nhưng chỉ vì các hệ thống FR không tương thích với nhau không có nghĩa là các công ty sinh trắc học sẽ không tìm cách bán dữ liệu khuôn mặt. Và nếu mọi người không đồng ý quét mặt, thì câu hỏi về quyền riêng tư chắc chắn sẽ xuất hiện ngay lập tức. Giống như Garvie, Dave Maass của EFF tin rằng đã đến lúc cần một lệnh cấm đối với nhận dạng khuôn mặt.
Các nhà cung cấp dịch vụ mạnh mẽ đang thúc đẩy các cơ quan tiếp nhận công nghệ này rất nhanh, không nhất thiết vì nó tốt cho an toàn công cộng, nhưng có lẽ vì họ đang ganh đua để chiếm lĩnh thị trường, ông nói. Họ đang hứa hẹn về tất cả các tội ác mà nó có thể giải quyết hoặc ngăn chặn một cách kỳ diệu, và các quan chức không hỏi về những gì có thể xảy ra. Chúng tôi ủng hộ quyết định của San Francisco hoàn toàn cấm công nghệ, nhưng ít nhất, các quyết định về giám sát nên được đưa ra bởi cộng đồng và các đại diện được bầu của họ, chứ không phải bởi cảnh sát hợp tác với nhân viên bán hàng giám sát.
Diễn đàn Tương lai của Quyền riêng tư gần đây đã xuất bản một bài viết về quy định và thực hành tốt nhất cho công nghệ nhận dạng khuôn mặt. Bài viết đề xuất rằng quy định thông thường cần phải bắt đầu từ một vị trí của opt-in, sự đồng ý khẳng định rõ ràng, để đăng ký vào các hệ thống. Verdi nói rằng sẽ có ngoại lệ, như trong thực thi pháp luật, nơi tội phạm sẽ không chọn, điều này sẽ đòi hỏi một mô hình khác. Verdi cũng nói rằng việc chọn tham gia không có ý nghĩa đối với các hệ thống FR trong trường học, điều đó có thể có nghĩa là có một số tình huống không nên sử dụng công nghệ này. FPF hỗ trợ một lệnh cấm trong một số trường hợp nhất định, như trong trường học, nhưng không phải cho các ứng dụng hữu ích gây ra một số rủi ro riêng tư, như mở khóa thiết bị di động bằng bản in.
Trong các phiên điều trần của Ủy ban Cải cách và Ủy ban Hạ viện hồi cuối tháng 5, đã có sự quan tâm mạnh mẽ từ Đảng Dân chủ và Cộng hòa trong việc áp dụng công nghệ nhận dạng khuôn mặt trước khi nó thay đổi cuộc sống của người Mỹ. Chúng tôi đã kêu gọi một lệnh cấm [về công nghệ nhận dạng khuôn mặt], Stanley nói. Và chúng tôi đã nhận được rất nhiều sự hỗ trợ trong phòng trong những buổi điều trần đó.
Do sự giám sát yếu, chúng tôi không thực sự biết các công ty công nghệ đang sử dụng dữ liệu nhận dạng khuôn mặt như thế nào
[Ảnh: Donna Burton / Hải quan và Bảo vệ Biên giới Hoa Kỳ]
BỞI DJ PANGBURNĐỌC LÂU
Trong nhiều năm, các nhà hoạt động trong cộng đồng bảo mật và quyền riêng tư đã cảnh báo rằng dữ liệu sinh trắc học, bao gồm ID ảnh, dấu vân tay và thông tin khác, có thể bị hack bởi các diễn viên xấu. Tuần trước, những lo ngại này đã được xác nhận khi cơ quan Hải quan và Bảo vệ Biên giới Hoa Kỳ tuyên bố rằng các tin tặc đã truy cập được vào cơ sở dữ liệu chứa ID ảnh du lịch và hình ảnh biển số xe được quản lý bởi Perceptionics. Trong những năm gần đây, CPB đã yêu cầu khách du lịch nước ngoài cung cấp dữ liệu nhận dạng khuôn mặt, dấu vân tay và thông tin sinh trắc học khác, vì vậy có thể thông tin đó cũng có nguy cơ bị tin tặc lấy được.
Nếu dữ liệu nhận dạng khuôn mặt (FR) bị xâm phạm, cùng với thông tin cá nhân khác như tên và số an sinh xã hội, danh tính của một người có thể dễ dàng bị đánh cắp vì gian lận tài chính. Ngoài loại hoạt động tội phạm này, còn có một số rủi ro về thể chất, chẳng hạn như tiết lộ vị trí của một cá nhân cho kẻ theo dõi hoặc giao dữ liệu FR an ninh gia đình cho một tên trộm. Và, tất nhiên, nếu một chính phủ duy trì một cơ sở dữ liệu về quét khuôn mặt, nó có thể được sử dụng để xác định và kiểm soát các nhà hoạt động, đó là cách Trung Quốc hiện đang giám sát cộng đồng thiểu số Hồi giáo Duy Ngô Nhĩ của mình.
Các cơ quan đang gấp rút thu thập càng nhiều thông tin càng tốt, và nó vượt xa khả năng bảo vệ dữ liệu của họ, Dave Maass, một nhà nghiên cứu điều tra cao cấp tại Electronic Frontier Foundation nói. Điều tương tự cũng đúng đối với các nhà cung cấp sinh trắc học tiếp thị hệ thống của họ cho các công ty thuộc khu vực tư nhân.
Nói thật, họ nên thấy điều này sắp diễn ra, vì hệ thống sinh trắc học của Ấn Độ đã bị vi phạm chỉ một năm trước đó, theo Ma Maass. Chúng tôi cũng thấy việc thực thi pháp luật đặt niềm tin vào các nhà cung cấp, mà an toàn công cộng và an ninh mạng có thể không phải là mối quan tâm chính của họ.
Maass hy vọng các vi phạm của các hệ thống giám sát như công nghệ nhận dạng khuôn mặt sẽ tiếp tục phát triển. Vài năm trước, Electronic Frontier Foundation đã phát hiện ra rằng các đầu đọc biển số tự động đã bị lộ trực tuyến, một vấn đề mà các phóng viên gần đây đã xác nhận là đang sinh sôi nảy nở.
Nếu hệ thống của CBP bị vi phạm, thì những mối đe dọa nào sẽ xảy ra trước mắt đối với tất cả các hệ thống giám sát này do cơ quan thực thi pháp luật địa phương trên khắp đất nước không có tài nguyên của chính phủ liên bang? Maass nói. Nhận thức của người dùng đã sử dụng các hợp đồng CBP của mình để thiết lập uy tín. Chúng tôi chưa biết ai khác ký hợp đồng với họ dựa trên sự chứng thực đó.
Jay Stanley, một nhà phân tích chính sách cao cấp tại Liên minh Tự do Dân sự Hoa Kỳ (ACLU), không chắc chắn nếu các công ty sinh trắc học đang sử dụng dữ liệu khuôn mặt thu được trong khu vực tư nhân ngoài việc chỉ đơn giản là nhận dạng người. Nhưng, ông nói, dữ liệu này có thể được bán cho các chuỗi cửa hàng bán lẻ, có hệ thống nhận diện khuôn mặt có thể xác định khách hàng ngay khi họ đặt chân vào tòa nhà. Hệ thống có thể sử dụng phân tích video để ghi nhật ký thông tin khác, như thời gian họ ở trong cửa hàng và nơi họ tập trung sự chú ý của họ.
Do quy định lỏng lẻo và sự giám sát của chính phủ yếu, Stanley cho biết thêm, chúng tôi thực sự không biết các công ty công nghệ sinh trắc học đang xử lý và bảo mật dữ liệu FR như thế nào.
Stanley là tất cả các công ty cho riêng mình, đó là Wild West, không có quy tắc nào cả, không có bất kỳ hoạt động tốt nhất nào trong ngành, Stanley nói. Không có gì ngăn cản một công ty sử dụng camera giám sát có độ phân giải rất cao trong cửa hàng, lấy bản in khuôn mặt của tất cả những người bước vào, lưu trữ nó trong cơ sở dữ liệu và sử dụng nó cho bất kỳ mục đích nào mà trí tưởng tượng của họ có thể đưa ra. Sự thèm ăn của thế giới quảng cáo về thông tin về con người là vô biên.
Một khi bạn tạo ra những cơ sở dữ liệu lớn này, Stanley giải thích, chúng trở thành những tổ ong thu hút tin tặc. Và cuối cùng, nó chứng tỏ việc hack vào hệ thống dễ dàng hơn là ngăn chặn tin tặc. Nhưng nó không chỉ là tin tặc quan tâm đến cơ sở dữ liệu như vậy. Với nhiệm vụ leo núi, FR FR bị bình thường hóa, khiến nó lây lan từ việc làm thủ tục tại sân bay đến một cơ quan công cộng như CPB, được giao nhiệm vụ xác định và trục xuất người nhập cư bất hợp pháp khỏi Hoa Kỳ.
'Khi bạn tạo các cơ sở dữ liệu [sinh trắc học] lớn này, đó chỉ là một công thức cho các cuộc xâm phạm quyền riêng tư và lạm dụng của tin tặc, ngoài bất kỳ hành vi lạm dụng nào mà những người đang thu thập dữ liệu đang tham gia, Stanley nói.
HOẠT ĐỘNG TRONG BÓNG TỐI
Tại Hoa Kỳ, hàng chục công ty tạo ra các hệ thống nhận diện khuôn mặt, phục vụ cả khách hàng của chính phủ và doanh nghiệp. Các công ty này đang xây dựng hệ thống của họ trong trường hợp không có bất kỳ quy định thực sự.
Theo Electronic Frontier Foundation, một trong những nhà cung cấp nhận dạng khuôn mặt lớn nhất và công nghệ ID sinh trắc học khác ở Mỹ là Idemia (trước đây là MorphoTrust), nhà sản xuất hệ thống FR IdentoGO. Công ty đã thiết kế các hệ thống cho các cơ quan thực thi pháp luật liên bang và tiểu bang, DMV tiểu bang, kiểm soát biên giới và sân bay, và Bộ Ngoại giao. Các nhà cung cấp phổ biến khác bao gồm 3M , Cognitec , DataWorks Plus , Hệ thống hình ảnh động , FaceFirst và NEC Global , ED viết EFF.
Lynch của EFF đã đưa ra cảnh báo về Idemia trở lại vào năm 2017 khi TSA tuyên bố ý định sử dụng FR để theo dõi mọi người xung quanh các sân bay. Idemia là nhà cung cấp trong chương trình PreCheck của TSA, mà Lynch lưu ý đã di chuyển ra ngoài các sân bay để bao gồm cả việc nhập cảnh nhanh chóng cho khách du lịch đã được phê duyệt của Pre Preeck tại các buổi hòa nhạc và sân vận động trên khắp Hoa Kỳ.
Tiêu chí Idemia cho biết họ sẽ trang bị cho các sân vận động công nghệ dựa trên sinh trắc học, không chỉ để bảo mật mà còn 'để hỗ trợ trải nghiệm của người hâm mộ', Lyn Lyn viết. Nhận dạng khuôn mặt sẽ thêm cho phép Idemia theo dõi người hâm mộ khi họ di chuyển khắp sân vận động, giống như một công ty khác, NEC , đang làm việc tại một sân vận động bóng đá chuyên nghiệp ở Medellin, Columbia và tại một sự kiện vô địch LPGA ở California vào đầu năm nay.
Vào tháng Tư, Idemia tuyên bố hợp tác với Boston Red Sox. Là nhóm MLB đầu tiên hợp tác với Idemia, Công viên Fenway sẽ được trang bị làn đường Fast Pass của công ty, người hâm mộ chỉ có thể sử dụng nếu họ gửi đến quét vân tay. Công ty tự hào cung cấp một loạt các dịch vụ liên quan đến danh tính của người dùng cho các khách hàng thương mại thông qua các trung tâm IdentoGo. Dịch vụ chính của chúng tôi là bắt giữ và truyền tải dấu vân tay điện tử an toàn cho việc làm, chứng nhận, cấp phép và các mục đích xác minh khác, công ty nói. Các dịch vụ bổ sung, chẳng hạn như ảnh hộ chiếu, kiểm tra lịch sử nhận dạng và thẻ vân tay có sẵn tại các địa điểm tham gia ngày hôm nay và các sản phẩm và dịch vụ mới liên quan đến danh tính đang được phát triển cho tương lai.
Vào năm 2016, tập đoàn đa quốc gia 3M có trụ sở tại Minnesota đã tuyên bố tham gia vào trò chơi nhận dạng khuôn mặt với Hệ thống nhận dạng khuôn mặt trực tiếp 3M. Không giống như sản phẩm của Idemia, hệ thống sử dụng video trực tiếp để khớp với danh tính trong thời gian thực, cho khách hàng khu vực công và tư nhân. Trong một thông cáo báo chí , 3M Cogent lưu ý rằng hệ thống tự động nhận diện nhiều khuôn mặt từ cảnh quay trực tiếp hoặc nhập khẩu để xác định từng người từ môi trường động, không kiểm soát được. Trong thời gian thực, các khuôn mặt được chụp và khớp, và bất kỳ máy tính để bàn hoặc thiết bị di động nào cũng có thể được thông báo ngay lập tức khi có sự trùng khớp trong cơ sở dữ liệu.
3M Cogent không thấy Hệ thống nhận dạng khuôn mặt trực tiếp của nó chỉ được sử dụng cho thực thi pháp luật, kiểm soát biên giới và lực lượng an ninh tư nhân. Họ đang tiếp thị nó để được sử dụng trong các không gian như sòng bạc, khu vực lên tàu, sân vận động thể thao và ngân hàng.
Trong khi nhiều nhà cung cấp FR đang bận rộn tiếp thị cho các cơ quan chính phủ Hoa Kỳ và các công ty tư nhân, IBM đang tìm kiếm ở nước ngoài. Vào tháng 5, Megha Rajagopalan của BuzzFeed đã báo cáo rằng gã khổng lồ công nghệ, cùng với Hikvision và Huawei của Trung Quốc, đang tiếp thị công nghệ nhận dạng khuôn mặt cho Các Tiểu vương quốc Ả Rập Thống nhất, một chế độ nổi tiếng với việc sử dụng phần mềm gián điệp di động chống lại những người bất đồng chính kiến. Sản phẩm này, được biết đến với cái tên Oyoon (tiếng Ả Rập cho tiếng Nhật mắt), hiện đang được cảnh sát Dubai tung ra. Nó kết hợp nhận dạng khuôn mặt và phân tích AI, với mục tiêu đã nêu là xác định tai nạn giao thông. Nhưng, như Rajagopalan lưu ý, các tài liệu mua sắm và quy định của chính phủ cho thấy rõ rằng cảnh sát Dubai muốn có thể quét khuôn mặt của mọi người và phân tích chúng, trong số những thứ khác như ghi âm giọng nói.
Các dự án FR khác, như Face-Int, sản phẩm của Verint, đã gây lo ngại cho các nhà hoạt động nhân quyền. Verint là một nhà sản xuất phần mềm gián điệp có hệ thống rình mò điện thoại thông minh đã được sử dụng bởi các chính phủ bị nghi ngờ vi phạm nhân quyền, như UAE, Nam Sudan và Mexico. Được phát triển bởi Terrogence, một công ty con của Verint, Face-Int sử dụng quét video và ảnh từ Facebook, YouTube và các phương tiện truyền thông xã hội khác cho cơ sở dữ liệu FR được sử dụng để xác định những kẻ khủng bố. Nhưng, như Thomas Brewster của Forbes đã báo cáo vào tháng 4 năm 2018, một cựu nhân viên Terrogence đã lưu ý trên hồ sơ LinkedIn của họ rằng Face-Int cũng đã được sử dụng để lập hồ sơ cho các nhóm hoạt động.
DỮ LIỆU SINH TRẮC HỌC CÓ NGUY CƠ
Không giống như mật khẩu có thể thay đổi nếu bị đánh cắp, khuôn mặt hoặc tròng đen của một người không thể thay đổi. Lưu trữ và truyền dữ liệu này một cách an toàn là điều tối quan trọng đối với các công ty công nghệ sinh trắc học. Nhưng, như vi phạm cơ sở dữ liệu Perception và các phơi nhiễm khác minh họa, điều này thực sự không có vẻ là trường hợp.
Đầu năm nay, nhà nghiên cứu bảo mật người Hà Lan Victor Gevers đã phát hiện ra rằng SenseNets, một công ty Trung Quốc bán công nghệ phân tích đám đông và nhận dạng khuôn mặt dựa trên video, đã để cơ sở dữ liệu của họ mở trên internet trong nhiều tháng. Công nghệ nhận dạng khuôn mặt của công ty được chính phủ Trung Quốc sử dụng để theo dõi dân số Hồi giáo Uyghur ở khu vực Tân Cương. Cơ sở dữ liệu mở đã tiết lộ 2.565.724 người dùng, theo Gevers, cũng như tọa độ GPS.
Sau khi khám phá, Gevers đã tweet rằng cơ sở dữ liệu chứa thông tin cá nhân: Cơ sở dữ liệu này chứa hơn 2.565.724 hồ sơ của những người có thông tin cá nhân như số chứng minh nhân dân (ngày phát hành và ngày hết hạn, giới tính, quốc gia, địa chỉ, sinh nhật, mật khẩu, nhà tuyển dụng và Những địa điểm có trình theo dõi họ đã đi qua trong 24 giờ qua.
Nhưng đây không phải là cơ sở dữ liệu nhận dạng khuôn mặt duy nhất còn sót lại ở Trung Quốc, một quốc gia có hy vọng lớn sẽ sử dụng công nghệ này để nhận dạng người trong vài giây . Hai tháng trước, nhà nghiên cứu bảo mật John Wet Breathton đã tìm thấy và truy cập cơ sở dữ liệu thành phố thông minh của Trung Quốc trên trình duyệt web không có mật khẩu. Như Wet Breathton nói với TechCrunch, anh đã tìm thấy dữ liệu được phơi bày trị giá hàng gigabyte trên cơ sở dữ liệu Elaticsearch bao gồm quét nhận dạng khuôn mặt của hàng trăm người. Cơ sở dữ liệu, được sử dụng bởi một công ty giấu tên, được lưu trữ trên dịch vụ đám mây khổng lồ của công nghệ Trung Quốc Alibaba.
Mặc dù những ví dụ này có vẻ giống như ngoại lệ, Wet Breathton nói với Fast Company rằng cơ sở dữ liệu không quá khó để có được. Ông nói rằng các hệ thống nhận dạng khuôn mặt phụ thuộc vào công nghệ cơ sở dữ liệu hiện có của các sản phẩm như Elaticsearch, MySQL, SQL và các giải pháp lưu trữ dữ liệu khác và hầu hết chúng đều có cấu hình kém.
Các công ty nhận diện khuôn mặt thường sử dụng dịch vụ lưu trữ và dịch vụ đám mây để mở rộng quy mô một cách rẻ tiền và hiệu quả, theo ông Wet Wetton. Một số rất ít các tổ chức này đang chú trọng đến an ninh và quyền riêng tư. Thành thật mà nói, thái độ phổ biến là người tiêu dùng từ bỏ quyền đó ở nơi công cộng.
Nhà thầu CPB Perceptionics, một công ty như vậy hiện đang có một cú hích PR lớn. Casey Self, Giám đốc Tiếp thị của công ty, nói với Fast Company rằng Perceptionics không có cơ sở dữ liệu nhận dạng khuôn mặt và cũng không có quyền truy cập vào cơ sở dữ liệu nhận dạng khuôn mặt của chính phủ. Ông cũng nhấn mạnh rằng công ty không cung cấp phần mềm FR.
Gần đây, Per Pericsics đã được trao một hợp đồng trình diễn để đánh giá khả năng của máy ảnh để ghi lại hình ảnh khuôn mặt chất lượng cho từng người ngồi trên xe, theo ông Self. Chúng tôi không có quyền truy cập vào bất kỳ thông tin cá nhân nào về người ngồi trên xe.
CÁCH TÌM CƠ SỞ DỮ LIỆU NHẬN DẠNG KHUÔN MẶT TRONG VÀI GIÂY
Wet Breathton gọi những cơ sở dữ liệu nhận dạng khuôn mặt này là những tài sản được bảo vệ kém, có thể dễ dàng khám phá bằng cách sử dụng những thứ như BinaryEdge, Shodan và các công cụ tương tự. Ông nói rằng một số trong số các hệ thống này thậm chí còn được thiết kế để có thể mở ra cho người dùng, mặc dù vậy, tùy thuộc vào người triển khai để đảm bảo an toàn cho người triển khai. Một máy chủ SQL điển hình, có thể được sử dụng để lưu trữ dữ liệu nhận dạng khuôn mặt, chạy trên một tập hợp các cổng tiêu chuẩn có thể dễ dàng quét bằng các công cụ miễn phí như Masscan. Khám phá những cơ sở dữ liệu này là tầm thường, Wet nói.
Như ông đã chứng minh, một tin tặc độc hại có thể thực hiện tìm kiếm cơ sở dữ liệu Elaticsearch bằng các công cụ này bằng cách xác định một cổng, chỉ mục và từ khóa. Trong vòng chưa đầy một phút, Wet Breathton đã tìm thấy 33.000 cơ sở dữ liệu Elaticsearch mở, một tỷ lệ nhỏ trong số đó sẽ liên quan đến nhận dạng khuôn mặt hoặc trí tuệ nhân tạo. Quan điểm là dữ liệu rất dễ tìm thấy nếu nó thậm chí không an toàn từ xa, ông nói. Trong một thời gian ngắn, Wet Breathton đã tìm thấy một cơ sở dữ liệu ở Trung Quốc đang sử dụng công nghệ nhận dạng khuôn mặt. Ông nói rằng các công cụ để truy cập các hệ thống này là có sẵn miễn phí và thường không cần xác thực. Về mặt kỹ thuật, họ không bị hack, họ chỉ đơn giản là không được bảo mật.
Nhà nghiên cứu bảo mật Gevers, làm việc tại GDI Foundation, một tổ chức đang cố gắng bảo vệ một mạng internet mở và miễn phí bằng cách làm cho nó an toàn hơn, nói rằng lý do có rất nhiều cơ sở dữ liệu nguồn mở là chúng có thể được cài đặt nhanh chóng. Vấn đề, ông nói, là các kỹ sư dường như không đọc hướng dẫn khi nói đến việc bảo mật dữ liệu.
Gợi ý tôi nghĩ đó là lý do chính tại sao Trung Quốc là nơi rò rỉ dữ liệu nhiều thứ hai, theo ông Gevers. Một người đầu tiên ở Hoa Kỳ vì Dịch vụ web Amazon, Dịch vụ trực tuyến của Google và Azure. Mọi người triển khai hệ thống rất nhanh, quên tường lửa hoặc đặt một số thông tin đăng nhập vào đó để bạn phải đăng nhập.
Thời điểm bạn triển khai các hệ thống dự đoán của mình trên đám mây trực tuyến, bạn phải chắc chắn rằng các hệ thống này sẽ không bị lộ vì quản trị viên hệ thống để lại một cái gì đó mở, hoặc một nhà phát triển web đã tạo ra một lỗ hổng, ông nói thêm .
Gevers nghĩ rằng rất có thể sẽ có một sự gia tăng trong các vi phạm dữ liệu bao gồm ảnh hoặc tài liệu khác đang được sử dụng để nhận dạng khuôn mặt hoặc nhận diện mống mắt. Và ngay cả khi các hệ thống bị khóa với thông tin đăng nhập, chỉ cần một lỗi để tạo lỗ hổng và sau đó bất kỳ hacker nào cũng có quyền truy cập vào cơ sở dữ liệu.
Vấn đề với nhận dạng khuôn mặt là bạn cần rất nhiều dữ liệu và để lưu trữ nhiều dữ liệu và làm cho nó có thể tìm kiếm nhanh chóng, Gevers nói. Chúng tôi thấy rất nhiều người có xu hướng sử dụng [các sản phẩm nguồn mở, miễn phí]. Đây là những sản phẩm tốt nếu bạn biết những gì bạn đang làm. Và tôi nghĩ đó là vấn đề: hầu hết mọi người không biết họ đang làm gì. Họ chỉ cần lấy một khối xây dựng Lego, xếp nó lên và nói, 'Này, nhìn này, sản phẩm đã hoàn thành.'
Nếu bạn nhìn vào số lượng rò rỉ dữ liệu trong ba năm qua và bạn thêm từ 'MongoDB' hoặc 'Elaticsearch', bạn sẽ thấy những dữ liệu đó tăng lên rất nhanh, ông nói. Điều này là do các sản phẩm rất dễ sử dụng và thiết lập, nhưng khó hơn một chút để làm cho chúng an toàn hơn.
Gevers đổ lỗi cho bảo mật cơ sở dữ liệu FR yếu trên thị trường cạnh tranh, nơi một bằng chứng về khái niệm được xây dựng và sản phẩm nhanh chóng được bán và bán ra thị trường. Và mặc dù chính phủ hoặc công ty có thể học hỏi từ các lỗ hổng, khi thời gian trôi qua và mọi người được thăng chức hoặc rời bỏ công việc của họ, Gevers nói rằng xu hướng là để các tổ chức quên đi những gì họ đã học về bảo mật hệ thống. Đó là lý do tại sao anh muốn thấy các nhà cung cấp đám mây như AWS, Google và Azure cung cấp cho các lập trình viên các mẫu, chẳng hạn như có sẵn từ Dự án bảo mật ứng dụng web mở , để họ có thể xây dựng an toàn và bảo mật trên các nền tảng đó.
Đây là chi phí để bảo vệ dữ liệu đúng cách và các công ty không muốn trả tiền, Jay Stanley của ACLU nói. Và trừ một cú đánh PR, họ thường không trả chi phí cho các vi phạm dữ liệu. Đó là những khách hàng trả chi phí cho những khách hàng của Haiti, những người thậm chí có thể không biết rằng dữ liệu đang được thu thập, chứ chưa nói đến việc có sự lựa chọn [đồng ý].
'MỘT MỐI ĐE DỌA HIỆN HỮU CHO CÁC QUYỀN TỰ DO CƠ BẢN'
Trong những lời khai gần đây trước Ủy ban Hạ viện và Cải cách, Clare Garvie, một cộng tác viên cao cấp của Trung tâm Quyền riêng tư & Công nghệ tại Georgetown Law, nói rằng chỉ vài năm trước, cô nghĩ rằng các quy định mạnh mẽ là đủ để bảo vệ mọi người khỏi việc lạm dụng công nghệ nhận dạng khuôn mặt. Bây giờ cô ấy tin rằng chính phủ liên bang, tiểu bang và địa phương nên đặt lệnh cấm cảnh sát sử dụng nhận dạng khuôn mặt.
Cộng đồng cần có thời gian để xem xét liệu họ có muốn nhận diện khuôn mặt trên đường phố và khu vực lân cận hay không, ông Garvie nói. Sức mạnh mà công nghệ này mang lại cho cơ quan thực thi pháp luật, kết hợp với sự bí mật mà công nghệ đã được triển khai, sự thiếu chính xác và chủng tộc và giới tính của nó, và cách nó bị lạm dụng và lạm dụng, khiến nhận diện khuôn mặt trở thành mối đe dọa hiện hữu đối với nền tảng quyền tự do trong xã hội của chúng ta.
Ngoại trừ luật sinh trắc học ở Illinois và Texas, và lệnh cấm của San Francisco, thông thường không có giới hạn pháp lý nào ngăn cản các công ty bán dữ liệu họ thu thập, John Verdi, phó chủ tịch chính sách tại Diễn đàn Tương lai Bảo mật , cho biết xe tăng tập trung vào sự riêng tư dữ liệu.
Một lý do cho điều này là các hệ thống công nghệ FR không tương thích. Đó là, không có tiêu chuẩn chung nào cho phép chia sẻ dữ liệu FR giữa các hệ thống. Vì vậy, nếu một nhà bán lẻ có in hình mặt của một khách hàng từ hệ thống NEC muốn tiếp thị cho một cá nhân bước vào một cửa hàng khác sử dụng công nghệ Hitachi FR, hai hệ thống sẽ không thể nói chuyện với nhau.
Đây là một lý do khác: khi bạn nói về theo dõi trong thế giới thực cho các mục đích tiếp thị, hầu hết các nhà tiếp thị và hệ sinh thái đã có một định danh gần như tốt và có thể tương tác, và được hiểu và sử dụng thường xuyên, và đó là điện thoại di động của bạn ID thiết bị, nói rằng Verdi. Vì vậy, nếu tôi là một nhà bán lẻ hoặc môi giới dữ liệu, tôi có thể. . . cố gắng tham gia vào một thang máy xây dựng sự đồng thuận to lớn với một loạt các công ty nhận dạng khuôn mặt và tôi có thể nhận được dữ liệu chính xác hơn một chút so với dữ liệu tôi nhận được từ điện thoại di động, mặc dù có lẽ tôi sẽ không.
Nhưng chỉ vì các hệ thống FR không tương thích với nhau không có nghĩa là các công ty sinh trắc học sẽ không tìm cách bán dữ liệu khuôn mặt. Và nếu mọi người không đồng ý quét mặt, thì câu hỏi về quyền riêng tư chắc chắn sẽ xuất hiện ngay lập tức. Giống như Garvie, Dave Maass của EFF tin rằng đã đến lúc cần một lệnh cấm đối với nhận dạng khuôn mặt.
Các nhà cung cấp dịch vụ mạnh mẽ đang thúc đẩy các cơ quan tiếp nhận công nghệ này rất nhanh, không nhất thiết vì nó tốt cho an toàn công cộng, nhưng có lẽ vì họ đang ganh đua để chiếm lĩnh thị trường, ông nói. Họ đang hứa hẹn về tất cả các tội ác mà nó có thể giải quyết hoặc ngăn chặn một cách kỳ diệu, và các quan chức không hỏi về những gì có thể xảy ra. Chúng tôi ủng hộ quyết định của San Francisco hoàn toàn cấm công nghệ, nhưng ít nhất, các quyết định về giám sát nên được đưa ra bởi cộng đồng và các đại diện được bầu của họ, chứ không phải bởi cảnh sát hợp tác với nhân viên bán hàng giám sát.
Diễn đàn Tương lai của Quyền riêng tư gần đây đã xuất bản một bài viết về quy định và thực hành tốt nhất cho công nghệ nhận dạng khuôn mặt. Bài viết đề xuất rằng quy định thông thường cần phải bắt đầu từ một vị trí của opt-in, sự đồng ý khẳng định rõ ràng, để đăng ký vào các hệ thống. Verdi nói rằng sẽ có ngoại lệ, như trong thực thi pháp luật, nơi tội phạm sẽ không chọn, điều này sẽ đòi hỏi một mô hình khác. Verdi cũng nói rằng việc chọn tham gia không có ý nghĩa đối với các hệ thống FR trong trường học, điều đó có thể có nghĩa là có một số tình huống không nên sử dụng công nghệ này. FPF hỗ trợ một lệnh cấm trong một số trường hợp nhất định, như trong trường học, nhưng không phải cho các ứng dụng hữu ích gây ra một số rủi ro riêng tư, như mở khóa thiết bị di động bằng bản in.
Trong các phiên điều trần của Ủy ban Cải cách và Ủy ban Hạ viện hồi cuối tháng 5, đã có sự quan tâm mạnh mẽ từ Đảng Dân chủ và Cộng hòa trong việc áp dụng công nghệ nhận dạng khuôn mặt trước khi nó thay đổi cuộc sống của người Mỹ. Chúng tôi đã kêu gọi một lệnh cấm [về công nghệ nhận dạng khuôn mặt], Stanley nói. Và chúng tôi đã nhận được rất nhiều sự hỗ trợ trong phòng trong những buổi điều trần đó.
Nhận xét
Đăng nhận xét