中國企業遭爆資安漏洞！據中國《南方都市報》報導，有安全研究人員在社群網站發布消息，稱深圳一家人臉識別技術公司出現安全漏洞，任何人都可以訪問該公司的資料庫，而資料庫內包含250萬以上的個人資訊及軌跡。

根據荷蘭安全研究人員傑弗斯（Victor Gevers）在13日透過推特發文指出，他發現深圳公司「深網視界」的數據庫存在安全漏洞，「任何人都可以完全觸及該公司的業務IP、以及數百萬筆的人們的軌跡數據。」

There is this company in China named SenseNets. They make artificial intelligence-based security software systems for face recognition, crowd analysis, and personal verification. And their business IP and millions of records of people tracking data is fully accessible to anyone. pic.twitter.com/Zaf6w5502i

— Victor Gevers (@0xDUDE) 2019年2月13日

傑弗斯透漏，該數據庫包含了256萬筆個人資訊，其中包括身份證號碼、地址、生日、照片和雇主信息。同時，資料庫內還儲存了這些人過去24小時可能經過的地點，約有668萬條記錄，其中包括賓館、旅遊景點、公園、網咖等地。

專家：類似問體普遍　疑似用以監控維吾爾人

據《南方都市報》的「隱私護衛隊」了解，「深網視界」成立於2015年，由「東方網力科技股份有限公司」控股，公司定位在「AI+安防」，具備人臉檢測和人群分析技術。

其後傑弗斯提供的截圖顯示，該資料庫的訪問端口目前已被關閉。此前，他曾將漏洞情況向深網視界反映，但並沒有得到回覆。

報導指出，根據公開報導顯示，深網視界總經理萬定銳在2018年4月曾出席AI安防的主題論壇，當時他表示，「東方網力」將人臉識別、視頻結構化、大數據等自研技術，與社區場景應用結合，以構建「智慧安全社區」。

該報「隱私護衛隊」在15日曾致電深網視界，據工作人員表示，該公司已在配合調查，但不便透露具體細節。報導也引述安全研究人員表示，如果傑弗斯提供的情況屬實，「則該漏洞屬於MongoDB數據庫未授權訪問漏洞，簡單說就是任何人不需要帳號密碼就可以訪問數據庫。在 （中國）國內，此類問題普遍存在。」

《南方都市報》指出，開啟MongoDB服務時默認是沒有權限驗證的，而且可以遠程訪問資料庫，所以登錄的用戶可以通過默認端口，無需密碼對數據庫進行增、刪、改、查等高危動作。

不過日前，傑弗斯在分析資料後，發現有追蹤到的地點位在新疆，再度推文質疑「這個不安全的人臉/個人辨識方案的建立、運作目標只有一個。這是一個『穆斯林追蹤器』，由中國當局資助的，在新疆監控維吾爾族穆斯林。」

So this insecure face recognition/personal verification solution is built and operated for only one goal. It's a "Muslim tracker" funded by Chinese authorities in the province of Xinjiang to keep track of Uyghur Muslims. 😡 https://t.co/CG0RCZbphP

— Victor Gevers (@0xDUDE) 2019年2月14日

In the process of tracking down each tracker, we even stumbled upon abandon locations (according to Google maps). If there is anyone living or working in Keriya who can confirm this location? We also would like to a photo of the device. pic.twitter.com/3PMnbvDpho

— Victor Gevers (@0xDUDE) 2019年2月14日