0.5 元一份人脸照片!人脸信息灰色产业超出你的想象
来源:电脑报
入住酒店、移动支付、图书借阅 …… 出色的便利性加上新鲜感,刷脸支付渐成移动交互新风潮,不断授权过程中,你可知人脸信息早已被灰产盯上?
01
0.5 元一份人脸照片
" 五毛一张打包带走,总共两万套,不议价。"、" 人脸数据 0.5 元一份、修改软件 35 元一套 "……
当下,在不少 社交 平台、电商平台上,通过搜索特定关键词,就能找到专门出售人脸数据和 " 照片活化 " 工具的店铺。
人脸照片销售比较好理解," 照片活化 " 又是何方神圣?
据调查了解,黑产卖家出售的 " 照片活化 " 工具,可将人脸照片修改为执行 " 眨眨眼、张张嘴、点点头 " 等操作的人脸验证视频。
这些造假的人脸数据会利用系统漏洞骗过部分平台的人脸识别机制,被用来解封社交平台的冻结账号,或修改 金融 保险应用的个人信息,造成账户被盗取,带来财产损失。更有甚者,一些非法分子还借此绕过部分婚恋交友平台或实名制开 手机 卡的人脸识别认证机制,用于虚假注册、网络诈骗、敲诈勒索等违法犯罪活动。
原图经 " 照片活化 " 软件处理后,基于关键点定位获得结果人脸图
" 照片活化 " 结果(截取自黑产攻击软件)
去年 8 月,深圳龙岗警方发现有辖区居民的身份信息被人冒用,其驾驶证被他人通过网络服务平台冒用扣分。经侦查发现,有不法分子使用 AI 换脸技术,绕开多个社交服务平台或系统的人脸认证机制,为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。
除 " 照片活化 " 外,在一些使用人脸注册识别场景下,也存在不法分子通过上传合成人脸图像企图蒙混过关。一系列 " 换脸 " 技术合成的人脸图像很难通过肉眼辨别真伪,加上人脸数据涉及到用户的肖像和个人隐私,篡改人脸数据也将对用户个人信息安全造成严重威胁。
这样的技术 PS 似乎也能做到?显然," 照片活化 " 外核心卖点在于一个 " 活 " 字。" 照片活化 " 技术可以通过照片作出摇头、点头、眨眼、吐舌头等动作," 甚至配合说一句话都没有难度,可以用语音操作 ",再加上手机号验证码的操作空间,不法分子一旦有了身份证信息和照片,冒用别人的身份去办理 网贷 、注册软件或网站、解锁支付软件、精准诈骗等,可以无障碍做很多不法的事情。
总体而言," 照片活化 " 引发的人脸信息安全问题,已在业界引起广泛关注。
02
不断拓展的人脸识别应用
点完餐看一下摄像头就能完成支付,住酒店刷脸后才能登记,上公厕用厕纸也得刷个脸才能取。随着人工智能的发展,人脸识别技术得到广泛应用," 脸 " 的应用场景被不断拓宽。
除了消费领域的便利支付,身份认证是人脸识别技术的另一大主战场。在全国机场和火车站的部分通道,乘客将身份证放在相应感应区,面部正视摄像头,每人只需几秒钟就可完成相关信息核验,快速进站。
一些公共服务机构还利用人脸识别技术来打击 " 黄牛 "。复旦大学附属肿瘤医院一半以上的患者来自外省份甚至境外,该院去年就推出 " 人脸识别 + 身份绑定 " 系统,强化早高峰时段热门专家(特需)现场号源的管理。通过人脸识别系统绑定挂号人的身份,使得号贩子失去了现场 " 投机挂号 " 的操作空间。
不仅是医院,记者发现,各地政务类 App 中,刷脸登录、人脸验证已经广泛使用,如某地公积金 App,用户就可通过人脸识别完成验证,线上支取公积金。
从便利性、安全性等方面看,人脸识别技术的确值得推广,但问题是当人们进出小区、甚至上厕所拿手纸时都需要刷脸,这样大规模的采集人脸信息,真的好吗?
03
别人的人脸数据有何用
一位倒卖 " 人脸视频工具箱 " 并声称可以 " 包教会 " 的卖家曾在接受 媒体 采访时表示,只要学会熟练使用 " 工具箱 ",不仅可以利用这些人脸数据帮他人解封 微信 和支付宝的冻结账号,还能绕过知名婚恋交友平台及手机卡实名认证的人脸识别机制。
如果人脸信息和其他身份信息相匹配,可能会被不法分子用以盗取网络社交平台账号或窃取金融账户内财产;如果人脸信息和行踪信息相匹配,可能会被不法分子用于精准诈骗、敲诈勒索等违法犯罪活动。
相比于身份证号、消费记录、信贷流水等个人信息," 人脸信息 " 无疑要敏感得多,其泄露的后果也要严重许多。人脸被冒用,支付、网贷、门禁等,完全处于不设防的裸奔状态。
理论上,莫名其妙背上一笔贷款、陌生人悄无声息闯入家门都是可能之事。人脸信息验证,不同于密码验证等方式,前者的 " 生物特征数据 " 具有固定性、永久性,改密码容易,要 " 换脸 " 难于登天。一旦人脸信息丢失,将终身置于不确定风险之中。
从技术角度看,将人脸信息和身份信息相关联后,利用系统漏洞 " 骗过 " 部分平台的人脸识别机制是有可能的。" 照片活化 " 能攻破人脸识别,也说明某些生物特征识别系统未必过关。
04
人脸信息保护需多方努力
对于倒卖公民隐私信息,刑法规定了侵犯公民个人信息罪,即将施行的民法典在人格权编中围绕 " 隐私权和个人信息保护 " 单独设了一章进行规范,可见国家对个人信息保护非常重视。
想要根除隐私泄露售卖问题,需要国家政府、企业、个人三方面共同努力,国家应尽快完善公民生物信息保护的法律体系,加快个人信息保护法的立法进程,构建健全的个人信息权利救济和保护制度,明确收集、利用个人信息的范围;在执法方面,加大对企业非法收集和使用公民个人信息的行政处罚力度,提高侵犯公民个人信息的违法成本;在政府自身成为人脸信息搜集主体时,政府要有明确的法律依据并遵循合理必要原则,并限制公权力的过度扩张,尽可能较少对公民个人信息权益的侵犯。
企业在采集和使用人脸数据时,应该遵守以下几个原则:用户同意、数据合规使用、透明性、数据安全保护措施、隐私设计、准确性和用户权利、问责制度。公民个人应树立强烈的个人信息保护意识,不随便扫码、注册等。
在个人信息有可能要被采集的时候,个人用户一定要尽可能询问采的原因和用途,是否有合法依据,以及数据搜集方对数据安全的保护措施。同时,不要随便扫描二维码,不要随便把自己的验证码发给别人。
对于已经开通 APP 刷脸验证的小伙伴,看了上面的问题如果有些不放心的话,不妨尝试关停该功能。
05
关闭人脸识别
看到这里,谨慎的小伙伴已经开始准备关闭刷脸授权了吧?以支付宝为例,取消刷脸应用并不是很复杂。
打开支付宝 App,进入 " 我的 " 页面,点击右上角的 " 设置 ",着依次点击 " 生物识别 "、" 刷脸设置 "。
这时,可以看到 App 的刷脸登录已处于开启状态,只需要左滑关闭,并依提示完成余下步骤就可以了。
微信人脸识别的关闭方法也大同小异,大部分正规 APP 基本都提供了方便的关闭功能,毕竟当下很多人都对刷脸验证存在疑问。
06
新技术不妨缓一缓
总结: 在移动支付的推动下,刷脸支付崛起很快,或许前面提到的刷脸取厕纸有些夸张,可进出小区、刷脸开门这些应用真的以非常快的速度在普及,可问题是我们真的做好了准备吗?
国家市场监督总局早在 2018 年发布消费警示称,智能门锁的质量安全,直接关系到千家万户的家庭财产和人身安全。日前,国家市场监管总局组织开展了智能门锁质量安全风险监测,发现智能门锁产品在远程开锁和人脸识别方面风险较高,在感应卡识别开锁方面隐患较多,另外在密码逻辑安全、抗电磁干扰、指纹识别等方面程度不同地也存在隐患。
而今年,IBM 在一封呈交美国国会的信件中表示,将停止交付通行的人脸识别和分析软件,并不再开发或者研究相关技术。
信中,IBM CEO Arvind Krishna 称,IBM 坚决反对也不会容忍使用任何面部识别技术,这样的观点或许有些偏激,但参考更多的观点,或许能为我们提供更多的参考意见。