五毛錢一份!誰在出賣我們的人臉信息?

顏之宏、閆紅心、陳宇軒

2020年07月14日08:11  來源:新華社
 
原標題:五毛錢一份!誰在出賣我們的人臉信息?

  “要的話五毛一張打包帶走,總共兩萬套,不議價。”一位賣家用微信語音對記者說。他還發來兩套手持身份証的人臉照片截圖。

  記者近日調查發現,一些網絡黑產從業者利用電商平台,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程。專家提醒,這些人臉信息有可能被用於虛假注冊、電信網絡詐騙等違法犯罪活動。

  人臉數據0.5元一份、修改軟件35元一套

  記者調查發現,在淘寶、閑魚等網絡交易平台上,通過搜索特定關鍵詞,就能找到專門出售人臉數據和“照片活化”工具的店鋪。

  在淘寶上,部分賣家以“人臉全國各地區行業可做,信譽第一”“出售人臉四件套,懂的來”等暗語招徠買家。記者隨機點進一家出售“××同城及各大平台人臉”商品的店鋪,旋即跳轉到閑魚界面。在該賣家的閑魚主頁中,售賣的商品為部分平台包含用戶人臉的信息數據。

  在閑魚平台,不少賣家公開兜售人臉數據。為了保証店鋪的“正常運營”,賣家常慫恿買家通過微信或QQ溝通議價。記者近日隨機咨詢其中一位賣家,對方用語音答復道“加微信聊吧,這個說多了會被封”,並向記者發來了微信號。

  除售賣人臉數據外,一些“膽大”的閑魚賣家還出售“照片活化”工具,利用這種工具,可將人臉照片修改為執行“眨眨眼、張張嘴、點點頭”等操作的人臉驗証視頻。

  “一套(‘照片活化’)軟件加教程35元,你直接付款,確認收貨后我把鏈接發你。”一位閑魚賣家在閑魚對話框內使用語音與記者議價。在記者完成支付並確認收貨后,賣家通過百度網盤給記者發來一個文件大小約20GB的“工具箱”,“工具箱”裡有虛擬視頻刷機包、虛擬視頻模擬器和人臉視頻修改軟件等工具,還有相關工具的操作教程文件。

  還有一位賣家在添加記者QQ好友后,先發來了一些單人手持身份証的樣本照片,隨后向記者展示了其利用工具修改上述照片后欺騙某網絡社交平台人臉識別機制的效果視頻。

  目前,記者已將調查中發現的一些線索移交有關公安機關。

      倒賣的人臉數據拿來做什麼?

  “如果只是採集個人的人臉信息,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份信息,隱私泄露風險並不大。”中國電子技術標准化研究院信安中心測評實驗室副主任何延哲說,問題在於,當前網絡黑市中售賣的人臉信息並非單純的“人臉照片”,而是包含公民個人身份信息(包括身份証號、銀行卡號、手機號等)的一系列敏感數據。

  一位倒賣“人臉視頻工具箱”並聲稱可以“包教會”的賣家告訴記者,隻要學會熟練使用“工具箱”,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平台及手機卡實名認証的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結賬號的截圖。

  “從技術角度看,將人臉信息和身份信息相關聯后,利用系統漏洞‘騙過’部分平台的人臉識別機制是有可能的。”人臉識別技術專家、廈門瑞為信息技術有限公司研究中心總監賈寶芝博士認為,盡管一些金融平台在大額轉賬時需要多重身份認証,但“道高一尺魔高一丈”,網絡黑產技術手段也在不斷更新,絕不能因此忽視賬戶安全。

  何延哲向記者舉例:如果人臉信息和其他身份信息相匹配,可能會被不法分子用以盜取網絡社交平台賬號或竊取金融賬戶內財產﹔如果人臉信息和行蹤信息相匹配,可能會被不法分子用於精准詐騙、敲詐勒索等違法犯罪活動。

  這些包含人臉信息和其他身份信息的數據從何而來?有賣家向記者透露,自己所售賣的人臉信息來自一些網貸和招聘平台﹔至於如何從這些平台中獲取此類信息,對方沒有作答。

      需警惕利用人臉信息進行違法犯罪活動

  近年來,人臉識別技術被用於金融支付、小區安防、政務服務等諸多場景,既提高了便利性,也通過數據交互在一定程度上增強了安全性。

  但是,人臉數據如果發生泄露或被不法分子非法獲取,就有可能被用於違法犯罪活動,對此應保持警惕。

  去年8月,深圳龍崗警方發現有轄區居民的身份信息被人冒用,其駕駛証被不法分子通過網絡服務平台冒用扣分。

  在開展“淨網2020”行動中,龍崗警方經多方偵查發現,有不法分子使用AI換臉技術,繞開多個社交服務平台或系統的人臉認証機制,為違法犯罪團伙提供虛假注冊、刷臉支付等黑產服務。截至目前,龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。

  據警方介紹,在上述案件中,犯罪嫌疑人利用非法獲取的公民照片進行一定預處理,而后通過“照片活化”軟件生成動態視頻,騙過人臉核驗機制。隨后,通過網上批量購買的私人社交平台賬號登錄各網絡服務平台注冊會員或進行實名認証。

  人臉信息關系到每個人的生命財產安全。業內專家認為,對倒賣人臉信息的黑色產業鏈必須予以嚴厲打擊,立法機關需統籌考慮技術發展與信息安全,劃定人臉識別技術的使用紅線﹔監管部門也應對惡意泄露他人人臉和身份信息的違法行為予以堅決制止。

  明年將施行的民法典,對自然人個人信息的范疇進行了專門說明,生物識別信息被納入其中。中國信息安全研究院副院長左曉棟認為,除民法典外,正在制定的個人信息保護法和數據安全法也應對人臉等生物特征信息的保護作出安排﹔立法要充分考慮人臉這一特殊身份信息的可獲得性,不能讓制定出來的法律因執行難而流於形式。

  北京師范大學網絡法治國際中心執行主任吳沈括認為,網絡平台對平台上的交易行為負有監管義務,應嚴謹審核賣家資質,對平台內經營者的合規情況進行監控、記錄,不應允許發布任何侵犯他人人身財產權利或法律法規禁止的物項。

  賈寶芝建議,相關平台在制定人臉識別安全規范的過程中,要強調“人臉數據等生物特征信息”與“其他身份信息”實行完全隔離存儲,避免將人臉數據與身份信息相關聯后發生批量化泄露。

  對於曾經上傳過清晰手持身份証照片或同時上傳人臉照片並填寫身份証、銀行卡信息的用戶,專家建議,應在開啟人臉驗証的同時,盡可能選擇多重驗証方式,減輕單重人臉驗証風險。

(責編:趙超、呂騫)