猖獗的灰黑产!谁在靠你的“脸”赚钱?
“不知道到底谁搜集了你的人脸信息,也不知道一般如何保存,更不知道这些信息会被拿来做什么。” 家住北京通州区某小区的业主张先生,最近突然被小区物业通知“小区门禁要改成人脸识别”。在业主们的一片欢呼声中,他显得有些“异类”,“我比较担忧的是,这些搜集的人脸信息会存储到哪儿?数据会不会被泄露?但小区大部分人不关心人脸识别的隐患,也觉得自己的脸不值钱。 ” 而远在广东东莞的市民最近发现,去公共厕所上厕所需要刷脸取厕纸。市民需要站在机器前的识别区内,将脸对准机器上人脸识别的显示屏,间隔3秒钟,机器缓缓“吐”出长约90厘米的厕纸。 前不久,一段“男子戴头盔看房”的视频在网络上疯传。原来是一些地产售楼部开始使用人脸识别技术进行客户比对,以防“飞单”,而头盔男子是为了保护自己的脸。 人脸识别几乎充斥了我们的生活,躲都躲不掉。 相对应的,灰产也随之猖獗。深燃发现,在QQ、淘宝、闲鱼、百度贴吧、知乎等平台上,人脸相关信息和“代过人脸识别”的服务正在被堂而皇之地交易着。 要命的是,“目前对于采集数据的防护,更多的看厂商的自觉”。尽管人脸识别市场巨头扎堆,长出了不少独角兽,市场规模即将突破百亿元,但行业目前的状态是缺乏监管规范。 不止一位业内人士指出如果应用开发公司和云端公司技术能力跟不上,或内部人员泄密,很有可能泄露人脸信息。无论采集、运营、存储哪一环出现了问题,你的脸以及身份证等私人信息很容易在大数据时代裸奔。有媒体曾曝出几十万张戴口罩的人脸照片正以2毛钱一张的价格贩卖,这些照片一半是通过网络爬取,一半来自真实世界。 而由于人脸与个人身份信息绑定,一旦丢失人脸信息,个人将面临难以想象的后果。 对于人脸识别安全的担忧,一时间让这个日渐普及的新技术站上了风口浪尖,究竟谁在拿我们的脸赚钱?这项技术日趋泛滥,我们究竟该如何保护自己? 不知从何时起,我们已经被各式各样的人脸识别包围,尤其疫情之后,无接触的需求更是加速了人脸识别出现在普通人生活中的频率。现在,进入任何一个公共场所之前,请先刷脸。 进入医院,先在门口人脸识别测温;去商场逛街,门口保安拦下你让你刷脸;出入车站,需要人脸识别认证;很多小区物业以安全的名义,先斩后奏引进人脸识别系统;部分演唱会需要人脸识别实名入场,一些人脸识别系统甚至通过摄像头识别出了有案底的在逃人员… 我们每天使用的有支付功能的APP也纷纷上线了活体人脸识别技术,它们都需要实名认证,那都离不开人脸识别。 在这些安防、金融风控领域,人脸识别成了身份认证的强制手段,普通人难以拒绝。 除此之外,不少场景以方便快捷之名也“刷起了脸”。去便利店购物,可以选择刷脸支付;去健身房运动可以选择刷脸出入;刷脸认证已经成为手机APP、电子产品密码解锁的替代选择。 更为极端的情况是,据媒体报道,北京某小区的垃圾桶都用上了人脸识别,垃圾桶盖在识别出居民身份后才自动打开。 2019年发布的《中国刷脸支付技术应用社会价值专题研究报告》显示,这一年将成为中国刷脸支付的元年,用户数将达到1.18亿,2022年国内刷脸支付的用户将超过7.6亿人。 人脸识别技术还进入了部分高校和中小学校。有学校开始用人脸识别记录分析学生在课堂上的表情,目的是为了“方便”老师教学。 更可怕的是,越来越多的场景在当事人没有感知的情况下,悄无声息获取人脸信息,成了商家“熟客识别”、营销定位的数据来源。比如为了确定的营销,不少地区上线了人脸识别广告屏,这些广告屏通常设置在电梯间旁,路过电梯间的人们会被摄像头捕捉人脸信息。 比如,“看房戴头盔”事件背后是几乎所有的房地产售楼部都安装了人脸识别系统,通过对客户进行人脸比对,防止“飞单”。 总的来说,“安防是人脸识别落地最早和最广的应用场景,其次是金融行业的风控、营销等。”爱分析分析师黄勇总结道。 但细思极恐的是,大部分人脸信息的收集未经当事人同意,没人知道自己的人脸信息存储在何处,更不知道自己的“脸”是否会被私下贩卖、交易甚至用于违法勾当。 因为人脸信息涉及到身份ID认证,一张脸对应一个身份信息,如果一个人的人脸信息、身份证信息同时被不法分子获取,相当于实现了个人信息匹配,就有极大的可能性被冒用身份办理网贷、注册软件或网站、甚至解锁支付软件、确定的诈骗等等。 “不同于一般的账号、手机号,人就一张脸,人脸信息被盗取只能去整容换脸了,否则被盗取了经匹配的人脸信息后,你每天出门就相当于脑门上顶着信用卡在走路,是很危险的。”日本二维码聚合支付平台NETSTARS CTO陈斌曾对深燃指出。 泛滥的人脸识别背后,则是规模庞大、乱象丛生的人脸识别市场,有水面之上光鲜的一面,就有隐藏在水面之下的灰黑产业链。 深燃观察发现,因为需求旺盛,靠人脸信息赚钱的灰产遍布百度贴吧、淘宝、知乎、QQ等我们常用的社交平台。 深燃在QQ上搜索“人脸识别”相关关键词,就跳出了数个QQ群,进群后发现,不断有买方卖方发布需求和可承接的业务,一分钟就有十几条消息滚动,不难看出生意热火朝天。 群里还有人是“收料的”(也就是购买身份证信息、人脸信息),“真人现拍也行,价格到位。”一位群友在群里说道。 据深燃观察,群里最多的业务当属针对微信和支付宝等支付类产品的人脸识别破解技术。有人不停地吆喝售卖,“接微信人脸解封,本人冻结、收款限制,接别人过不去的采集,成功率99%”。 其次是互联网产品的代过人脸识别的需求,社交类平台如陌陌、探探,电商类如拼多多,以及爱迎彼、58同城的公司注册。 应灰黑产的需求,滋生出了诸多提供身份证、人脸信息以及“代过人脸识别”技术的中间商。 提供“代过人脸识别”服务的商家能将照片“活化”,生成动态视频,从而骗过人脸核验机制。 有些黑产买家非法获取支付宝账号的相关信息后,如登陆邮箱账号、登陆密码、支付密码、注册人姓名、身份证号码等,还需要借助“代过人脸识别”技术将倒卖来的账号实名认证,再将账号卖出。 还有些活跃在社交、电商APP上的黑产从业者,也是借助人脸信息以及代过技术绕过平台上的人脸识别认证,实施确定的诈骗。据媒体报道,绕过58同城人脸识别的骗子就能发布招聘信息实施诈骗,在陌陌等社交平台有骗子借助“代过人脸识别技术”绕过实名认证,进行情感诈骗等勾当。 深燃与人脸技术提供方的QQ对话 深燃以手中掌握大量支付宝账号的买家身份,加了一位可以“代过人脸识别”的商家,对方表示提供支付宝账号就可以帮忙搞定动态人脸识别认证,一张脸25元,另外,还可针对社交平台上的活体动态人脸识别认证提供“代过服务”。 深燃与代过人脸技术提供方的QQ对话 群内另一位售卖人脸信息的卖家对深燃介绍,一张大头照是25元,一张身份证信息是30元。并且随手发来了两张清晰的大头照和身份证照片,但又迅速撤回。 对于这个定价,对方解释道,以前那些便宜的5毛钱一张的,都被人脸识别过多次了,根本过不了,而他提供的是“最新的”,价格贵一些。曾有媒体曝光,有黑产从业者在淘宝、闲鱼上以人脸数据0.5元一份、“照片活化”网络工具及教程35元一套在售卖。 北京青年报也曾报道,有商家在网络商城兜售“人脸数据”,涵盖2000人的肖像,共计17万条,照片的主人公不仅有明星,还有不同职业、不同年龄的普通人。此外,每张照片搭配一份数据文件。 尽管近来人脸识别灰产被频繁关注,但并不妨碍从业者们赚钱。深燃在淘宝、闲鱼、百度贴吧、知乎上也发现了“代过人脸识别”交易,据了解,提供的服务和前文所述大同小异。 淘宝、闲鱼、知乎、百度贴吧上的“代过人脸识别”交易 灰黑产丛生,但必须要承认,人脸识别本是一门正当的好生意。 首先,技术本身是相对成熟的。“相比体态识别、行为轨迹识别等更为复杂场景的识别技术来说,人脸识别相对比较简单,主要是静态场景,而且数据也比较丰富。”黄勇指出。 技术门槛没那么高,就意味着好进入。而作为个人生物特征的人脸,实际上已经成为对一个人进行身份认证的重要手段,一张脸只对应一个人,这种唯一性,满足了大量需要身份认证的场景的需求,也使得人脸识别的应用场景非常广泛,落地场景、商用变现都变得容易。 比如:人称”AI四小龙”的商汤科技、旷视科技、云从科技、依图科技都是从人脸识别起家。 技术成熟,还能立马落地商用,没有哪家公司愿意放弃这块蛋糕。事实上,“无论是传统厂商、互联网巨头,还是中小创新型厂商,只要是场景解决方案里需要用到人脸识别,其业务或多或少都会涉及到这一技术”黄勇指出。 闻到钱的味道,上游的人工智能芯片、算法技术和数据集公司,中游提供解决方案的技术公司,以及下游人脸识别相关具体场景的应用公司,各种看似与人脸识别八竿子打不着的机构纷纷跑步入场,推动着整个赛道驶入快车线。 值得注意的是,互联网巨头们已经成为一股不可小觑的势力,早已开始投资或自研相关的人脸识别技术。比如,蚂蚁金服开始独立研发人脸识别技术;百度最近发布了四款度目硬件:人脸应用套件H1、AI镜头模组C1、视频分析盒子B1、人脸抓拍机VH-01;腾讯推出腾讯优图,积累研发有关人脸识别的技术与应用,于今年年初研发出了口罩佩戴识别专用AI,戴着口罩也能人脸识别。 “人脸识别相当于人工智能时代的一个基础技术能力,而巨头本身就有大量的可应用场景,同时,这些巨头不缺资金和技术,目前也在对外输出,转而做to B业务。”黄勇称。 2019年,一位杭州大学教授将杭州野生动物园告上了法庭,引发了全国关于人脸识别技术安全隐患的讨论。人们这才发现,便捷、无处不在的人脸识别背后,实际上存在着想象不到的安全隐患。 水面之上,人脸识别市场巨头丛生、前景广阔,便捷了生产和生活,但水面之下,大量泄露的人脸信息被贩卖交易,作价只有几毛钱。人们刷一下脸,个人信息就有可能裸奔在互联网上。 问题和漏洞究竟出在哪? 多位业内人士表示,如今的人脸识别技术应用广泛,这些收集上来的人脸信息,依据部署方式不同、数据存储的地方也不尽相同,有些是上传到云端,有些则是上传到本地化的后端服务器上。 “而数据的泄露大概率出现在两个环节,应用开发公司和云服务厂商。”一位业内人士向深燃表示,这两个环节可能由于技术能力不足而遭黑客攻击、或因对内部员工的权限管理不严,而数据外泄,成了灰黑产的盘中餐,不过大公司在安全防护上相对好一些。 360城市智能集团执行总裁、360视觉总经理邱召强曾对媒体证实,“360视觉曾对市面上的人脸识别设备测试,发现70-80%没有任何安全防护,基本处于裸奔状态。攻击它们甚至不需要黑客,一个网络工程师就能通过wifi、蓝牙或者网线等方式远程接入端口,除了‘窃取’数据,还能植入定向传输的木马程序,让设备自动传输数据到指定IP。” 但这不单是技术的问题,一位长期关注AI行业的投资人表示,“针对数据泄露,最有可能解决的是区块链技术,但实际上在现有的框架下,数据很难做到100%安全。所以只能通过法律法规强制性规定的方式。技术永远是道高一尺魔高一丈,只要有技术存在,就一定有漏洞。” 一位分析师也告诉深燃,“因为缺乏具体的法律法规,目前对于采集数据的防护,更多的看厂商的自觉。” 商汤科技CEO徐立也曾对媒体表达过相应的观点,他认为应对方法不是限制人脸识别的使用,而是在技术发展早期或者到一定阶段时,制定相应标准规定在什么情况下可以使用这些数据,什么情况下不能使用。 不过好在,已经有部分地区行动了起来。 天津在12月1日通过《天津市社会信用条例》,突出了对信用主体的权益保护,规定任何组织和个人不得非法采集、归集、使用、加工、传输社会信用信息,不得非法买卖、提供或者公开社会信用信息。 即将于明年1月1日起施行的《民法典》在“人格权编”中提出,处理人脸在内的个人信息,应当遵循合法、正当、必要原则。 至于人脸所有者,我们每一个个体如何保护自己的脸,不少专家指出,大众应该在面对需要人脸识别的场景时提高自我防范意识,认真阅读隐私政策;尤其要警惕举着身份证拍照的需求,因为既有身份证又有人脸信息;在个人信息侵权事件发生后,应当及时向法院起诉、向政府有关部门举报。
2021年01月08日
“微信支付限制谁可以解”、“登录闲鱼人脸有没有人能做”、“拼多多人脸能搞来,第一次合作先搞后费,后期大量单”,底下立马有人回应:“我加你”。
就目前来看,如今的赛道已经被这几类玩家瓜分。最令人瞩目的当属“AI四小龙”在内的AI初创企业,它们以核心识别算法为主打优势,最早将目光瞄准了人脸识别技术,且商业模式以2B、2G为主。比如旷视科技在2014年选择与支付宝合作,找到了第一个商业化落地场景;云从科技最早布局的是金融、安防领域,先后拿下了公安部、四大银行等标杆单位,最近还成为了“海关总署2020年动态人脸识别综合应用系统”的解决方案提供商。 老牌的安防企业如海康威视、大华股份、川大智胜、欧比特等也在虎视眈眈。掌握用户数据的运营商如移动、联通等,以及集成商(如中移建设、东华软件)、各省广电公司等都试图分食蛋糕。