Стартап Clearview AI, раскритикованный за сбор данных из соцсетей, оставил свои базы данных в открытом доступе
Приложение позволяет загрузить изображение человека в программу, а затем находит его фотографии и даёт ссылки на источники.
Директор по кибербезопасности дубайской фирмы SpiderSilk Моссаб Хуссейн (Mossab Hussein) обнаружил хранилище с исходным кодом американского приложения для распознавания лиц Clearview AI, передаёт TechCrunch.
Приложение позволяет загрузить изображение человека в программу, а затем находит его фотографии в открытом доступе и даёт ссылки на источники.
Репозиторий был защищён паролем, но неправильно настроенные параметры позволили любому желающему зарегистрироваться в качестве нового пользователя и войти в систему, в которой хранился код.
Исходный код можно было использовать для сборки и запуска приложений с нуля, объясняет издание. Также в репозитории находились некоторые ключи шифрования и учётные данные компании, которые давали доступ к содержимому облачного хранилища Clearview.
В хранилище исследователь нашёл копии готовых приложений для Windows, Mac и Android, а также приложения для iOS, которое Apple заблокировала за нарушение правил.
Также в хранилище были данные Clearview для Slack — с помощью них можно получить доступ к личным перепискам и чатам компании.
Основатель Clearview Хоан Тон-То (Hoan Ton-That) заявил, что его компания «часто подвергается кибератакам и инвестирует значительные средства в укрепление безопасности». Он добавил, что компания провела проверку хоста и изменила ключи шифрования.
Clearview AI использует изображения из Facebook, YouTube и других сайтов. В январе The New York Times выяснила, что доступ к системе получали в том числе полиция и спецслужбы США и Канады. По данным издания, сбор этих изображений нарушают политики соцсетей. Facebook начала проверку после публикаций в СМИ.
При этом Clearview AI хранит даже удалённые из соцсетей изображения. В начале февраля соцсети потребовали от компании перестать собирать изображения пользователей.