黑灰产调查:人脸识别被破解,花百元可以盗用明星照片刷脸认证探探!
新京报记者调查发现,黑产从业者已经盯上人脸识别这块“新蛋糕”。目前,不少APP应用均上线人脸认证这一功能,包括社交软件探探。人脸“代认证”也成为一条黑产链条,并呈团队化发展。
在其背后,更是牵出个人信息贩卖黑产。
律师表示,越来越多人意识到人脸识别可能带来的风险问题,期望国家司法层面对该问题给予明确。
黑产代做人脸认证
探探是一款知名陌生人社交软件,用户通过观看照片、信息等资料,滑动手指来进行配对。左划不喜欢,右滑喜欢。
记者发现,网上有多位店家表示可以提供学生认证、蓝V认证等多项服务。
“不做个蓝V头像你让大家伙儿怎么信你?”为了吸引客源,卖家程晓彤(化名)在朋友圈写道。
“男号还是女号?”程晓彤问。据其介绍,只需80元便可以通过探探的真人认证。
程晓彤表示,代做认证对账号注册时间也有限制,“满月才能做。”也就是,账号需注册后三十天方可被操作。“有封号风险哦,封号概率大概为百分之二十。”程晓彤解释,风险来源“主要是换机登录有风险”。
“我们有专门的技术负责这块儿。”另一名做探探人脸认证的商家告诉新京报记者,并且要价100元。与程晓彤不同,该商家强调其“0风险”。
11月17日上午,新京报记者暗访时在网络随机下载了艺人文章的一张照片,将其上传至探探。不久,第一重审核通过。
在另一网络平台上,新京报记者通过关键词搜索,浏览到多个与此相关的商品。其中一则商品资料写道:“58同城人脸认证”,并注明“发帖更加稳定”。
发布该则广告的用户方注册平台只有28天。截至11月10日,该款商品浏览量为104,有22人表示想要。因其在商品图片上标注了微信号,所以该款商品成交量显示为0。
过APP人脸认证可撸贷
一则用户发布的广告显示:出售“过APP人脸认证”的方法,支持多款APP,并且包教会。据显示,该款商品售价888元。“微信直接转。”
为了证明该信息的真实性,广告发布者Abby给新京报记者发送来一段小视频,视频内容为一位男性正在使用其出售的技术通过某软件的人脸识别认证。当软件提示请眨下眼或者左右摇头时,屏幕显示为一片空白。
“这就过了,我们的技术没问题的。”视频镜头转向手机旁的电脑,这位手机显示的被实名认证的男子姓名、身份证号和照片出现在屏幕上。
为深入调查,新京报记者以888元的价格购买了这套“技术”。付款后,Abby将技术老师刘涛(化名)介绍给了记者。“他(刘涛)会给你远程操作,只要不是傻子包会。”Abby称。
刘涛提供了两份动作脚本,分别为眨眼-摇头-眨眼-点头和张嘴-摇头-张嘴-点头。
“说好听点是绕过人脸识别,说难听点我们就是(拿照片)做一个虚拟视频。通过刷机劫持手机前置摄像头,强行将其改为已经做好的MP4(一种视频格式)。”刘涛透露,要用他的方法绕过人脸识别,需要使用与其制作的刷机软件相匹配的手机。
刘涛表示,很多公司会让第三方提供人脸识别服务,“但是,很多第三方人脸识别服务商做得并不好,很轻松就可以绕过。”“甚至可以在本人不知情的情况下注册公司、撸贷(用她的身份贷款)。”
接单注册,暗藏信息贩卖
“通过这种技术,做资金盘的拉新项目的话,一天几百块钱不成问题。”刘涛说,“花费时间也不会太长,几分钟就一单。”他口中的拉新项目,即通过实名认证APP获取酬金。记者进一步追问获悉,一单利润大概在十几元。
“接快眼推广11元”,“趣步推广12元”……在一个“快眼交流群”中,记者看到近乎刷屏的此类广告,涉及趣步、链信、快眼等多个平台。“‘学员’这两天操作快眼比较多。”
该黑产从业者所谓的“料”,格式一般为身份证件照图片文件,文件名称为身份证号和姓名。
“我这边手持的、大头的都有。”秦磊(化名)发布的帖子显示,帖中附有联系方式。在业内,秦磊被称为“料商”。
因APP认证规则不同,所需要的“料”也不尽相同。“快眼所用到的料是身份证号、姓名和对应的大头照。”刘涛说,“这也是大部分APP需要的料。”
以快眼为例,发布此类广告的广告主通常会在广告中写明每单酬金,并将自己的邀请码给发布出来,黑产从业者需要输入上述邀请码并认证成功后,截屏发送给广告主,广告主便会将钱款发送到这些黑产手中。
秦磊告诉记者,快眼一单正常价11元,除去认证费1.5元和料子2.5元,一单能挣7元。“十单就能挣70元。”
“现在,至少有上百个APP可以用这个方法绕过。”刘涛说。随人脸识别概念的不断走红,刘涛也变得忙碌起来,一天要向十几个“徒弟”传授或者指导“技术”。
重要的是,这一黑产链条已呈现团队化运营。“我们现在有一个公司,还有一个陕西的(人)在给我们招人。”
11月17日,新京报记者成功用一位女性用户的身份证号、姓名和照片绕过快眼的人脸认证。“快眼认证是最好通过的。”刘涛表示,“我们甚至可以通过这些信息在别人不知道的情况下注册公司。”
不少APP拉新项目从业者认为,用“料”来做项目“十分可耻”。他们将这些黑产从业者称之为“刷子”。在一些群中,如果有人表示自己是刷子之后会被群主直接踢出。
北京盈科(上海)律师事务所高级合伙人陈晓薇认为,被买卖的“料”包括了个人的姓名、身份证号和大头照,能够精准锁定到个人,属于《刑法》规定的公民个人信息。
“在目前黑产呈现快速扩张态势的背景下,刑法对此行为的规范明显较弱。不管是司法解释,还是立法层面,均应引起重视,尽快对非法提供人脸认证行为做出更为严格的法律规定。”陈晓薇向新京报记者表示。
隐私泄露成担忧
而对于采用导入事先编辑好的视频来欺骗摄像头人脸验证的破解方式,该名专家表示,这种方式其实也已经“落伍”了。“以前人脸验证会要求人在摄像头前做出动作,一般有四组一共36个动作,这样事先拍摄好的视频可以尝试多次,以三十六分之一的几率通过验证。
安恒信息安全研究院院长吴卓群对记者表示,对于照片破解人脸识别的问题,其实是可以通过改进传感器去解决的。“比如采用两个摄像头,一个摄像头去识别是否为真正的人脸,如根据人脸皮肤反光、立体凹凸情况、动态行为等去判断脸的真假,第二个摄像头再去判断是不是被验证人的脸。”
据了解,目前人脸识别技术主要应用在金融和安防两大B端领域,诸如机场安检、学校等。备受青睐之下,安全和风险一直在对垒。
北京市京师(上海)律师事务所徐延轩认为,人脸识别在国内正大面积广泛推广,但与之相反的是国外比如美国旧金山市对人脸技术发出了禁令,欧盟也计划采取人脸识别数据使用的立法。
“人脸识别数据属于个人信息的范畴。对人脸识别不可滥用,在追求技术发展过程中需要平衡对现有法律的尊重和个人信息的保护。必须时,也应该出台相应法律法规规范该技术的应用。”徐延轩告诉新京报记者。
未经授权 请勿转载 ▍
51吃瓜网51吃瓜,进学习交流群
THE END
二维码
共有 0 条评论