你的“脸”正在被交易

我们的“脸”正亟需保护。

10月26日，《杭州市物业管理条例（修订草案）》被提请至杭州第十三届人大常委会审议。该草案中拟规定，物业服务人不得强制业主通过指纹或人脸识别等生物信息方式，使用共用设施、设备。

人脸信息作为人体的生物特征之一，和指纹、虹膜等一样，已经成为证明自己身份的手段。根据人体脸部特征进行身份验证的人脸识别技术，已经得到了广泛应用，例如手机解锁、各类App的注册验证、借贷等方面。

但是，在个人信息裸奔的时代，你的“脸”也可以成为被买卖的商品，而且，并不值钱。日前，根据央视报道，大量的照片等人脸信息正在被私下交易。在网上，只要花上2元，就可以买到上千张照片人脸信息。

单独的人脸照片泄露，或许对个人而言，并不构成什么威胁。但是，当通过“照片活化”等技术工具，人脸照片也可以实现眨眼、点头等简单动作。大量被窃取的人脸信息，配合上其他泄露的身份证号、手机号等个人信息，带来了更大的信息安全风险。

近日，由全国信息安全标准化技术委员会等成立的App专项治理工作组发布了一份《人脸识别应用公众调查报告2020》称，有九成受访者都使用过人脸识别，六成认为人脸识别有滥用趋势，三成表示个人隐私或财产安全已经因此遭遇损失。

但这，也只是个人信息数据黑产地下链条里的冰山一角。更多的人，也许完全不知道自己已经有多少信息被窃取，以及它们被用去做了什么。

2元上千张的“人脸”从哪里来

一个人的“脸”值多少钱？

根据央视报道，在网络交易平台上，只要花上2元，就可以买到上千张人脸照片，5000张人脸照片的价格还不到10元。在这些所谓“商家”的照片库里，都是真人的自拍照、生活照等隐私照片。而当央视记者询问客服这些图片是否涉及版权时，客服矢口否认，但却提供不了任何可以证明照片版权的材料。

图 / 央视报道

在今年7月，燃财经也曾加入一个名为“人脸技术组团学习群”的QQ群，里面充斥着各种“微信解封、代过人脸”、“出售三色人脸技术”、“代注册”等广告。在和群里的一位网友添加好友后，对方声称一份信息售价3元，包括人脸和身份信息，并随后发来一位女士的身份证信息作为验证。

根据新华社在之前的报道，在淘宝、闲鱼等网络交易平台上，通过搜索特定关键词，就能找到专门出售人脸数据和“照片活化”工具的店铺。

所谓照片活化，即利用软件工具，将人脸照片修改为可执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。

“大多数互联网用户，在某些人面前，没有任何隐私可言。”一位“白客”曾在知乎上如是说。

这些身份认证信息，究竟是从哪里流出？“来源渠道非常多。”一家安全厂商内部人员告诉燃财经。他举例称，比如曾经在微信上很火的算命小游戏，上传照片后免费算命，其实有一些就是黑灰产做的，目的就是获取人脸数据。

同时，目前一些App存在过度获取用户信息的现象。例如利用授权信息，获得了用户的摄像头和相册权限。这样，就会有一部分人脸信息数据被获取。在社交媒体上，用户上传的生活照、自拍照等，也成为黑灰产瞄准的对象，通过人工或爬虫的手段，进行获取。

一位安全行业从业人员透露，在三四线城市的老家，见到有些社区或超市里，有推销人员在发放鸡蛋、食油等商品。“只要登记下手机号码，表示是自愿领取就可以了”。有些禁不住免费商品诱惑的路人，在领取时故意用模糊掉的手机号码登记，认为这样就万无一失了。但他们不知道的是，为了应对不同的应用平台上的“刷脸”以及活体检测，一项新生的“过脸产业”已经出现。很大程度上，这些消费者已经成为其中的利用对象。“用户在登记时，他们的照片和动态视频，就已经被隐藏的摄像设备收集完毕。”他说，而黑灰产获得这些人脸信息，付出的成本不过是几个鸡蛋而已。

中国电子技术标准化研究院信安中心测评实验室副主任何延哲曾在采访中表示，如果仅仅只是采集个人的人脸信息，而没有获得其他身份信息，隐私泄露风险还并不算大。但在目前销售的个人数据中，不仅包括照片等人脸数据，而是包括个人手机号、社交媒体账号甚至身份证号码、****卡号等一系列隐私数据。

“在近几年，源于企业‘内鬼’的数据泄露比例，正在逐渐增多。”一位业内人士表示。《财经》曾报道称，有80%的数据泄露，都是企业内部员工所为。几乎所有用户资金和核心隐私数据比较集中的领域，无论是金融保险、工商、文娱、电信运营，还是医疗、外卖、酒店等生活消费行业，在数据最下层的生产环节，黑产的数据“搬运工”，无处不在。

今年5月，江苏省淮安市警方破获了一起建设****某员工贩卖用户信息数据的案件。该员工将相关****卡使用人的身份信息、余额甚至交易记录等售卖给了黑产下家，一年时间内个人获利收入超过30万元。而该案件涉及的数据贩卖产业链中，涉及公民个人信息数据5万多条，涉案金额达2000多万元。而关于该案，警方早在2019年6月，就注意到有人通过QQ等通讯工具**********相关信息，并声称只需要提供****卡号或身份证号，就可以查询到该****卡使用人的全部身份信息和交易记录等。

早在2017年初，央视也曾曝光了一起数据泄露事件，包含了50亿条公民数据信息，其中有不少是来自于京东。而据警方通报，嫌犯是京东网络安全部的内部网络工程师，和盗卖个人信息的数据商贩勾结“监守自盗”。

根据中国裁判文书网上各类相关案件信息可见，这些倒卖信息的案犯，每条信息贵的也不过几元钱。2018年，天津的一起贩卖信息案件中，有38万条公民个人信息被出售，获利不过7200元。计算起来，每条信息也不过几分钱。

360网络安全响应中心高级安全分析师韩昊晟曾透露，多数用户为了方便，往往使用“一套密码走天下”，但这也为黑灰产提供了极大的便利。黑客利用大量已经泄露的用户社交软件和邮箱的账号等，建立起字典表，使用软件将其在不同的网站上不停地批量尝试登录，这就是“撞库”。

这意味着，只要黑客拿到一个平台上泄露的信息，在其他网站上进行尝试，就可以“撞”出更多目标网站上的账号信息。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!