荷兰著名安全研究员Victor Gevers又发现了新的“裸奔”用户数据

“专窥大众底裤的公司忘记穿裤就裸奔了……”

不得不说，对于这种运维不够，吃瓜群众来凑的热闹，往往能惹来不少相关从业者的愤慨。

事件经过

就在刚刚过去的一天里，追踪 MongoDB 数据库多年的荷兰著名安全研究员 Victor Gevers 又发现了新的“裸奔”用户数据，这次他将矛头指向了一家中国安防视觉领域的企业——SenseNets（深圳深网视界科技有限公司，下称“深网视界”）。

Gevers 连发数条推文指出，该公司其中一个 MongoDB 人脸识别数据库在没有安全认证的情况下直接在公网“裸奔”，可供任何人查找，并允许完全访问，这意味着恶意行为者可以随意添加或删除数据库中的记录。换言之，任何人都可以查看这些记录并跟踪一人的行为。

据悉，被暴露的数据库包含有 2,565,724 名用户的信息，以及仍在飞速增长的 GPS 位置记录。

“这些用户数据不仅包括用户名，还有非常详细且高度敏感的信息，如姓名、身份证号码、身份证签发日期、性别、国籍、家庭住址、出生日期、照片、工作单位等内容。”

此外，该数据还包含一系列“监控器”以及与之相关的 GPS 位置记录，每个摄像头都有一个单独的名称和一个与某个位置相关的 IP 地址。“根据该公司的网站，这些监控器似乎是公共摄像机的位置，通过该摄像机进行视频拍摄和分析。”

如“酒店”、“警察”、“网吧”、“餐馆”等，都是对“监控器”等相关 GPS 位置的描述。在过去的 24 小时内，已经有 670 万 GPS 位置数据被记录下来。

图注：暴露的数据库中发现的一处GPS坐标位置

他表示，现在数据库已通过防火墙“受到保护”。虽然他仍怀疑中国外的流量访问得到了阻止，但至少海外（服务器）是无法再访问到这些数据了。

目前，Gevers 已通过 GDI Foundation 向该公司对自 7 月开始开放的数据库提出警告。

外媒CNET、ZDNet相继报道了该起事件，并引起了国内网友们的强烈关注：

@xiangli：只要不捅大的公关篓子，这些靠忽悠政府和 VC 的所谓“科研独角兽”们就不会往工程方向多看哪怕一眼……这里要给敢于扒“巨人”底裤的国外同行们点赞。

结合 Gevers 指出的几点问题，或许我们可以从两个方面来观察这家公司：一是计算机视觉产品在安防领域的应用特征，二是自身业务 IT 系统治理的安全管控能力。

深网视界是谁？

就在我们着手了解深网视界相关信息时，却意外地发现其公司页面（http://www.sensenets.com）已无法打开。而且，自 2015 年 9 月成立以来，有关这家的公开信息就十分寥寥：

据公开信息，深网视界是一家由东方网力和商汤科技联合成立的，专注安防领域视频分析的公司。于 2015 年 9 月在深圳成立，公司经营范围包括技术开发、技术转让、技术咨询、技术服务、技术推广等。2017 年 5 月，商汤科技出资认购深网视界 2000 万人民币，持股 35.83%，成为第二大股东。

我们这才发现，尽管深网视界大众的视野中并不出众，但为其投资的两家公司——东方网力与商汤科技却不得不提。据亿欧此前报道称，东方网力曾一直与商汤科技背后的港中大汤晓鸥教授团队保持着密切的合作关系。

不过，就在该起事件发生后，商汤科技很快在微博网友留言区表示：

“深圳深网视界科技有限公司目前与商汤科技无关联关系。商汤曾与东方网力合资成立深圳深网视界科技有限公司，但 2018 年商汤就已从深网视界撤资了。”

并通过《每日经济新闻》对外称，

商汤科技在参与深网视界经营阶段，主要通过派出技术人员为其提供底层算法的模式参与对方产品研发，未接触对方的系统层和业务层。

值得一提的是，在东方网力 2018 年 4 月公布的 2017 年度财报中，深网视界的营业利润、净利润、现金流均表现为负数。

那这又是否为商汤科技与深网视界分道扬镳的主要原因呢？

据悉，东方网力是一家从视频管理平台起家，主要提供安防服务、视频监控解决方案的上市公司。除了与商汤科技合作之外，近两年在人工智能领域也耗费了不少资金和精力。

2016 年 1 月，成立东方网力（苏州）智能科技有限公司，主要关注智慧城市、智慧交通、物联网等方面的技术研发；2016 年 9 月，成立北京物灵智能科技有限公司，进行智能家庭机器人和社交机器人的研发。

运维的锅？

笔者还注意到，知乎 2018 年 3 月的一则匿名留言从技术角度对深网视界做出了评价：

反查官网域名所在的服务器，是阿里云的。别的不说，起码公司内没有一个很牛逼的运维。对技术的投入有点怀疑。这是我现在看一家公司的维度之一，属于个人主观意见。

且不论这位匿名网友的观点是否有依据，但他无疑将矛盾点指向了本次事件遇到的问题：数据库运维的安全性。

黑客们往往会利用 Web 漏洞、服务器漏洞、配置错误等技术手段，甚至钓鱼手段，目标直指数据库。

要知道，数据一旦泄密，紧接着而来的可能就是金融账号诈骗、用户信息兜售，这严重损害了公众利益。有网友就警告：

@AB_Clampju：这种信息泄漏不是第一次了，以往有重视过吗？并没有。

而天真的运维狗们也纷纷“喊冤”：

@泽云027：这不能怪 MongoDB 吧？它只是默认不开身份验证而已。类似做法的知名开源数据类项目多了，比如 Hadoop 之类的。

@G口口D：这种低级错误通常是项目管理低下、不经事，年轻攻城狮常犯的。

“我们运维狗招惹谁了？天天背锅已经够累了，还骂我们，日子没发过了……”

然而，事件发生之后，相关方深网视界一直未给出回应。

在笔者看来，这尽管有些难以名状，但也极为符合国内当前市场情况，因为安全问题的产生并非来自于外界黑客的攻击，而是更多来自于企业内部，基于不成熟的合规体系而操作不当导致安全性问题。

只有两类企业，一种是受到攻击自己知道，一种是受到攻击自己并不知道 。如同买保险一样，如果没有“实在地” 遇到黑客攻击，可能无法真切地感受到这份“保险”的价值。

安全不是一个产品，也不是一个方案，而是一个整体的架构，一个风险控制体系，首先要做风险评估，风险定位，然后思考安全架构，最后才是用哪种安全技术和产品来实现。

正如国内企业对安全并未有完全清晰的认识，消费者对隐私的感知程度可能也需要随着时代和科技的发展而改变。

谁来保证我们的隐私？

那么，我们的隐私在中国是何种意义上的“安全”？

去年 6 月在美国，奥兰多警察局使用亚马逊的 Rekognition 的面部识别技术进行测试。尽管如此，还是被媒体批评为侵犯了用户隐私。

该起案件发生后，外媒 ZDNet 就将矛头指向了深网视界的业务背景，它写道：“某种意义上来讲，深网视界更像是一种政府合同承包商，而不是其他出售产品给其他企业的私企。否则，这很难解释它是如何从政府单位获取用户个人信息和摄像头信息的。”

实际上，中国现在是世界上监控摄像头最多的国家，也是在安防监控领域使用 AI 技术最积极的国家之一。2017 年 6 月《华尔街日报》的一篇报道中指出，中国在公共场所有 1.7 亿台监控摄像机，到 2020 年可能还要安装另外 4.5 亿台。

曾有不少媒体报道，“在深圳、济南等地，如果横穿马路不遵守交通的行人，将会被安装有人脸识别功能的摄像头抓拍下来，现场大屏幕曝光、滚动播放。”这究竟是依法行政，还是侵犯公民隐私？

不得不承认，对数据隐私以及政府对公民管控存在的道德担忧，我们思考得还是太少。

如今人脸识别正在中国得到越来越广泛的应用，也成就了国内计算机视觉比较大的优势局面。但是，我们把“脸”交出去了，谁来保证我们“脸”的安全？