被入职、被相亲……信息滥用下人工智能之殇 – 作者:能信安科技nesun

近日，来自贵州的王先生就遇到了丢失***的情况。

据悉，王先生因九年前丢了一张***，近来饱受个人信息泄露的困扰。不久前，他在个人所得税App上发现，自己“被入职”了16家公司，而且其中入职的一家杭州公司竟然还是法人代表！

莫名其妙“被入职”数十家公司，其中一家竟然还是法人代表！

这件事听起来让人匪夷所思，为了解除关系，王伟已在个人所得税APP上面发起异议申诉，之后这些公司所在地的税务部门陆续跟王伟核实情况并作出处理。

但有一家却很难与之撇清关系，当地税务部门反馈，他是杭州某贸易有限公司的法人代表、实际控制人，还兼任公司执行董事和总经理。

国家企业信用信息公示系统显示，这家公司的核准日期为2020年3月10日，登记机关为杭州市萧山区市场监督管理局。公司主要经营体育用品及器材零售等。

据了解，王伟随后与萧山区市场监督管理局取得联系。萧山市场监督管理局的工作人员告诉他，该贸易公司由第三方代办注册，整个过程均是电子化操作，中途必须经过人脸识别认证。因此基本不存在冒用身份信息完成登记公司的可能。

早在2017年，浙江省依托政务服务网推出企业登记全程电子化平台。登记公司者在该平台选择“全流程网上登记”方式时，系统会一键生成申请书、公司章程、股东会决议等文书，并最终由法人等进行电子签名。

按照相关提示，用户在进行电子签名操作时，必须提前注册浙江政务服务网并完成高级实名认证。认证的方法有两种，一种是借用支付宝授权的方式，允许“浙里办”应用访问用户的姓名、性别、支付宝账户名、手机号、**号码等信息；另一种是在“浙里办”App进行人脸识别认证，需按提示进行张嘴、眨眼等活体认证操作。

经过王伟的追查，他找到了该公司“公司登记（备案）申请书”的详细记录，其中***照片原件出自2011年他丢失的***，涉及到的手机号、注册的支付宝账号以及上面的电子签名均是伪造的。

就在王伟忙着为被冒用身份注册公司的事情奔走时，6月3日晚，他又发现自己被登记成为另一家杭州公司的监事。王伟直言：快疯了！

无独有偶，此前，南京某大四学生朱琳（化名）被同学提醒，她的照片出现在某相亲APP上，上面有她详细的个人信息，包括姓名、出生时间、所在学校，甚至连她参加舞蹈比赛的照片都有，但她从来没有注册过这个APP，且这个账号进行个人认证需要本人人脸识别的。目前她已经向APP客服投诉，注销了该账号。

这些非本人认证却成功的操作看起来如此魔幻，个人信息被冒用、被入职、被相亲……破解人脸识别认证已形成产业链，让人防不胜防。

“代人脸认证”黑产猖獗

在产业链中，下游提供***号、人脸照片、电话卡等身份信息；中游提供“代过人脸识别认证”的技术支持，以及售卖人脸认证软件；上游则借助下层的帮助，注册各种支付软件、社交软件、婚恋软件等平台的账号，通过“薅羊毛”、电信诈骗、倒卖实名账号等进行谋利。

在这条产业链中，活体检测的破解成为黑产们最为骄傲的一环。黑灰产人员利用动画软件可将静态人脸照片动态化，赋予照片眨眼、张嘴、点头等动作；随后导出视频并放在需要验证的手机或电脑摄像头前面，反复测试可蒙蔽APP和平台系统通过人脸识别认证。

法治周末记者在卖家 QQ 远程的协助下，成功把制作好的「眨眼」人像投放在电脑端。于伟力 摄

近年来，人脸识认证在各大APP和平台广泛应用，在便利生活的同时也带来不少安全隐患。目前人工智能和人脸识别认证应用比较多的是支付类和社交类APP。

支付类APP账号售卖价格因等级不同，从而价格不同。

• 业内把只用手机号注册的号称之为白号；

• 通过人脸认证，绑定***的账号为 V2；

• 通过人脸认证，绑定***以及***的账号为 V3。

有卖家表示，一个已经绑定身份的 V2 账号，最多可卖到 70 元，V3 账号最高可卖几百元。

而社交类APP各个平台人脸代认证的价格也不一样，40元-160元不等。

陌生人社交软件的特殊属性，导致相关平台一直是电信诈骗、非法引流等诸多黑色产业链的重要上游之一，此前，石家庄的一位社交APP用户刘茜（化名）就发现自己的照片被用于网络招嫖。

有人的地方就有“生意”

卖料、过证、技术打包、带徒弟、成立工作室、规模化运营……人脸识别认证还未全面普及，代认证黑产链已经趋向成熟了。

国内对人脸识别技术使用涉及的隐私问题并不乐观，尤其在对人脸识别数据及个人隐私的保护上面。“代人脸认证”黑产链的缜密和成熟也让人工智能和人脸认证这一安全应用门槛形同虚设。

更甚者，某些APP并不在乎用户信息的安全和保密。以某同城APP为例，隐私条例里，清楚地写着，会以合理的方式储存保护用户的个人信息，并会与同样诚实守信的合作伙伴及关联公司共享用户信息。

某些平台更是直言不讳，用户隐私信息同样属于平台资产的一部分，必要时刻会与其他的商业资产一起转让。毕竟在获取用户隐私上，平台永远闲不下来。

系统可以外包，但责任不可外包，根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，系统责任主体仍然还是属于运营者自己。

遵循网络安全法律法规政策要求，能信安移动互联安全解决方案可以提供APP的深度安全检测和高强度的加固解决方案、无线网络的安全防御、智能移动终端设备的安全检测等专业能力，从而为网络应用系统提供覆盖全面、内容完整、技术先进的等级保护合规解决方案。

在完善APP合法合规性的同时，持续主动发现问题并解决，通过系统规则库筛选漏洞，减少盲点，风险驱动，提前预估，着重在隐私和数据安全建设，共同提升移动网络安全。

来源：freebuf.com 2020-06-12 11:11:36 by: 能信安科技nesun