“一张脸”卖5毛,动态化工具35元一套!人脸信息黑市乱相曝光,你刷的脸去哪了?

2020-07-31 15:45:23
文摘编辑部
信息安全
全文共约 5324 字,阅读约需 11~18 分钟。
利用这些工具就可以完成静态图像动态化,网络黑产从业者一般是利用软件,将静态的人脸照片处理成动态视频,进而骗过部分手机应用中的活体认证环节,认证后实名账户则可以被倒卖,用于商业推广或小额网贷等用途。

你的脸被明码标价,价值......0.5元。

技术变革总有着双面性。“刷脸”越来越多的应用到了生活中的场景,“人脸”作为每个人独一无二的生物特征替代了交易密码,似乎是安全性更强的支付方式,然而真的是这样吗?

但你有没有想过,我们在App上刷的“脸“都去了哪里?

本月,新华网发表了一篇名为《0.5元一份!谁在出卖我们的人脸信息?》的调查文章,发现一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和‘照片活化’网络工具及教程。这些被倒卖的人脸图像和个人信息数据包多达2万套。

在这些黑市,单个人脸数据只卖0.5元一份。

“一张脸”卖5毛,“照片动态化”工具35元一套

在央视财经频道的相关报道中,记者调查发现,在淘宝、闲鱼等网络交易平台上,通过搜索特定关键词,就能找到专门出售人脸数据和“照片活化”工具的店铺,五千多张人脸照片集,仅售10元。

这些淘宝卖家都打着暗语,比如“人脸全国各地区行业可做,信誉第一”、“出售人脸四件套,懂的来”等。有些店铺点开后直接跳转到闲鱼界面。

当买家表示有兴趣时,卖家就会以“说多了会被封”为由把对话转移到微信或QQ等App上。随后商家会告诉买者,单个人脸数据0.5元一份。

如果需要利用人脸照片完成“眨眼、张嘴、点头”等动态验证操作,商家还可提供一份价值35元的类似Deepfake的软件包,其中不仅包含静止的人脸图像,还有虚拟视频刷机包、虚拟视频模拟器和人脸视频修改软件等“照片活化”工具,还有这些工具的操作教程文件。

有了这个软件包,你就可以操控照片完成一些比较高难度的认证动作,比如系统要求将摄像头再次对准自己,按照指令作出眨眼、摇头、张嘴等动作,完成认定,让机器确认这个人的确是你。

商家表示,拍下后直接付款即可,确认收货后就把链接发给买家。

利用这些工具就可以完成静态图像动态化,网络黑产从业者一般是利用软件,将静态的人脸照片处理成动态视频,进而骗过部分手机应用中的活体认证环节,认证后实名账户则可以被倒卖,用于商业推广或小额网贷等用途。

在商家发给新华视点记者的人脸图像中,有一些单人手持身份证的样本照片,随后还向记者展示了其利用工具修改上述照片后欺骗某网络社交平台人脸识别机制的效果视频。

那这些包含人脸信息和其他身份信息的数据从何而来?有卖家向记者透露,自己所售卖的人脸信息来自一些网贷和招聘平台;至于如何从这些平台中获取此类信息,对方没有作答。

报道发布后,相关部门也对于这些交易网站上的相关商家进行了彻查,文摘菌发稿前也在淘宝和闲鱼搜索了一番,目前已经无法再搜到相关店铺售卖信息了。

那么这些信息可以用来干嘛呢?

部分公司和个人会利用这些数据训练人脸识别算法,提升模型的精准性;

但更严重的情况下,有部分商家表示,买家可以利用这些人脸数据帮他人解封微信和支付宝的冻结账号,还能绕过知名婚恋交友平台及手机卡实名认证的人脸识别机制,大批账号认证后,甚至可以用来给自己的某些平台账号做“水军”,毕竟一张照片5毛钱,比刷评论还要划算。

去年8月,深圳龙岗警方发现有辖区居民的身份信息被人冒用,其驾驶证被不法分子通过网络服务平台冒用扣分。

据警方介绍,在上述案件中,犯罪嫌疑人利用非法获取的公民照片进行一定预处理,而后通过“照片活化”软件生成动态视频,骗过人脸核验机制。就可以登录各网络服务平台注册会员或进行实名认证。

印度10万份身份证驾照照片被售卖,黑客90块就能登陆你的各种账号

个人人脸等私密信息被售卖,这在全球不是个例。

上个月,印度也刚刚发生了一起重大的数据泄漏事件,将近100GB的数据包在暗网中售卖,数据包中包括超过10万印度人的身份证件扫描件,包括护照,PAN卡,Aadhar卡,选民ID和驾照。

整个数据随后被全球网络情报机构Cyble以大约4,800美元(约合3.4万人民币)的比特币收购。数据样本表明,这些文件是政府颁发的各种身份证明文件的扫描副本,这些证据表面上看来是合法的。

此外在美国,人脸识别初创公司Clearview AI今年上半年曾报告过一起黑客攻击,其全部客户名单都被黑客窃取了。“一名入侵者‘未经授权进入’其客户名单,获取了这些客户已设置的用户帐户数量以及搜索数量,涉及到的客户包括执法机构和银行等。”

据称,Clearview AI的人脸数据库里包括了从互联网上搜集了30多亿张照片,并为美国和加拿大600多家执法机构的嫌疑人身份识别系统提供便利。

这些被盗的人脸信息去了哪里呢?

VPNOverview去年曾在一份报告中指出,像“Financial Oasis”和“PayPal Cent”这样的暗网网站是盗取金融信息的主要市场,人们可以在那里挑选自己喜欢的账户。受害者的原籍国、是否有与PayPal挂钩的卡以及余额等信息都被公开列出。

而且,在暗网上的个人信息可是很值钱的,以下是报告中列出的一些被明码标价的数据内容。

黑客在获取个人信息后,只需花费$12.99(约合人民币91元)就可以登录你的各种社交账号,并且借此赚到一大笔钱。

比如可以出售这些盗取的帐户或转移可用资金,还可以使用你关联的信用卡购物,以及借用你的身份做更多事情。

面部特征信息应与其他身份信息隔离储存

过去,防止身份盗窃和保证身份安全的基本步骤包括粉碎文件、定期更改密码、不要相信任何名人在电子邮件或推特中“撒币”等。

随着我们进入数字时代,安全威胁更加复杂和严重。我们的生活基于网络,我们的财产、重要的法律文件等经常以这样或那样的方式被拴在网上。

只要有足够的个人信息和基本的技术知识,即使是技术有限的小偷也有可能进入你的一些最重要的账户。

所以,一旦你的面部信息被盗用,将意味着什么?

你的个人信息很可能在暗网中出售,对于黑客和诈骗者而言,信息业务是一项极为有利可图的业务。由于大多数人都有多个在线帐户,因此,如果黑客可以访问您的一个帐户,则通常会使其他帐户更容易被黑客入侵。

专家提醒,这些人脸信息有可能被用于虚假注册、电信网络诈骗等违法犯罪活动。

中国的许多电信基础设施都与面部识别相关联,这意味着互联网提供商、社交媒体应用程序和银行在使用设备时都需要通过面部扫描来验证个人身份。要想骗过这些系统,基本上就需要在网上假定另一个人的身份。

如果大部分人脸识别都是用类似iPhone这种3D面部扫描技术,而不仅是二维图像,那么盗取面部信息就相对困难一些。然而,目前国内的智能手机没有这种传感器。

其他国家的大多数应用程序都依赖于智能手机的身份验证,无论是指纹扫描仪还是像FaceID这样的面部识别。而这些应用本身并没有尝试进行面部识别,这使得这些技术在别国也不太可能发挥同样的作用。

从互联网提供商、社交媒体应用程序到银行,所有人都要求通过面部扫描来验证个人身份。

在这个“脸”即密码的时代,一旦面部特征被窃取,身份证、电话号码和银行信息等数据也会一并被偷走,几乎毫无安全感可言。

对此,人脸识别技术专家、厦门瑞为信息技术有限公司研究中心总监贾宝芝博士建议,相关平台在制定人脸识别安全规范的过程中,要强调“人脸数据等生物特征信息”与“其他身份信息”实行完全隔离存储,避免将人脸数据与身份信息相关联后发生批量化泄露。

合法的人脸识别数据如何获得?

最后,对于想要提升人脸识别算法的公司和个人,其实有很多合法途径可以获得个人为了学术研究贡献出来的免费“脸”,文摘菌也在这里提供一些免费的人脸数据来源。

1. CelebA数据集

仅出于非商业研究目的,来自MMLAB的数据集包含200,000多个名人图像。

http://mmlab.ie.cuhk.edu.hk/projects/CelebA.html

2.带边框的图像中的人脸检测

图像中的人脸检测是一个简单但有用的数据集,其中包含500幅图像,其中约有1100张人脸已经用边框框标记。

https://dataturks.com/projects/devika.mishra/face_detection

3. 带有标记地标点的人脸图像

该数据集包括7,000多个面部图像,并在每个图像上标注了关键点。每个图像上的关键点数量各不相同,单个图像上的最大关键点数量为15。关键点数据包含在单独的CSV文件中。

https://www.kaggle.com/drgilermo/face-images-with-marked-landmark-points

4.Flickr的面孔

使用从Flickr拍摄的图像,该数据集包含210,000张图像。总图像数量由来自Flickr的70,000张原始图像,以1024 x 1024像素裁剪的70,000张图像和以128 x 128像素裁剪的70,000张组成。

https://github.com/NVlabs/ffhq-dataset

5.Google面部表情比较

来自Google AI的Google面部表情比较数据集包含156,000张面部图像。这些图像以三胞胎形式出现,每个三联体中的两个图像在面部表情方面被标注为三联体中“最相似”。以真正的Google方式,对这些图像进行了精心的注释,每个三元组均由至少六个独立的人类注释者进行处理。

https://ai.google/tools/datasets/google-facial-expression/

6.野外标记的人脸数据

该数据集由马萨诸塞大学的研究人员创建,最初是为了研究无约束的人脸识别而制作的。总共有5700多人的13,000张图像。数据集还包含CSV格式的有用元数据。

https://www.kaggle.com/jessicali9530/lfw-dataset

7.真实和假脸检测数据库

该数据集用于训练面部识别模型,以区分真实面部图像和生成的面部图像。该数据集包括1,000多个真实的面部图像和900多个伪造的面部图像,这些图像的识别难度从容易,中等和难于改变。

https://www.kaggle.com/ciplab/real-and-fake-face-detection

8.辛普森一家

使用从流行的美国卡通系列的第25季到第28季拍摄的图像,该数据集包含超过9,800张Simpsons人物的裁剪面孔。

https://www.kaggle.com/kostastokis/simpsons-faces

9.tufts脸数据库

tufts人脸数据库拥有超过100,000张图像,其中包括分成9类的大量人脸图像。类别包括计算机素描,热敏,热裁剪,三维,Lytro,2D RGB周围,2D RGB情感,夜视和视频。

https://www.kaggle.com/kpvisionlab/tufts-face-database

10.UMDFaces

到目前为止,该列表中最大的数据集是UMDFaces数据集,它在静态图像中的8,200多个不同主题上具有超过367,000个面部注释。除了这些图像之外,数据集还包括超过370万个视频帧,全部带有超过3,100个对象的面部关键点。应该注意的是,该数据集严格仅用于非商业研究目的。

https://www.umdfaces.io/

11.UTKFace

UTKFace数据集包括年龄范围广泛的面孔。这些图像中的人范围从不到一岁到一百多岁。该数据集包括超过20,000张带有年龄,性别和种族注释的面部图像。

https://susanqq.github.io/UTKFace/

12.wider face数据库

该数据集包含超过10,000张图像,其中包含多人或仅一个人。图像被分为许多设置,例如会议,交通,游行等等。

https://www.kaggle.com/mksaad/wider-face-a-face-detection-benchmark

13.耶鲁人脸数据库

耶鲁人脸数据库是一个数据集,包含在各种光照条件下的15个不同主体的165张GIF图像。图像中的被摄对象表现出不同的情感和表情。

https://www.kaggle.com/olgabelitskaya/yale-face-database

14.标记面部关键点的YouTube面孔

该数据集由名人的Youtube公共视频组成,总共155,560个静止帧。这些视频被裁剪成围绕名人的脸,并为每个视频的每一帧都标注了面部关键点。

https://www.kaggle.com/selfishgene/youtube-faces-with-facial-keypoints

收藏
免责声明:凡注明为其它来源的信息均转自其它平台,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。联系邮箱:leixiao@infoobs.com