[ad_1]

Um lapso de segurança na controversa startup de reconhecimento facial Clearview AI significou que seu código-fonte, algumas de suas chaves secretas e credenciais de armazenamento em nuvem e até cópias de seus aplicativos estavam acessíveis ao público. TechCrunch relata que um servidor exposto foi descoberto por Mossab Hussein, diretor de segurança da empresa de segurança cibernética SpiderSilk, que descobriu que estava configurado para permitir que qualquer pessoa se registrasse como um novo usuário e logasse.

A Clearview AI chegou às manchetes em janeiro, quando um New York Times exposé detalhou seu enorme banco de dados de reconhecimento facial, que consiste em bilhões de imagens extraídas de sites e plataformas de mídia social. Os usuários enviam uma foto de uma pessoa de interesse, e o software do Clearview AI tentará combiná-la com quaisquer imagens semelhantes em seu banco de dados, potencialmente revelando a identidade de uma pessoa a partir de uma única imagem.

Desde que seu trabalho se tornou público, a Clearview AI se defendeu dizendo que seu software está disponível apenas para agências policiais (embora os relatórios afirmem que a Clearview está comercializando seu sistema para empresas privadas, incluindo Macy e Best Buy). Más práticas de segurança cibernética como essas, no entanto, podem permitir que essa ferramenta poderosa caia em mãos erradas fora da lista de clientes da empresa.

De acordo com TechCrunch, o servidor continha o código-fonte do banco de dados de reconhecimento facial da empresa, bem como chaves e credenciais secretas que permitiam acesso a parte de seu armazenamento na nuvem, contendo cópias de seus aplicativos Windows, Mac, Android e iOS. Hussein conseguiu tirar screenshots do aplicativo iOS da empresa, que a Apple recentemente bloqueado por violar suas regras. Os tokens Slack da empresa também estavam acessíveis, o que poderia ter permitido o acesso às comunicações internas privadas da empresa.

clearview ai 1

Hussein conseguiu acessar o aplicativo iOS do serviço e tirar capturas de tela.
Fonte: TechCrunch

Hussein também disse que encontrou cerca de 70.000 vídeos no armazenamento em nuvem da empresa tirados de uma câmera instalada em um prédio residencial. O fundador da Clearview AI, Hoan Ton-That disse TechCrunch que as imagens foram capturadas com a permissão da gerência do edifício, como parte das tentativas de prototipar uma câmera de segurança. O próprio edifício está localizado em Manhattan, mas TechCrunch observa que a empresa imobiliária responsável pelo edifício não retornou pedidos de comentários.

Respondendo ao lapso de cibersegurança, Ton-That disse que “não expôs nenhuma informação pessoalmente identificável, histórico de pesquisa ou identificadores biométricos” e acrescentou que a empresa “fez uma auditoria forense completa do host para confirmar que nenhum outro acesso não autorizado ocorreu , ”O que sugere que Hussein foi o único a acessar o servidor configurado incorretamente. As chaves secretas expostas pelo servidor também foram alteradas para não funcionarem mais.

O sistema da Clearview AI enfrentou críticas ferozes de empresas de tecnologia e autoridades dos EUA depois que se tornou público. Plataformas usadas para construir seu banco de dados, incluindo Facebook, Twitter e YouTube, disseram ao Clearview para parar de raspar suas imagens, os departamentos de polícia foram instruídos a não usar o software, e o escritório do procurador-geral de Vermont recentemente lançou uma investigação sobre a empresa por alegações de que pode ter violado as regras de proteção de dados.



[ad_2]

Fonte

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.