專窺大眾底褲的公司忘記穿褲就裸奔了&helpp;&helpp;”不得不說(shuō)，對(duì)于這種運(yùn)維不夠，吃瓜群眾來(lái)湊的熱鬧，往往能惹來(lái)不少相關(guān)從業(yè)者的憤慨。

事件經(jīng)過(guò)就在剛剛過(guò)去的一天里，追蹤 MongoDB 數(shù)據(jù)庫(kù)多年的荷蘭著名安全研究員 Victor Gevers 又發(fā)現(xiàn)了新的“裸奔”用戶數(shù)據(jù)泄露，這次他將矛頭指向了一家中國(guó)安防視覺(jué)領(lǐng)域的企業(yè)

Gevers 連發(fā)數(shù)條推文指出，該公司其中一個(gè) MongoDB 人臉識(shí)別數(shù)據(jù)庫(kù)在沒(méi)有安全認(rèn)證的情況下直接在公網(wǎng)“裸奔”，可供任何人查找，并允許完全訪問(wèn)，這意味著惡意行為者可以隨意添加或刪除數(shù)據(jù)庫(kù)中的記錄。

換言之，任何人都可以查看這些記錄并跟蹤一人的行為。

據(jù)悉，被暴露的數(shù)據(jù)庫(kù)包含有 2,565,724 名用戶的信息，以及仍在飛速增長(zhǎng)的 GPS 位置記錄。

這些用戶數(shù)據(jù)不僅包括用戶名，還有非常詳細(xì)且高度敏感的信息，如姓名、身份證號(hào)碼、身份證簽發(fā)日期、性別、國(guó)籍、家庭住址、出生日期、照片、工作單位等內(nèi)容。

此外，該數(shù)據(jù)還包含一系列“監(jiān)控器”以及與之相關(guān)的 GPS 位置記錄，每個(gè)攝像頭都有一個(gè)單獨(dú)的名稱和一個(gè)與某個(gè)位置相關(guān)的 IP 地址。

根據(jù)該公司的網(wǎng)站，這些監(jiān)控器似乎是公共攝像機(jī)的位置，通過(guò)該攝像機(jī)進(jìn)行視頻拍攝和分析。

如“酒店”、“警察”、“網(wǎng)吧”、“餐館”等，都是對(duì)“監(jiān)控器”等相關(guān) GPS 位置的描述。

在過(guò)去的 24 小時(shí)內(nèi)，已經(jīng)有 670 萬(wàn) GPS 位置數(shù)據(jù)被記錄下來(lái)。

圖注：暴露的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)的一處GPS坐標(biāo)位置他表示，現(xiàn)在數(shù)據(jù)庫(kù)已通過(guò)防火墻“受到保護(hù)”。

雖然他仍懷疑中國(guó)外的流量訪問(wèn)得到了阻止，但至少海外（服務(wù)器）是無(wú)法再訪問(wèn)到這些數(shù)據(jù)了。

目前，Gevers 已通過(guò) GDI Foundation 向該公司對(duì)自 7 月開(kāi)始開(kāi)放的數(shù)據(jù)庫(kù)提出警告。

外媒CNET、ZDNet相繼報(bào)道了該起事件，并引起了國(guó)內(nèi)網(wǎng)友們的強(qiáng)烈關(guān)注：@xiangp：只要不捅大的公關(guān)簍子，這些靠忽悠政府和 VC 的所謂“科研獨(dú)角獸”們就不會(huì)往工程方向多看哪怕一眼&helpp;&helpp;這里要給敢于扒“巨人”底褲的國(guó)外同行們點(diǎn)贊。

結(jié)合 Gevers 指出的幾點(diǎn)問(wèn)題，或許我們可以從兩個(gè)方面來(lái)觀察這家公司：一是計(jì)算機(jī)視覺(jué)產(chǎn)品在安防領(lǐng)域的應(yīng)用特征，二是自身業(yè)務(wù) IT 系統(tǒng)治理的安全管控能力。

深網(wǎng)視界是誰(shuí)？就在我們著手了解深網(wǎng)視界相關(guān)信息時(shí)，卻意外地發(fā)現(xiàn)其公司頁(yè)面（http://www.sensenets.com）已無(wú)法打開(kāi)。

而且，自 2015 年 9 月成立以來(lái)，有關(guān)這家的公開(kāi)信息就十分寥寥：據(jù)公開(kāi)信息，深網(wǎng)視界是一家由東方網(wǎng)力和商湯科技聯(lián)合成立的，專注安防領(lǐng)域視頻分析的公司。

于 2015 年 9 月在深圳成立，公司經(jīng)營(yíng)范圍包括技術(shù)開(kāi)發(fā)、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢、技術(shù)服務(wù)、技術(shù)推廣等。

2017 年 5 月，商湯科技出資認(rèn)購(gòu)深網(wǎng)視界 2000 萬(wàn)人民幣，持股 35.83%，成為第二大股東。

我們這才發(fā)現(xiàn)，盡管深網(wǎng)視界大眾的視野中并不出眾，但為其投資的兩家公司——東方網(wǎng)力與商湯科技卻不得不提。

據(jù)億歐此前報(bào)道稱，東方網(wǎng)力曾一直與商湯科技背后的港中大湯曉鷗教授團(tuán)隊(duì)保持著密切的合作關(guān)系。

不過(guò)，就在該起事件發(fā)生后，商湯科技很快在微博網(wǎng)友留言區(qū)表示：“深圳深網(wǎng)視界科技有限公司目前與商湯科技無(wú)關(guān)聯(lián)關(guān)系。

商湯曾與東方網(wǎng)力合資成立深圳深網(wǎng)視界科技有限公司，但 2018 年商湯就已從深網(wǎng)視界撤資了。

并通過(guò)《每日經(jīng)濟(jì)新聞》對(duì)外稱，商湯科技在參與深網(wǎng)視界經(jīng)營(yíng)階段，主要通過(guò)派出技術(shù)人員為其提供底層算法的模式參與對(duì)方產(chǎn)品研發(fā)，未接觸對(duì)方的系統(tǒng)層和業(yè)務(wù)層。

值得一提的是，在東方網(wǎng)力 2018 年 4 月公布的 2017 年度財(cái)報(bào)中，深網(wǎng)視界的營(yíng)業(yè)利潤(rùn)、凈利潤(rùn)、現(xiàn)金流均表現(xiàn)為負(fù)數(shù)。

那這又是否為商湯科技與深網(wǎng)視界分道揚(yáng)鑣的主要原因呢？據(jù)悉，東方網(wǎng)力是一家從視頻管理平臺(tái)起家，主要提供安防服務(wù)、視頻監(jiān)控解決方案的上市公司。

除了與商湯科技合作之外，近兩年在人工智能領(lǐng)域也耗費(fèi)了不少資金和精力。

2016 年 1 月，成立東方網(wǎng)力（蘇州）智能科技有限公司，主要關(guān)注智慧城市、智慧交通、物聯(lián)網(wǎng)等方面的技術(shù)研發(fā)；2016 年 9 月，成立北京物靈智能科技有限公司，進(jìn)行智能家庭機(jī)器人和社交機(jī)器人的研發(fā)。

運(yùn)維的鍋？筆者還注意到，知乎 2018 年 3 月的一則匿名留言從技術(shù)角度對(duì)深網(wǎng)視界做出了評(píng)價(jià)：反查官網(wǎng)域名所在的服務(wù)器，是阿里云的。

別的不說(shuō)，起碼公司內(nèi)沒(méi)有一個(gè)很牛逼的運(yùn)維。對(duì)技術(shù)的投入有點(diǎn)懷疑。這是我現(xiàn)在看一家公司的維度之一，屬于個(gè)人主觀意見(jiàn)。

且不論這位匿名網(wǎng)友的觀點(diǎn)是否有依據(jù)，但他無(wú)疑將矛盾點(diǎn)指向了本次事件遇到的問(wèn)題：數(shù)據(jù)庫(kù)運(yùn)維的安全性。

黑客們往往會(huì)利用 Web 漏洞、服務(wù)器漏洞、配置錯(cuò)誤等技術(shù)手段，甚至釣魚(yú)手段，目標(biāo)直指數(shù)據(jù)庫(kù)。

要知道，數(shù)據(jù)一旦泄密，緊接著而來(lái)的可能就是金融賬號(hào)詐騙、用戶信息兜售，這嚴(yán)重?fù)p害了公眾利益。

有網(wǎng)友就警告：@AB_Clampju：這種信息泄漏不是第一次了，以往有重視過(guò)嗎？并沒(méi)有。

而天真的運(yùn)維狗們也紛紛“喊冤”：@澤云027：這不能怪 MongoDB 吧？它只是默認(rèn)不開(kāi)身份驗(yàn)證而已。

類似做法的知名開(kāi)源數(shù)據(jù)類項(xiàng)目多了，比如 Hadoop 之類的。@G口口D：這種低級(jí)錯(cuò)誤通常是項(xiàng)目管理低下、不經(jīng)事，年輕攻城獅常犯的。

我們運(yùn)維狗招惹誰(shuí)了？天天背鍋已經(jīng)夠累了，還罵我們，日子沒(méi)發(fā)過(guò)了&helpp;&helpp;”然而，事件發(fā)生之后，相關(guān)方深網(wǎng)視界一直未給出回應(yīng)。

在筆者看來(lái)，這盡管有些難以名狀，但也極為符合國(guó)內(nèi)當(dāng)前市場(chǎng)情況，因?yàn)榘踩珕?wèn)題的產(chǎn)生并非來(lái)自于外界黑客的攻擊，而是更多來(lái)自于企業(yè)內(nèi)部，基于不成熟的合規(guī)體系而操作不當(dāng)導(dǎo)致安全性問(wèn)題。

只有兩類企業(yè)，一種是受到攻擊自己知道，一種是受到攻擊自己并不知道 。

如同買保險(xiǎn)一樣，如果沒(méi)有“實(shí)在地” 遇到黑客攻擊，可能無(wú)法真切地感受到這份“保險(xiǎn)”的價(jià)值。

安全不是一個(gè)產(chǎn)品，也不是一個(gè)方案，而是一個(gè)整體的架構(gòu)，一個(gè)風(fēng)險(xiǎn)控制體系，首先要做風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)定位，然后思考安全架構(gòu)，最后才是用哪種安全技術(shù)和產(chǎn)品來(lái)實(shí)現(xiàn)。

正如國(guó)內(nèi)企業(yè)對(duì)安全并未有完全清晰的認(rèn)識(shí)，消費(fèi)者對(duì)隱私的感知程度可能也需要隨著時(shí)代和科技的發(fā)展而改變。

誰(shuí)來(lái)保證我們的隱私？那么，我們的隱私在中國(guó)是何種意義上的“安全”？去年 6 月在美國(guó)，奧蘭多警察局使用亞馬遜的 Rekognition 的面部識(shí)別技術(shù)進(jìn)行測(cè)試。盡管如此，還是被媒體批評(píng)為侵犯了用戶隱私。

該起案件發(fā)生后，外媒 ZDNet 就將矛頭指向了深網(wǎng)視界的業(yè)務(wù)背景，它寫(xiě)道：“某種意義上來(lái)講，深網(wǎng)視界更像是一種政府合同承包商，而不是其他出售產(chǎn)品給其他企業(yè)的私企。

否則，這很難解釋它是如何從政府單位獲取用戶個(gè)人信息和攝像頭信息的。實(shí)際上，中國(guó)現(xiàn)在是世界上監(jiān)控?cái)z像頭最多的國(guó)家，也是在安防監(jiān)控領(lǐng)域使用 AI 技術(shù)最積極的國(guó)家之一。

2017 年 6 月《華爾街日?qǐng)?bào)》的一篇報(bào)道中指出，中國(guó)在公共場(chǎng)所有 1.7 億臺(tái)監(jiān)控?cái)z像機(jī)，到 2020 年可能還要安裝另外 4.5 億臺(tái)。

曾有不少媒體報(bào)道，“在深圳、濟(jì)南等地，如果橫穿馬路不遵守交通的行人，將會(huì)被安裝有人臉識(shí)別功能的攝像頭抓拍下來(lái)，現(xiàn)場(chǎng)大屏幕曝光、滾動(dòng)播放。

這究竟是依法行政，還是侵犯公民隱私？不得不承認(rèn)，對(duì)數(shù)據(jù)隱私以及政府對(duì)公民管控存在的道德?lián)鷳n，我們思考得還是太少。

如今人臉識(shí)別正在中國(guó)得到越來(lái)越廣泛的應(yīng)用，也成就了國(guó)內(nèi)計(jì)算機(jī)視覺(jué)比較大的優(yōu)勢(shì)局面。