Egy információbiztonsággal és a személyes adatok védelmével foglalkozó holland szervezet munkatársa rábukkant a kínai kormány által az ujgur kisebbség millióiról gyűjtött arcfelismerési adatbázisra az egyik alvállalkozó védtelenül hagyott szerverén. A kiszivárgott adatbázis rávilágít arra, hogy Kína milyen hihetetlen eredményeket ért el saját lakói mesterséges intelligencián alapuló elnyomásában.
Az már korábban is tudott volt, hogy a hivatalosan terrorcselekmények elkövetésével vádolt, 12 és 65 év közötti muszlim vallású ujgurokat a Kínát behálózó térfigyelő kamerák képeit monitorozó algoritmusok segítségével figyelik. A mesterséges intelligencia felismeri arca alapján az embert, és rögtön hozzákapcsolja tartózkodási helyét az állami adatbázisokban őrzött lakcímkártya- és személyiigazolvány-adataihoz. Ha az illető 300 méternél jobban megközelíti a kockázatosnak ítélt helyeket, a rendszer azonnal riasztja a hatóságokat.
Az ujgurokról őrzött arcfelismerési és személyes adatokat viszont - természetszerűleg - nem szándékoztak nyilvánosságra hozni.
Csakhogy a múlt héten a holland GDI alapítvány kutatója, Victor Gevers a Shodan keresőmotor segítségével rátalált az adatbázisra, amelyet a kínai kormány egyik alvállalkozója, a videóalapú tömeganalízissel foglalkozó SenceNets hagyott a szerverén úgy, hogy letöltéséhez még csak azonosítás sem szükségeltetett. Az adatbázis hihetetlen mennyiségű adatpontot tartalmaz ujgurok millióiról. Nem szeretnénk a SenseNets vezetőinek helyében lenni, amikor a kínai titkosszolgálat kérdőre vonja őket az elképesztő hibáért.
Az adatbázis a hozzáférés pillanatában 2 565 724 ember adatait tartalmazta, és a pozíciójukat jelölő GPS-adatok folyamatosan érkeztek be, így az adatbázis percről-percre hízik. Emellett gyakorlatilag minden elképzelhető adatuk megtalálható benne a munkahelyüktől és lakcímüktől kezdve a fotóikig, nemükig. A kiberbiztonsági szakértő szerint nem ő volt az első, aki illetéktelenül látogatta az adatbázis, hiszen az elmúlt hónapokban a világ számos országából léptek be, és töltöttek le belőle adatokat.
Vagyis az adatbázis nemcsak hogy messzemenőkig etikátlan, elnyomó céllal készült, de még kutyaütő módon is kezelték, és csak az nem fért hozzá, aki nem akart.
A Techcrunch elemzője szerint ez az adatszivárgási fiaskó mindenkinek figyelmeztetésül kell szolgáljon, aki abban a hiszemben ringatja magát, hogy egy milliók megfigyelésén alapuló elnyomó államot flottul lehet menedzselni. Egy ilyen nagyszabású műveletet még a kínai kormány sem tud egyedül kivitelezni, így a munka dandárja alvállalkozóknál jelentkezik. Emiatt ők szükségképpen hozzájutnak a legszenzitívebb adatokhoz is, amire időnként nem képesek vigyázni.
Victor Gevers szerint egyébként a művelet grandiózusságához, és a kínai állam szinte végtelen forrásaihoz képest a SenseNets teljesen amatőr módon kezeli ezeket az adatokat. A hozzáférés azért vált lehetővé, mert az adatbázisok beállításánál elfelejtettek kipipálni néhány rubrikát. Miután az első hírek elterjedtek az adatszivárgásról, a SenseNets biztonságba helyezte az adatait, de pár nappal később véletlenül megint közzétette azokat, amint Gevers froclizó tweetjéből is kiderül:
Kedves SenseNets operátorok!
Remek dolog, hogy frissíteni kezdtétek azt a csapnivaló Windows Server 2012-t (amelyet egyébként loptatok). De eközben lekapcsoltátok a tűzfalat, ezáltal a MongoDB és a MySQL-szerver újra hozzáférhetővé vált.
Az elemzők szerint nincs olyan, ilyen mértékben centralizált adatbázis, amely ne jelente biztonsági időzített bombát. A kiberbűnözők számára egy ilyen adatbázis, amelyben az emberek millióinak összes elképzelhető adatát tárolják, valóságos terült, terülj asztalkám, így
időt és energiát nem kímélve fogják támadni, amíg kiskaput nem találnak.
A kormányok, sőt egész államok sem képesek ilyen hatalmas megfigyelőrendszert úgy üzemeltetni, hogy annak működése ne váljon villámgyorsan átláthatatlanná - még a tulajdonosok számára is. Ily módon pedig a hibákat is lehetetlenség idejében megtalálni.
Forrás: Techcrunch
(Borítókép: kínai katonák és ujgur nők Urumqiban. Fotó: Peter Parks / AFP.)