315曝光了其中一家人脸识别厂商,其业务覆盖餐饮、鞋服、医药、汽车、快消、地产物业、美容美发、健身、教育教学、电子产品等多个行业。“人脸识别”热起源于2015,互联网金融的火爆推动此项技术飞速发展,应用“人脸识别”银行放款,主流支付工具“刷脸支付”走向落地。日常生活中公共安检系统、刷脸支付,刷脸乘车,刷脸签到……这些应用都在采集人脸信息,也快速形成了一系列产业链,但你想过自己的人脸信息或许会被盗用吗?
无独有偶,《人脸识别应用公众调研报告(2020)》指出,六成受访者认为人脸识别技术有遭到滥用的趋势,三成受访者表示已因人脸信息泄露、滥用而遭受损失。在网络安全专家看来,目前人工智能方兴未艾,人脸识别成为其应用的主要场景。然而,如果安全跟不上,人脸识别无异于将人脸信息置于“裸奔”境地。
人脸识别黑产:真人认证视频百元一套
“100元一套,包含身份证正反面照片、手持身份证照片和点头、摇头张嘴视频。”在部分社交平台和网站上,不少卖家将人脸识别视频明码标价,还打包票称所售验证视频,能通过大多数APP平台验证流程。
3月30日至4月5日,新京报记者调查发现,这种地下黑产交易大多藏匿在QQ群中和境外网站中,其中QQ群名称多包含“过脸”“识别技术”等关键词,从而方便买家检索到相关信息。
在APP平台人脸验证黑产中,百元一套的验证视频属于“价高质优”产品,因为使用了真人录制的动态验证视频,验证通过率较高,还有一种低廉的人脸认证方式,即使用动态软件将人脸照片制作成“动态视频”,配合“外挂”软件进行验证。
“低廉的一套只要几元钱,需求量大的话甚至可以低至0.5元一套。”一名卖家表示,人脸动态验证的成功率,主要取决于照片动态化处理的细致程度,但真人录的视频肯定可以100%通过。
对于人脸识别信息买卖,北京云嘉律师事务所律师赵占领表示,据民法典规定公民对个人信息享有民事权利,未经本人同意非法收集买卖他人信息会构成民事侵权。人的脸部特征信息是能够直接识别特定自然人的真实身份的信息,属于个人信息范畴,如果未经用户同意买卖个人信息涉嫌违法犯罪。
在QQ群中,搜索关键词“脸识别”,便出现众多黑产买卖的群。截图
“与时俱进”黑产买卖
张女士在注册微博进行人脸验证时,被提示自己的身份证信息已经被注册过,但此前她并未下载和使用过微博。
张女士咨询微博客服了解到,若扫脸注册微博时提示“该身份证已经绑定其他账号”或“身份证使用次数超限”,是由于身份证已经绑定其他账号。目前,一个身份证号可以绑定2个微博账号,当身份证号绑定账号数量达到上限时,就无法再使用当前身份证号进行验证。
“肯定是我的信息被泄露了。”张女士称,她平时还算比较注重个人信息保护的,身份证除了上学入职、办银行卡、办电话卡、住酒店、买车票用过,其他地方就没有使用过了。
张女士的遭遇并非唯一,多名网友曾发帖称自己在注册微博、QQ、公众号等,发现个人身份信息被盗用。
随着个人信息被冒用数量的增多,网络相关的反馈和投诉也随之增多,随之而来的是各大APP平台的安全验证升级,以动态人脸识别作为安全验证方式。在APP平台安全验证升级迭代中,这条黑色产业链的从业者也在利用漏洞,“专研”其如何破解这一“困局”。这条伴随着互联网实名制发展而兴起的黑产利益链,也从最初单纯收集贩卖姓名、身份证号,升级到了收集贩卖手持身份证照片、人脸视频和照片动态处理软件。
一名在暗网中贩卖个人信息的黑产卖家介绍,身份证正反面照片、手持身份证照片和人脸点头、摇头视频,一套100元,量大的话可以优惠,如果一次性购买100套,价格可压低到10元一套,“如果数量少真的便宜不了,我们收集这些信息的成本也高。”
接着,对方发来两段别人录制的张嘴、眨眼、点头、摇头视频,称“这些是真人录制的视频,验证大部分APP都没问题,比照片处理的动态视频通过率高”。
在一个1700余人的QQ群中,每天都有新人加入,购买人脸识别验证技术。截图
真人验证视频多来自“网络兼职”
多名黑产卖家称,他们开发包括借贷、走路赚钱等APP,其售卖的这些信息便来自于用户下载注册这些APP时所采集的,“这些人大多是工厂工人,还有一些网络兼职人员。”
但这些网络刷单兼职人员,并不知道自己在做一些APP认证的单子时,会泄露隐私。
来自山西的白女士告诉新京报记者,她从半年前开始做一些刷单等网络兼职,有时候刷单量有限,她就会做一些APP认证的单子。
白女士表示,这些单子需要扫描对方提供的二维码下载APP然后进行实名认证,实名认证的过程大多数会让上传身份证正反面照片、进行人脸识别,之后才算注册成功。一个单子大概5元-15元不等,有的认证要求复杂的价格会高一点。
在兼职刷单中,有的只需要上传姓名和身份证号,这样的每单3元,需要进行人脸识别的价格可能会到十几块钱。白女士说,有的APP在进行人脸认证的时候,眨眼摇头幅度大一点,或者人脸离得近一点,会比较好通过。
“没想到过会有人用这种方式收集个人信息,也从来没有听说过会有人收集人脸识别的动态视频。”白女士称,自己刚开始接这种APP注册的单子时,遇到身份和人脸信息验证时有过犹豫,但是后来觉得群里大家都在接单,也没听人说出现什么问题,也就开始这样做了。
兼职刷单认证造成的数据泄露,应算是少数。曾有媒体报道,有80%的个人信息数据泄露,都是企业内部员工所为。
不少黑产商贩也认可这个说法。有商贩透露,如今市面上流通的手持身份证照片大多是在小额贷款平台和公司野蛮发展期间,泄露出来的,还有部分是从各行业收集而来的,这种信息交易和使用一般情况下不会被人发现,“当时很多人借钱不还,平台就把这些信息拿出来卖钱了,刚开始挺贵的,现在层层转卖就便宜了。”
除此之外,如今日常使用APP、进出店铺等场合均需要进行人脸信息识别和采集,还有人员以人脸识别技术开发和系统测试为名开展信息采集。
在网络中,新京报记者留意到有人发布招聘信息采集员的信息,工作内容为到乡村采集身份证、人脸信息,可以将食用油、锅等商品作为礼品赠送。
一名黑产商家售卖的人脸识别验证资料包,包括软件及教程。截图
黑产圈的“四件套”
相比真人视频录制,将照片中的人脸通过软件进行动态化处理形成验证视频,成本更低。
3月31日,新京报记者通过QQ群按条件查找,在搜索框中输入“过脸”“识别技术”等关键词,便会出现众多相关QQ群。记者随机加入6个QQ群发现,这些群内的成员从100余人到1700余人不等,并且不时有新的成员加入。
QQ群中,不时有人发布出售微信号、售卖换脸软件的信息,同时还有人在咨询如何将照片中的人物进行动态化处理,并通过人脸识别验证。
此外,在新京报记者以需要购买人脸认证技术和软件的身份加入群后,3个小时内便有多名黑产信息贩卖者添加记者好友,了解需求。
这些黑产卖家表示,他们售卖照片抠图、动态化处理等软件,使照片中的人物张嘴、眨眼、左右摇头和上下点头。之后,通过特定手机开“外挂”进行人脸识别,“我们一般用于验证微信、QQ、陌陌多一些,其他软件也都可以人脸验证。”
3月31日,一名从事黑产买卖的商户在其QQ空间发布消息称,由于微信安全验证升级,暂时已无法通过人脸识别验证,自己正在研究办法。4月3日,这名商户表示已经攻克新的安全验证,可以接单。
此外,这些商户还售卖身份证正反照片、手持身份证照片以及带有人脸的照片,在黑产圈俗称为“四件套”,每套价格在0.5元至3元不等。
当被问起这些证件照片的来源,商户在聊天过程中便开始谨慎起来。最后新京报记者表示对四件套信息有大量需求的情况下,一名卖家表示有人专门负责收集,自己也是从别人那里买来再卖的。
黑产卖家售卖的个人信息,包括身份证号及照片等。截图
开“外挂”软件进行人脸识别
无论是真人录制视频还是照片动态化处理,在完成APP人脸动态验证的重要工具就是手机和外挂软件。
新京报记者通过向黑产卖家询问得知,从二手交易平台上花费200余元就可以买来某品牌二手R9手机,然后将刷机包植入到手机中。
部分APP平台在人脸识别验证过程中,屏幕会变成红、黄、蓝三种颜色,以此验证脸部的亮光,但使用相关外挂软件,也可以完成验证。
“给手机刷机的目的就是获得手机操作的更多权限。”对于照片动态处理后通过人脸识别验证的原理,有两名黑产卖家表示,当APP需要通过摄像头进行人脸验证时,用手遮挡摄像头,手机“外挂”就会启动,通过修改相关数据和设置,将提前做好的动态人脸视频导入到APP中,便完成认证。
“真人录的视频通过率肯定高,照片处理的话要看天赋,不能保证你每一次验证都能通过,要看你制作的人脸动态视频是否细致。如果第一次验证失败,就多验证几次,后面可能就会通过。”一名黑产卖家表示,盗用他人信息进行APP账号注册和验证属于违法行为,且国家打击力度较大,所以自己只卖软件和教学,并不会直接操作。
按照这名黑产卖家的提示,新京报记者花费500余元购买了一部安卓手机和一套动态处理软件及教学,黑产卖家附送30套身份证正反面照片和手持身份证照片。
在实际体验过程,按照黑产卖家的说法,使用刷过机的某品牌R9手机,将处理后的人脸动态视频保存在这部手机上,并打开APP进行用物品遮挡摄像头,使摄像头处于黑屏状态,便可顺利通过安全验证。
新京报记者使用该方法,在探探及智联招聘等平台上,都通过了人脸识别。
探探客服工作人员向新京报记者表示,如果发现个人身份信息被盗用认证,只能用户发现后向平台反映,之后用户需要向平台提供本人的身份信息进行审核,审核通过后平台会对已经认证账号进行封禁处理。对于探探平台人脸识别认证漏洞问题,他们将会把情况向上进行反馈。
智联招聘、陌陌等平台的客服人员均表示,对虚假的人脸识别目前没有很好的应对措施,之后会对该情况反馈处理。
一名黑产商贩售卖真人人脸识别视频,喊价150元一套。截图
律师:私自贩卖人脸信息属于违法行为
个人信息贩卖后被非法使用的案例并不少。
在中国裁判文书网上,一起关于人脸识别验证的刑事判决书显示,从2018年7月份开始,被告人张某、余某等人以牟利为目的,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。
通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等),而每个新注册支付宝至少可以获取28元收益。截至案发,该团伙非法收集近2000万条公民身份信息,共使用他人公民个人身份信息注册成功至少547个通过人脸识别认证的实名支付宝账户,获利4万元。
北京云嘉律师事务所律师赵占领表示,人的脸部特征信息是能够直接识别特定自然人的真实身份的信息,属于个人信息范畴,如果未经用户同意买卖个人信息是违法行为甚至是犯罪行为。
据民法典规定公民对个人信息享有民事权利,未经本人同意非法收集买卖他人信息会构成民事侵权。另外《刑法修正案(九)》规定了侵犯公民个人信息罪。买卖高度敏感的个人信息达到一定数量,符合司法两高的司法解释中所规定的立案标准的行为就涉嫌刑事犯罪。在这个过程中,无论买方还是卖方都涉嫌构成侵犯公民个人信息罪。
自然人的个人信息被他人非法买卖之后,用于一些违法甚至犯罪行为,那么他对此并不承担法律责任。但需要举证去证明个人信息是被他人非法获取并盗用的。个人信息方面的刑事案件比较多,公安机关每年都会抓获大量侵犯公民个人信息的犯罪嫌疑人。
来源:新京报