毋问我从哪里来 发表于 2022-10-11 01:02
随着技术快速演变,人脸识别领域的安全防御和攻击博弈也不断迭代。唐家渝举例称,早期可能拿一张打印 ...
对于已被披露的一些通过人脸识别“盗刷”他人账户案例,唐家渝从技术上分析认为,这有可能是通过注入应用的方式来篡改手机程序。他具体解释称,在人脸识别验证身份阶段,需要调取摄像头时程序被拦截,所以实际上当时并没有拍摄人脸或者视频,而是读取手机里存好的一段视频传到后台。“在整个实施过程中,除了人脸识别被破解,还可能涉及多个环节的风险,比如事先获取当事人身份证、手机号等信息,这与个人隐私数据流入黑灰产被用于犯罪活动不无关系。”唐家渝说。
毋问我从哪里来 发表于 2022-10-11 01:02
对于已被披露的一些通过人脸识别“盗刷”他人账户案例,唐家渝从技术上分析认为,这有可能是通过注入 ...
人脸识别技术自上世纪90年代开始进入应用阶段,近几年来广泛应用于安防、金融、零售、政务等行业,应用场景包括身份识别、移动支付、车站安检、智能办公、刑事侦查、追逃等工作中。
作为验证方法,人脸识别最大的优点,就是非常方便、易于携带。“特别是在机场车站安检、上班打卡及安全监控等环境中,人脸识别技术的准确度和识别效率,都要比人工比对高出几个数量级。”裴智勇称。
毋问我从哪里来 发表于 2022-10-11 01:02
人脸识别技术自上世纪90年代开始进入应用阶段,近几年来广泛应用于安防、金融、零售、政务等行业,应 ...
奇安信行业安全研究中心主任裴智勇对《财经》记者表示,在日常生活中及互联网应用中,人脸识别通常只适用于小金额支付,且其过程是有监督的验证,即有安保人员在场监视,或有其他辅助验证手段。更安全的验证手段,是基于密码学技术构造的验证方法,如U盾、密码卡、动态口令等。短信验证码也属双因子认证,即验证信息分别通过两个不同的渠道(互联网和通信网)进行传输,而攻击者同时截获两个验证渠道的难度相对较高。人脸信息在本质上是一种静态密码,不论是二维的、三维的、静态的、动态的,或者是使用所谓“验活”技术,都没有改变人脸信息可复制、可生成、可破解的本质特征。攻破人脸识别系统的方法,最常见的就是利用受害人照片,用人工智能技术模拟人脸活动,以骗过识别系统,使识别系统误判为“本人”“真人”操作。
毋问我从哪里来 发表于 2022-10-11 01:02
奇安信行业安全研究中心主任裴智勇对《财经》记者表示,在日常生活中及互联网应用中,人脸识别通常只 ...
近日,《财经》记者在“企查查”检索发现,目前中国有1.6万余家企业开展人脸识别相关业务,其中有近一半的企业成立于近五年内,与人脸识别相关的商标专利达4万余条。这显示,中国人脸识别市场规模仍在持续扩大。
毋问我从哪里来 发表于 2022-10-11 01:03
近日,《财经》记者在“企查查”检索发现,目前中国有1.6万余家企业开展人脸识别相关业务,其中有近 ...
“刷脸”遭遇黑灰产
网络黑灰产犯罪链条上的个人信息泄露和个人信息贩卖行为,目前日益引起重视。 裴智勇表示,单纯的、零散的人脸信息泄露,通常不会有特别大的危害。但大量附加身份属性、行为属性的人脸信息一旦泄露,就可能会被犯罪分子用于恶意追踪、敲诈勒索及网络诈骗等。从一般的黑产活动特点来看,黑产团伙要想冒用一个人的身份,在一些大的互联网平台、金融机构平台系统注册新账号、卡号会比较困难。但如果是用户先前已经注册的账号,只是由于各种原因停用或被封禁,那么解封或重新启用的流程,往往会比新注册要简单一些,也更容易被攻破或利用。如此一来,攻击者就可以利用一个用户注册但可能不再使用的账号进行黑产活动。用户对此可能完全不知情,却可能遭受财产、征信等方面的重大损失。
毋问我从哪里来 发表于 2022-10-11 01:03
“刷脸”遭遇黑灰产
网络黑灰产犯罪链条上的个人信息泄露和个人信息贩卖行为,目前日益引起重视 ...
严重侵犯公民个人信息的行为既要承担刑事责任,可能还要承担民事侵权责任。2022年7月中旬,广州市越秀区人民检察院办理的广东省“首例涉人脸识别公民个人信息保护民事公益诉讼案”公开宣判,法院判决郑某等4人支付公益损害赔偿金、公开赔礼道歉并以行为补偿弥补损害。此前,郑某等人被法院认定构成侵犯公民个人信息罪,各处刑罚和罚金。
毋问我从哪里来 发表于 2022-10-11 01:03
严重侵犯公民个人信息的行为既要承担刑事责任,可能还要承担民事侵权责任。2022年7月中旬,广州市越 ...
司法文件显示,郑某等人均为“90后”,文化程度均为初中。广州市越秀区人民法院审理查明,其中3名被告人向郑某购买公民个人信息,包括身份证号码、身份证照片等,通过虚拟人脸用于解封某社交和支付平台账号、进行工商类等政务App的实名认证,从中非法获利。法院认定,郑某出售个人信息1000余条,违法所得1.3万余元;另3人利用购买的个人信息“刷脸”验证账号,违法所得均为3万余元。
一名安全行业人士对《财经》记者表示,此前人脸图像具备一定的易获取性,以及人脸识别应用中存在的漏洞,给黑灰产犯罪提供了可能性。
毋问我从哪里来 发表于 2022-10-11 01:03
司法文件显示,郑某等人均为“90后”,文化程度均为初中。广州市越秀区人民法院审理查明,其中3名被 ...
近几年来,相关部门严厉打击侵犯公民个人信息犯罪,并开展“净网”专项行动。根据公开信息,仅2021年公安机关共侦办侵犯公民个人信息等网络犯罪案件6.2万起。其中,侦办侵犯公民个人信息、黑客等重点案件1.8万余起,打掉为赌博、诈骗等犯罪提供资金结算、技术支撑、引流推广等服务团伙6000余个。针对网络黑灰产“黑卡”“黑号”“黑线路”“黑设备”四类网络犯罪的重要作案物料,抓获“卡商”“号商”等犯罪嫌疑人3万余名。
毋问我从哪里来 发表于 2022-10-11 01:04
近几年来,相关部门严厉打击侵犯公民个人信息犯罪,并开展“净网”专项行动。根据公开信息,仅2021年 ...
《财经》记者查阅相关的裁判文书发现,在个人信息贩卖市场,不同类型的个人信息明码标价,从中可以窥见个人信息灰黑产的交易行情。
2021年9月,广东省惠州市中级人民法院二审宣判的一起案件显示,出生于1996年的陈少宽和徐连旺(另案处理)从事网络传媒工作,获知有人想购买实名认证的支付平台账户,由此开始实施侵犯公民个人信息的犯罪行为。
毋问我从哪里来 发表于 2022-10-11 01:04
《财经》记者查阅相关的裁判文书发现,在个人信息贩卖市场,不同类型的个人信息明码标价,从中可以窥 ...
在陈少宽和徐连旺的案件中,含有高度隐私的个人信息只有价格的区分。两人将支付平台的账号分为“V1”“V2”“V3”三种类型,“V1”是指绑定了身份证的账号,“V2”是指绑定了身份证并且通过了人脸识别的账号,“V3”是指绑定了身份证和银行卡、且通过人脸识别的账号。
毋问我从哪里来 发表于 2022-10-11 01:04
在陈少宽和徐连旺的案件中,含有高度隐私的个人信息只有价格的区分。两人将支付平台的账号分为“V1” ...
裁判文书显示,从2020年3月开始,陈少宽通过网络买卖实名认证的“V1”“V2”“V3”类型账号,也从徐连旺和其他网友处购买不同类型账号,发布销售广告,再将账号出售给他人。每个“V1”“V2”“V3”账号的购入价不等,分别为20元-25元、30元-40元、50元-100元,再分别加价几元、十几元、几十元出售。
毋问我从哪里来 发表于 2022-10-11 01:05
裁判文书显示,从2020年3月开始,陈少宽通过网络买卖实名认证的“V1”“V2”“V3”类型账号,也从徐 ...
2020年5月7日,陈少宽案发,办案人员在其被扣押的电脑和手机电子数据中,发现“V3”账号475条,“V1”“V2”账号5546条。最终,陈少宽因侵犯公民个人信息罪获刑四年三个月,并处罚金3.8万元。
这些案例,仅仅暴露了个人信息犯罪黑灰产业链条的零星环节。
毋问我从哪里来 发表于 2022-10-11 01:05
2020年5月7日,陈少宽案发,办案人员在其被扣押的电脑和手机电子数据中,发现“V3”账号475条,“V1 ...
“护脸”人人有责
安全合规是人脸识别行业持续健康发展的必然要求。 中国电子技术标准化研究院信息安全研究中心测评实验室副主任何延哲,曾参与国家标准《信息安全技术个人信息安全规范》《信息安全技术个人信息安全影响评估指南》等的起草。
毋问我从哪里来 发表于 2022-10-11 01:06
“护脸”人人有责
安全合规是人脸识别行业持续健康发展的必然要求。 中国电子技术标准化研究 ...
何延哲对《财经》记者表示,涉及“刷脸”的电信诈骗案例,并不只是从技术上破解人脸识别,更多的是利用社会工程学的诈骗套路,以此简单批判人脸识别这项技术可能有所偏颇。引入人脸识别技术作为身份验证方式之一,本身是为了提高安全防范措施,“当然不可否认,任何安全措施都不是绝对安全可靠。”何延哲说。
毋问我从哪里来 发表于 2022-10-11 01:06
何延哲对《财经》记者表示,涉及“刷脸”的电信诈骗案例,并不只是从技术上破解人脸识别,更多的是利 ...
对于人脸识别应用带来的担忧,何延哲表示,人脸信息具有唯一性,“密码可以改,人脸换不了”。他认为,对于机构来说,需要对不同业务场景使用人脸识别技术的合法性、必要性和安全性进行充分评估,在人脸信息的收集、存储和使用中遵循最小必要原则,警惕个人信息泄露,这是个人信息保护最为核心的问题。对个人用户来讲,应提高个人信息保护的意识和防范技能,避免个人隐私泄露,乃至遭受财产损失。从安全防御的角度来看,则应不断完善技术方案,提高人脸识别攻击者的技术成本。
毋问我从哪里来 发表于 2022-10-11 01:06
对于人脸识别应用带来的担忧,何延哲表示,人脸信息具有唯一性,“密码可以改,人脸换不了”。他认为 ...
唐家渝表示,不能因人脸识别应用中出现的问题因噎废食,建立安全、可信、可靠与可扩展的人工智能技术体系,是促进行业健康可持续发展的有效路径。对人脸识别面临的安全隐患,唐家渝建议,对不同场景不同功能的人脸识别建立分级评估标准。
包括人脸识别在内的个人信息保护问题,日益引起相关机构的重视。
毋问我从哪里来 发表于 2022-10-11 01:06
唐家渝表示,不能因人脸识别应用中出现的问题因噎废食,建立安全、可信、可靠与可扩展的人工智能技术 ...
2022年8月,银保监会向各银保监局、银行保险机构等下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,督促银行保险机构建立健全消费者个人信息保护工作机制等。
毋问我从哪里来 发表于 2022-10-11 01:07
2022年8月,银保监会向各银保监局、银行保险机构等下发《关于开展银行保险机构侵害个人信息权益乱象 ...
攻防博弈持续进行,人脸识别系统的升级改造没有止境。《财经》记者浏览招标和采购网站发现,2022年进行招投标的一些金融机构对人脸识别业务提出了更高的要求,比如要求升级人脸核心算法库,提升系统兼容性,未来可集成诸如声纹识别、指纹识别、虹膜识别等在内的其他生物识别技术,增加“炫彩检活”等验证环节。
毋问我从哪里来 发表于 2022-10-11 01:07
攻防博弈持续进行,人脸识别系统的升级改造没有止境。《财经》记者浏览招标和采购网站发现,2022年进 ...
今年6月,一家地方银行在“多维人脸识别项目”招标中明确表示,根据监管通知要求,需排查人脸识别应用风险漏洞,加强人脸识别认证系统安全性,升级现有人脸识别系统,建立适配业务场景和业务风控的、支持多厂家产品集成,支持多因素认证的生物识别平台。
毋问我从哪里来 发表于 2022-10-11 01:07
今年6月,一家地方银行在“多维人脸识别项目”招标中明确表示,根据监管通知要求,需排查人脸识别应 ...
有业内人士对《财经》记者表示,随着《个人保护法》等相关法律法规的完善和落实,相关机构在人脸识别系统的应用中,更加重视人脸识别系统的安全合规性。建设安全合规的人脸识别行业生态,需要相关主管部门、科研机构、法律机构、技术提供和使用者以及用户方共同构建。