0.5元一份!誰在出賣我們的人臉信息?
“要的話五毛一張打包帶走,總共兩萬套,不議價。”一位賣家用微信語音對記者說。他還發來兩套手持身份證的人臉照片截圖。“新華視點”記者近日調查發現,一些網絡黑產從業者利用電商平台,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程。專家提醒,這些人臉信息有可能被用於虛假註冊、電信網絡詐騙等違法犯罪活動。
人臉數據0.5元一份、修改軟件35元一套
“新華視點”記者調查發現,在淘寶、閒魚等網絡交易平台上,通過搜索特定關鍵詞,就能找到專門出售人臉數據和“照片活化”工具的店鋪。
在淘寶上,部分賣家以“人臉全國各地區行業可做,信譽第一”“出售人臉四件套,懂的來”等暗語招徠買家。記者隨機點進一家出售“××同城及各大平台人臉”商品的店鋪,旋即跳轉到閒魚界面。在該賣家的閒魚主頁中,售賣的商品為部分平台包含用戶人臉的信息數據。
在閒魚平台,不少賣家公開兜售人臉數據。為了保證店舖的“正常運營”,賣家常慫恿買家通過微信或QQ溝通議價。記者近日隨機諮詢其中一位賣家,對方用語音答復道“加微信聊吧,這個說多了會被封”,並向記者發來了微信號。
除售賣人臉數據外,一些“膽大”的閒魚賣家還出售“照片活化”工具,利用這種工具,可將人臉照片修改為執行“眨眨眼、張張嘴、點點頭”等操作的人臉驗證視頻。
“一套(’照片活化’)軟件加教程 35元,你直接付款,確認收貨後我把鏈接發你。”一位閒魚賣家在閒魚對話框內使用語音與記者議價。在記者完成支付並確認收貨後,賣家通過百度網盤給記者發來一個文件大小約20GB的“工具箱”,“工具箱”裡有虛擬視頻刷機包、虛擬視頻模擬器和人臉視頻修改軟件等工具,還有相關工具的操作教程文件。
還有一位賣家在添加記者QQ好友後,先發來了一些單人手持身份證的樣本照片,隨後向記者展示了其利用工具修改上述照片後欺騙某網絡社交平台人臉識別機制的效果視頻。
目前,記者已將調查中發現的一些線索移交有關公安機關。
倒賣的人臉數據拿來做什麼?
“如果只是採集個人的人臉信息,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份信息,隱私洩露風險並不大。”中國電子技術標準化研究院信安中心測評實驗室副主任何延哲說,問題在於,當前網絡黑市中售賣的人臉信息並非單純的“人臉照片”,而是包含公民個人身份信息(包括身份證號、銀行卡號、手機號等)的一系列敏感數據。
一位倒賣“人臉視頻工具箱”並聲稱可以“包教會”的賣家告訴記者,只要學會熟練使用“工具箱”,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平台及手機卡實名認證的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結賬號的截圖。
“從技術角度看,將人臉信息和身份信息相關聯後,利用系統漏洞’騙過’部分平台的人臉識別機制是有可能的。”人臉識別技術專家、廈門瑞為信息技術有限公司研究中心總監賈寶芝博士認為,儘管一些金融平台在大額轉賬時需要多重身份認證,但“道高一尺魔高一丈”,網絡黑產技術手段也在不斷更新,絕不能因此忽視賬戶安全。
何延哲向記者舉例:如果人臉信息和其他身份信息相匹配,可能會被不法分子用以盜取網絡社交平台賬號或竊取金融賬戶內財產;如果人臉信息和行踪信息相匹配,可能會被不法分子用於精準詐騙、敲詐勒索等違法犯罪活動。
這些包含人臉信息和其他身份信息的數據從何而來?有賣家向記者透露,自己所售賣的人臉信息來自一些網貸和招聘平台;至於如何從這些平台中獲取此類信息,對方沒有作答。
需警惕利用人臉信息進行的違法犯罪活動
近年來,人臉識別技術被用於金融支付、小區安防、政務服務等諸多場景,既提高了便利性,也通過數據交互在一定程度上增強了安全性。
但是,人臉數據如果發生洩露或被不法分子非法獲取,就有可能被用於違法犯罪活動,對此應保持警惕。
去年8月,深圳龍崗警方發現有轄區居民的身份信息被人冒用,其駕駛證被不法分子通過網絡服務平台冒用扣分。
在開展“淨網2020”行動中,龍崗警方經多方偵查發現,有不法分子使用AI換臉技術,繞開多個社交服務平台或系統的人臉認證機制,為違法犯罪團伙提供虛假註冊、刷臉支付等黑產服務。截至目前,龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。
據警方介紹,在上述案件中,犯罪嫌疑人利用非法獲取的公民照片進行一定預處理,而後通過“照片活化”軟件生成動態視頻,騙過人臉核驗機制。隨後,通過網上批量購買的私人社交平台賬號登錄各網絡服務平台註冊會員或進行實名認證。
人臉信息關係到每個人的生命財產安全。業內專家認為,對倒賣人臉信息的黑色產業鏈必須予以嚴厲打擊,立法機關需統籌考慮技術發展與信息安全,劃定人臉識別技術的使用紅線;監管部門也應對惡意洩露他人人臉和身份信息的違法行為予以堅決制止。
明年將施行的民法典,對自然人個人信息的範疇進行了專門說明,生物識別信息被納入其中。中國信息安全研究院副院長左曉棟認為,除民法典外,正在製定的個人信息保護法和數據安全法也應對人臉等生物特徵信息的保護作出安排;立法要充分考慮人臉這一特殊身份信息的可獲得性,不能讓製定出來的法律因執行難而流於形式。
北京師範大學網絡法治國際中心執行主任吳沈括認為,網絡平台對平台上的交易行為負有監管義務,應嚴謹審核賣家資質,對平台內經營者的合規情況進行監控、記錄,不應允許發布任何侵犯他人人身財產權利或法律法規禁止的物項。
賈寶芝建議,相關平台在製定人臉識別安全規範的過程中,要強調“人臉數據等生物特徵信息”與“其他身份信息”實行完全隔離存儲,避免將人臉數據與身份信息相關聯後發生批量化洩露。
對於曾經上傳過清晰手持身份證照片或同時上傳人臉照片並填寫身份證、銀行卡信息的用戶,專家建議,應在開啟人臉驗證的同時,盡可能選擇多重驗證方式,減輕單重人臉驗證風險。