CiberSegurança

Código-fonte do Clearview AI e Lapso de segurança expostõe código fonte

Desde que explodiu em cena em janeiro, após uma exposição em um jornal , a Clearview AI rapidamente se tornou uma das empresas mais esquivas, secretas e insultadas da cena de startups de tecnologia.

A controversa startup de reconhecimento facial permite que os usuários da lei tirem uma foto de uma pessoa, a carreguem e a comparem com o suposto banco de dados de 3 bilhões de imagens, que a empresa retirou dos perfis públicos de mídia social .

Mas por um tempo, um servidor mal configurado expôs os arquivos internos da empresa, aplicativos e código fonte para qualquer pessoa na internet encontrar.

Mossab Hussein, diretor de segurança da empresa de segurança cibernética SpiderSilk, com sede em Dubai, encontrou o repositório armazenando o código-fonte do Clearview. Embora o repositório tenha sido protegido com uma senha, uma configuração mal configurada permitiu que qualquer pessoa se registrasse como um novo usuário para efetuar login no sistema que armazena o código.

O repositório continha o código-fonte do Clearview, que poderia ser usado para compilar e executar os aplicativos do zero. O repositório também armazenou algumas das chaves secretas e credenciais da empresa, que concederam acesso aos buckets de armazenamento em nuvem do Clearview. Dentro desses baldes, o Clearview armazenava cópias de seus aplicativos Windows, Mac e Android finalizados, bem como do aplicativo iOS, que a Apple bloqueou recentemente por violar suas regras. Os baldes de armazenamento também continham versões de aplicativos para desenvolvedores anteriores à pré-lançamento que normalmente são apenas para testes, disse Hussein.

O repositório também expôs os tokens Slack do Clearview, de acordo com Hussein, que, se usado, poderia permitir acesso sem senha às mensagens e comunicações privadas da empresa.

Clearview tem sido perseguida por preocupações com a privacidade desde que foi forçada a sair furtivamente após um perfil no The New York Times, mas sua tecnologia não foi testada e a precisão de sua tecnologia de reconhecimento facial não foi comprovada . A Clearview alega que apenas permite que a polícia use sua tecnologia, mas os relatórios mostram que a startup cortejou usuários de empresas privadas como Macy’s, Walmart e NBA. Mas esse mais recente lapso de segurança provavelmente convidará a um exame mais minucioso das práticas de segurança e privacidade da empresa.

Quando procurado para comentar, o fundador da Clearview, Hoan Ton-That, afirmou que sua empresa “experimentava um fluxo constante de tentativas de invasão cibernética e estava investindo pesadamente no aumento de nossa segurança”.

“Criamos um programa de recompensa de bugs com o HackerOne, no qual os pesquisadores de segurança de computadores podem ser recompensados ​​por encontrar falhas nas IA do Clearviewsistemas ”, disse Ton-That. “A SpiderSilk, uma empresa que não fazia parte do nosso programa de recompensas por bugs, encontrou uma falha no Clearview AI e entrou em contato conosco. Essa falha não expôs nenhuma informação pessoal identificável, histórico de pesquisa ou identificadores biométricos ”, afirmou.

O aplicativo da Clearview AI para iOS não precisava de login, de acordo com Hussein. Ele tirou várias capturas de tela para mostrar como o aplicativo funciona. Neste exemplo, Hussein usou uma foto de Mark Zuckerberg.
O aplicativo da Clearview AI para iOS não precisava de login, de acordo com Hussein. Ele tirou várias capturas de tela para mostrar como o aplicativo funciona. Neste exemplo, Hussein usou uma foto de Mark Zuckerberg.

Ton-Isso acusou a empresa de pesquisa de extorsão, mas os e-mails entre Clearview e SpiderSilk mostram uma imagem diferente.

Hussein, que já havia relatado problemas de segurança em várias startups, incluindo MoviePass , Remine e Blind , disse que denunciou a exposição ao Clearview, mas se recusou a aceitar uma recompensa, que ele disse que, se assinada, o impediria de divulgar publicamente o lapso de segurança.

Não é incomum que as empresas usem termos e condições de recompensa de bugs ou acordos de não divulgação para impedir a divulgação de falhas de segurança depois que elas forem corrigidas. Mas especialistas disseram ao TechCrunch que os pesquisadores não são obrigados a aceitar uma recompensa ou a concordar com as regras de divulgação.

Ton-That disse que a Clearview “fez uma auditoria forense completa do host para confirmar que nenhum outro acesso não autorizado ocorreu”. Ele também confirmou que as chaves secretas foram alteradas e não funcionam mais.

As descobertas de Hussein oferecem um raro vislumbre das operações da empresa secreta. Uma captura de tela compartilhada por Hussein mostrou códigos e aplicativos referentes à câmera Insight da empresa, que Ton-That descreveu como uma câmera “protótipo”, desde que descontinuada.

Uma captura de tela do aplicativo do Clearview AI para macOS. Ele se conecta ao banco de dados do Clearview através de uma API. O aplicativo também faz referência ao antigo hardware de câmera protótipo da Clearview, Insight Camera.
Uma captura de tela do aplicativo do Clearview AI para macOS. Ele se conecta ao banco de dados do Clearview através de uma API. O aplicativo também faz referência ao antigo hardware de câmera protótipo da Clearview, Insight Camera.

De acordo com o BuzzFeed News , uma das empresas que testou as câmeras é a empresa imobiliária de Nova York Rudin Management, que testou o uso de uma câmera em dois de seus edifícios residenciais na cidade.

Hussein disse que encontrou cerca de 70.000 vídeos em um dos baldes de armazenamento em nuvem da Clearview, tirados de uma câmera instalada na altura do rosto no saguão de um prédio residencial. Os vídeos mostram residentes entrando e saindo do prédio.

Ton-That explicou que, “como parte da criação de protótipos de um produto de câmera de segurança, coletamos alguns vídeos brutos estritamente para fins de depuração, com a permissão da gerência do edifício”.

O TechCrunch descobriu que o prédio de propriedade da Rudin fica no lado leste de Manhattan. Várias listas de propriedades com imagens do lobby do edifício também confirmam isso. Um representante da empresa imobiliária não retornou nossos e-mails.

Clearview está sob intenso escrutínio desde sua estréia em janeiro. Também atraiu a atenção dos hackers.

Em fevereiro, a Clearview admitiu aos clientes que uma lista de seus clientes foi roubada por uma violação de dados – no entanto, alegou que seus servidores “nunca foram acessados”. O Clearview também deixou desprotegidos vários de seus buckets de armazenamento em nuvem que contêm seu aplicativo Android.

O escritório do procurador-geral de Vermont já abriu uma investigação sobre a empresa por supostamente violar as leis de proteção ao consumidor, e os departamentos de polícia foram instruídos a parar de usar o Clearview, inclusive em Nova Jersey e San Diego . Várias empresas de tecnologia, incluindo Facebook, Twitter e YouTube, já entraram com cartas de desistência na Clearview AI.

Em uma entrevista à CBS News em fevereiro, Ton-That defendeu as práticas de sua empresa. “Se é público e está lá fora, e pode estar dentro do mecanismo de busca do Google, também pode estar dentro do nosso”, disse ele.

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado.

Botão Voltar ao Topo