Alig tűnt fel a nyílt színen, máris több adatkezeléshez kapcsolódó botrányon van túl az áttételesen a hasonló botrányokat megélt Palantir Technologies alaapító-elnökéhez, Peter Thielhez is köthető Clearview AI. Év elején adatgyűjtési gyakorlata miatt került a figyelem középpontjába, most viszont a hanyagsága miatt.

Januárban a New York Times derítette ki, hogy a Clearview nagyipari módszerekkel gyűjtött be publikusan elérhető oldalakról (Facebook, YouTube, Instagram, LinkedIn stb.) mintegy 3 milliárd fotót, melyek segítségével arra trenírozták mesterséges intelligenciájukat, hogy az egyezéseket találjon egy a rendszerbe feltöltött ismeretlen személy és a fotók között. Ehhez ráadásként a rendszer még a képek forrását is megadja a felhasználónak. Erről korábban azt nyilatkozta, hogy szerintük a gyakorlat teljesen legális, ha valami nyilvános, és a Google keresőmotorjában megjelenhet, miért ne használhatná fel szabadon a Clearview is?

Ahogy az arcfelismerők általában, a Clearview finoman szólva sem volt száz százalékig megbízható, ám ennek ellenére több rendőri szerv is használja, és mint kiderült, a rendőrségi keresések is be voltak valamilyen módon csatornázva a céghez. Később a BuzzFeed kiderítette, hogy a nyomozó hatóságok és a Bevándorlási és Vámügyi Hivatal mellett a Clearview ügyfele több mint kétszáz magáncég, köztük a Walmart, Wells Fargo bank és a Bank of America.

Nem vigyáztak az adatokra

Most erre a botrányra jött egy újabb. Kiderült, hogy egy rosszul konfigurált szerver miatt bárki elérhette a Clearview belső fájljait, valamint a rendszer forráskódját az interneten. De ami igazán kiverte a biztosítékot, az a vállalat ezzel kapcsolatos kommunikációja.

A történet szokványosan kezdődött: valaki talált valamit a neten, aminek nem kellett volna szabadon elérhetőnek lennie. Jelen esetben egy közel-keleti kiberbiztonsági cég, a SpiderSilk biztonsági vezetője, Mossab Hussein talált szabadon hozzáférhető és letölthető formában mindenféle belső anyagokat egy a Clearview által használt felhős tárolóban.

Mint a TechCrunch írta, a storage-ot jelszó védte, de ha valaki új felhasználóként regisztrált a rendszerbe, simán bejuthatott arra a területre is, ahol többek között az arcfelismerő rendszer forráskódját tárolták. A forráskód mellett voltak még titkosító kulcsok és olyan hitelesítő adatok is, melyek a cég más felhőalapú tárolóihoz biztosítottak hozzáférést. Az aktuális windowsos, maces és androidos verzió mellett ott tárolták azt az iOS-es változatot is, amit az Apple február végén kitiltott az alkalmazásboltjából.

Hussein megtalálta a Clearview Slack-tokenjeit is, amikkel jelszó nélkül hozzá lehetett férni a vállalat belső kommunikációjához. Meg vagy 70 ezer videót, amiket egy kísérleti program keretében rögzítettek többek között beazonosítható lakóépületekben – nagy valószínűséggel a felvételek készítéséről mit sem tudó emberekről – a cég saját kísérleti kamerájának a fejlesztéséhez.

A cég alapító-vezetője, az ausztrál-vietnámi származású Hoan Ton-That azt állította a TechCrunch-nak, hogy folyamatosan tapasztalnak behatolási kísérleteket, ezért komoly erőfeszítéseket tettek rendszereik biztonságának megerősítéséért. Például a HackerOne-nal elindították a hibavadász programjukat (a HackerOne programlistájában ennek nincs nyoma). A SpiderSilk ebben nem vett részt, és ráadásul nem is talált érzékeny információkat. Ton-That szerint a közel-keleti cég egyszerűen meg akarta őket zsarolni.

Valami nem stimmel a történetben

A két cég levelezése – ami szintén a TechCrunch birtokába jutott, azonban arról tanúskodik, hogy egészen máshol volt a probléma. A SpiderSilk szakembere jelentette az általa talált biztonsági problémákat a Clearview-nak, csak nem tartott igényt a jutalomra, mert azzal titoktartási kötelezettség is járt volna.

A TechCrunch-nak nyilatkozó szakértők szerint a hibákat felfedező kutatóknak nem kötelessége ilyen ajánlat elfogadása, bár az a közmegegyezés, hogy a biztonsági szakemberek csak az után hoznak nyilvánosságra egy sérülékenységet, amikor ahhoz a cég elkészítette a javítást. A Clearview esetében azonban nem is szoftverhibáról volt szó, hanem inkább hanyagságról és egy erősen megkérdőjelezhető adatkezelési gyakorlatról.

Nem először történik adatvesztés a cégnél. Februárban már loptak el ügyféladatokat a rendszeréből. Emellett jogi eljárás is indult ellene a fogyasztóvédelmi törvények állítólagos megsértése miatt. A botrányok miatt többek között New Jersey-ben és San Diegóban a rendőrség felsőbb utasításra le is állította a Clearview alkalmazását.

Ton-That azt mondta a TechCrunch-nak, hogy csináltak egy teljes körű forensic-vizsgálatot, ami megállapította, hogy a SpiderSilk esetén kívül nem történt más jogosulatlan hozzáférés a rendszereikhez.