“要的話五毛一張打包帶走,總共兩萬套,不議價。”一位賣家用微信語音對記者說。他還發(fā)來兩套手持身份證的人臉照片截圖。
記者近日調查發(fā)現,一些網絡黑產從業(yè)者利用電商平臺,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程。專家提醒,這些人臉信息有可能被用于虛假注冊、電信網絡詐騙等違法犯罪活動。
人臉數據0.5元一份、修改軟件35元一套
記者調查發(fā)現,在淘寶、閑魚等網絡交易平臺上,通過搜索特定關鍵詞,就能找到專門出售人臉數據和“照片活化”工具的店鋪。
在淘寶上,部分賣家以“人臉全國各地區(qū)行業(yè)可做,信譽第一”“出售人臉四件套,懂的來”等暗語招徠買家。記者隨機點進一家出售“××同城及各大平臺人臉”商品的店鋪,旋即跳轉到閑魚界面。在該賣家的閑魚主頁中,售賣的商品為部分平臺包含用戶人臉的信息數據。
在閑魚平臺,不少賣家公開兜售人臉數據。為了保證店鋪的“正常運營”,賣家常慫恿買家通過微信或QQ溝通議價。記者近日隨機咨詢其中一位賣家,對方用語音答復道“加微信聊吧,這個說多了會被封”,并向記者發(fā)來了微信號。
除售賣人臉數據外,一些“膽大”的閑魚賣家還出售“照片活化”工具,利用這種工具,可將人臉照片修改為執(zhí)行“眨眨眼、張張嘴、點點頭”等操作的人臉驗證視頻。
“一套(‘照片活化’)軟件加教程35元,你直接付款,確認收貨后我把鏈接發(fā)你。”一位閑魚賣家在閑魚對話框內使用語音與記者議價。在記者完成支付并確認收貨后,賣家通過百度網盤給記者發(fā)來一個文件大小約20GB的“工具箱”,“工具箱”里有虛擬視頻刷機包、虛擬視頻模擬器和人臉視頻修改軟件等工具,還有相關工具的操作教程文件。
還有一位賣家在添加記者QQ好友后,先發(fā)來了一些單人手持身份證的樣本照片,隨后向記者展示了其利用工具修改上述照片后欺騙某網絡社交平臺人臉識別機制的效果視頻。
目前,記者已將調查中發(fā)現的一些線索移交有關公安機關。
倒賣的人臉數據拿來做什么?
“如果只是采集個人的人臉信息,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份信息,隱私泄露風險并不大。”中國電子技術標準化研究院信安中心測評實驗室副主任何延哲說,問題在于,當前網絡黑市中售賣的人臉信息并非單純的“人臉照片”,而是包含公民個人身份信息(包括身份證號、銀行卡號、手機號等)的一系列敏感數據。
一位倒賣“人臉視頻工具箱”并聲稱可以“包教會”的賣家告訴記者,只要學會熟練使用“工具箱”,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平臺及手機卡實名認證的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結賬號的截圖。
“從技術角度看,將人臉信息和身份信息相關聯(lián)后,利用系統(tǒng)漏洞‘騙過’部分平臺的人臉識別機制是有可能的。”人臉識別技術專家、廈門瑞為信息技術有限公司研究中心總監(jiān)賈寶芝博士認為,盡管一些金融平臺在大額轉賬時需要多重身份認證,但“道高一尺魔高一丈”,網絡黑產技術手段也在不斷更新,絕不能因此忽視賬戶安全。
何延哲向記者舉例:如果人臉信息和其他身份信息相匹配,可能會被不法分子用以盜取網絡社交平臺賬號或竊取金融賬戶內財產;如果人臉信息和行蹤信息相匹配,可能會被不法分子用于精準詐騙、敲詐勒索等違法犯罪活動。
這些包含人臉信息和其他身份信息的數據從何而來?有賣家向記者透露,自己所售賣的人臉信息來自一些網貸和招聘平臺;至于如何從這些平臺中獲取此類信息,對方沒有作答。
需警惕利用人臉信息進行違法犯罪活動
近年來,人臉識別技術被用于金融支付、小區(qū)安防、政務服務等諸多場景,既提高了便利性,也通過數據交互在一定程度上增強了安全性。
但是,人臉數據如果發(fā)生泄露或被不法分子非法獲取,就有可能被用于違法犯罪活動,對此應保持警惕。
去年8月,深圳龍崗警方發(fā)現有轄區(qū)居民的身份信息被人冒用,其駕駛證被不法分子通過網絡服務平臺冒用扣分。
在開展“凈網2020”行動中,龍崗警方經多方偵查發(fā)現,有不法分子使用AI換臉技術,繞開多個社交服務平臺或系統(tǒng)的人臉認證機制,為違法犯罪團伙提供虛假注冊、刷臉支付等黑產服務。截至目前,龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。
據警方介紹,在上述案件中,犯罪嫌疑人利用非法獲取的公民照片進行一定預處理,而后通過“照片活化”軟件生成動態(tài)視頻,騙過人臉核驗機制。隨后,通過網上批量購買的私人社交平臺賬號登錄各網絡服務平臺注冊會員或進行實名認證。
人臉信息關系到每個人的生命財產安全。業(yè)內專家認為,對倒賣人臉信息的黑色產業(yè)鏈必須予以嚴厲打擊,立法機關需統(tǒng)籌考慮技術發(fā)展與信息安全,劃定人臉識別技術的使用紅線;監(jiān)管部門也應對惡意泄露他人人臉和身份信息的違法行為予以堅決制止。
明年將施行的民法典,對自然人個人信息的范疇進行了專門說明,生物識別信息被納入其中。中國信息安全研究院副院長左曉棟認為,除民法典外,正在制定的個人信息保護法和數據安全法也應對人臉等生物特征信息的保護作出安排;立法要充分考慮人臉這一特殊身份信息的可獲得性,不能讓制定出來的法律因執(zhí)行難而流于形式。
北京師范大學網絡法治國際中心執(zhí)行主任吳沈括認為,網絡平臺對平臺上的交易行為負有監(jiān)管義務,應嚴謹審核賣家資質,對平臺內經營者的合規(guī)情況進行監(jiān)控、記錄,不應允許發(fā)布任何侵犯他人人身財產權利或法律法規(guī)禁止的物項。
賈寶芝建議,相關平臺在制定人臉識別安全規(guī)范的過程中,要強調“人臉數據等生物特征信息”與“其他身份信息”實行完全隔離存儲,避免將人臉數據與身份信息相關聯(lián)后發(fā)生批量化泄露。
對于曾經上傳過清晰手持身份證照片或同時上傳人臉照片并填寫身份證、銀行卡信息的用戶,專家建議,應在開啟人臉驗證的同時,盡可能選擇多重驗證方式,減輕單重人臉驗證風險。