Скандальный стартап по распознаванию лиц оставил в Сети исходные коды

Неверно настроенный облачный сервер на время раскрыл конфиденциальную информацию компании Clearview AI: внутренние документы, версии приложений, а также исходный код. Об этом пишет TechCrunch.

Американская компания Clearview AI работает с 2017 г., но известность получила только в начале 2020 г., когда на рынке появилась информация о сотрудничестве данного стартапа со спецслужбами. Clearview утверждает, что ее приложение, которое использует более 3 млрд фотографий из социальных сетей, лишь помогает правоохранительным органам искать преступников. Точность распознавания составляет 75%. В январе крупнейшие интернет-сервисы потребовали компанию прекратить использование изображений своих пользователей.

В середине апреля Моссаб Хуссейн (Mossab Hussein), руководитель службы информационной безопасности в компании SpiderSilk, заанимающейся вопросами киберзащиты и базирующейся в Дубае, обнаружил в Сети некорректно настроенное хранилище Clearview. Хотя оно было защищено паролем, система была уязвима из-за неправильного параметра авторизации: любой вновь зарегистрированный пользователь мог получить доступ к содержимому.

Скомпрометированный репозиторий содержал исходные коды, комбинации которых можно было использовать для создания и запуска различных приложений. На сервере также оказались ряд секретных ключей и учетные данные для доступа к облачным хранилищам Clearview. В этих облачных кластерах компания хранила копии своих готовых приложений для Windows, Mac и Android, а также релиз для iOS, который Apple недавно заблокировала за нарушение своих правил. По словам Хуссейна, он также нашел в хранилище ранние (предварительные) версии приложений для разработки, которые обычно используются в процессе тестирования.

Кроме того, исследуя ресурс Clearview, Хуссейн наткнулся на токены Slack, использование которых могло открыть доступ к системе коммуникаций компании, включая личные сообщения.

Находка Хуссейна также проливает свет на перспективные разработки Clearview. Так, исследователь обнаружил на одном из облачных кластеров более 70 тыс. видеороликов, которые, судя по всему, представляют собой записи камер видеонаблюдения, установленной в холле жилого дома. На записях видно, как входят и выходят люди. Руководство Clearview пояснило, что в рамках создания прототипа продукта для систем видеонаблюдения специалисты компании исключительно в целях тестирования собрали записи с камер, предварительно получив разрешение управляющей компании.

Моссаб Хуссейн сообщил, что мог получить вознаграждение от Clearview за найденную уязвимость, но отказался от него, так как иначе он бы не смог рассказать общественности об утечке.

В 2020 г. Clearview не первый раз сталкивается с проблемой информационной безопасности. В феврале хакеры взломали базу данных компании и получили доступ к списке всех ее клиентов. Тогда выяснилось, что услугами Clearview пользуются порядка 2900 спецслужб, государственных и коммерческих организаций в 27 странах мира, хотя еще в январе руководитель стартапа говорил о 600 заказчиках. Также зимой на незащищенном облачном сервере Amazon была найдена версия приложения Clearview для Android.