Desde que fue expuesto por varios medios a principios de este año, la startup de tecnología Clearview AI ha sido controvertida.
Según informes anteriores, la compañía tiene una enorme base de datos de reconocimiento facial, que incluye 3 mil millones de imágenes capturadas de sitios web y plataformas de redes sociales. Los usuarios cargan fotos de personas interesadas, y el software puede hacer coincidir imágenes similares en la base de datos para confirmar la identidad de las personas en las fotos cargadas.
Tan pronto como salieron las noticias, las compañías tecnológicas como Facebook y Google han exigido la terminación de los acuerdos con terceros. Incluso Illinois y Virginia presentaron demandas para suspender el procedimiento.
Recientemente, los agujeros de seguridad causados por la fuga del código fuente del programa han preocupado a muchos medios. En el informe de TechCrunch, Mossab Hussein, director de seguridad de la compañía de seguridad cibernética SpiderSilk, descubrió un servidor expuesto de Clearview AI. Aunque la biblioteca de servicios está protegida por una contraseña, el servidor está configurado para permitir que cualquiera se registre como un nuevo usuario para iniciar sesión para almacenar el código fuente Servidor
Además, el servidor también almacena algunas claves secretas y credenciales de la compañía, que pueden autorizar el acceso al almacenamiento en la nube Clearview AI, que puede acceder a copias de los sistemas Windows, Mac, Android e iOS. No hace mucho tiempo, Apple bloqueó la aplicación porque violaba las reglas. Según Hussein, también se reveló el token Clearview Slack. Si se usa el token, puede permitir el acceso sin contraseña a las comunicaciones privadas internas de la compañía.
Imagen: Hussein dijo que la aplicación iOS de Clearview AI no requiere inicio de sesión. Tomó varias capturas de pantalla para mostrar cómo funciona la aplicación. La foto de Mark Zuckerberg se usa en el ejemplo.
Aunque Clearview AI afirma que solo permite que la policía use la tecnología, el informe muestra que la compañía ha atraído a usuarios corporativos como Macy's, Wal-Mart y la NBA.
El fundador de Clearview AI, Hoan Ton-That, dijo: "La compañía ha resistido el desafío de las intrusiones de redes externas muchas veces y ha estado invirtiendo fuertemente para mejorar la protección de la seguridad".
Se entiende que Hoan Ton-That y HackerOne han establecido un programa de recompensas de vulnerabilidad, a través del cual los investigadores de seguridad son recompensados por descubrir vulnerabilidades en Clearview AI. La vulnerabilidad expuesta anteriormente no expuso ninguna información de identificación personal, historial de búsqueda o información biométrica.
Sin embargo, Hussein describió otra imagen: descubrió unos 70,000 videos del almacenamiento en la nube de la compañía, que fueron tomados de una cámara instalada en un edificio residencial. Explicó esto a Clearview AI, pero se negó a aceptar la recompensa. En su opinión, si la recompensa se firma, se prohibirá su divulgación pública.
A este respecto, Hoan Ton-That explicó que estas tomas fueron capturadas con el permiso del personal de administración del edificio, estrictamente para fines de depuración, y algunos videos originales fueron recopilados como parte del prototipo de la cámara de seguridad.
Según los informes, el edificio en sí está ubicado en Manhattan, y algunas listas de terrenos con salas de construcción lo confirman. Sin embargo, el representante de la empresa inmobiliaria responsable del edificio no respondió a esto.
Clearview AI dijo que no reveló ninguna información de identificación personal, historial de búsqueda o información biométrica y agregó que la compañía ha llevado a cabo una revisión exhaustiva del servidor para confirmar que no se ha producido ningún otro acceso no autorizado. Las claves públicas de los servidores también se han cambiado, por lo que ya no funcionan.
Con los años, la amenaza de violaciones de datos, la responsabilidad de la protección de datos y su impacto en el desarrollo de las empresas y la industria tecnológica están ganando más atención.
En abril de 2016, el GDPR de la UE se aprobó y se implementó oficialmente en mayo de 2018. Los requisitos mínimos propuestos por el reglamento incluyen: responsabilidad de protección de datos; consentimiento del interesado; derechos de acceso a datos y mecanismos de divulgación de datos.
De hecho, deberíamos haber considerado durante mucho tiempo cómo gestionar los problemas de seguridad de datos públicos. En primer lugar, las empresas deben informar a los usuarios con mayor claridad cuando se pueden capturar y utilizar estos datos; al mismo tiempo, también deben aprovechar al máximo el poder de la ley para proporcionar a los usuarios nuevas medidas de protección para evitar que la empresa utilice los mismos medios.
Hasta ahora, Clearview AI sigue siendo un tema controvertido. A principios de esta semana, se informó que los piratas informáticos habían capturado la lista de clientes de Clearview AI. Como todos saben, los problemas de seguridad continúan atrayendo más atención que los usuarios.