La société de reconnaissance faciale Clearview AI continue de susciter la controverse. Cette fois, un manque de rigueur en matière de sécurité a révélé le code source de l'application de la société, les clés secrètes et les informations d'identification du stockage dans le Cloud.
La société de cybersécurité SpiderSilk, basée à Dubaï, a récemment découvert un serveur Clearview mal configuré. Bien que le dépôt soit protégé par un mot de passe, il a été configuré pour permettre à quiconque de créer un nouveau compte et de se connecter au système, ce que les experts en sécurité de l'entreprise ont précisément fait.
En plus du code source, des clés privées et des informations d'identification pour le stockage dans le nuage, Mossab Hussein, responsable de la sécurité de SpiderSilk, a déclaré à TechCrunch que le serveur contenait des versions de travail de ses applications Windows, macOS, iOS et Android gratuites. De plus, une fois téléchargées, les applications ont fonctionné sans aucun contrôle de sécurité, ce qui signifie que n'importe qui peut utiliser l'application pour effectuer des recherches dans la base de données de reconnaissance faciale.
"Nous avons fait face à un flux constant de tentatives d'intrusion cybernétique, et avons investi massivement dans l'amélioration de notre sécurité", a déclaré le PDG de Clearview, Hoan Ton-That, dans un communiqué. "Nous avons mis en place un programme de prime aux bogues avec HackerOne par lequel les chercheurs en sécurité informatique peuvent être récompensés pour avoir trouvé des failles dans les systèmes de Clearview AI. SpiderSilk, une entreprise qui ne faisait pas partie de notre programme de prime aux bugs, a trouvé une faille dans Clearview AI et nous a contactés. Cette faille n'a révélé aucune information personnelle identifiable, aucun historique de recherche, ni aucun identifiant biométrique".
Ton-That a également déclaré à TechCrunch que SpiderSilk tente d'extorquer sa société. Cependant, l'entreprise de sécurité a partagé sa correspondance électronique, et il semble qu'elle ait signalé le problème à Clearview et refusé une récompense sous forme de bug bounty. Le raisonnement de Hussain pour refuser la prime était qu'elle l'aurait lié à un accord de non-divulgation (NDA). Il ne pensait pas que cela aurait été dans le meilleur intérêt du public.
Peut-être plus inquiétant encore que les atouts vulnérables de la société était la découverte d'un cache de plus de 70.000 vidéos enregistrées par une caméra de sécurité dans un immeuble résidentiel de Manhattan. Les images montrent des personnes entrant et sortant du hall d'entrée. Ton-That prétend que les vidéos proviennent des tests du prototype de la caméra Insight de Clearview AI, un programme qui a depuis été abandonné.
"Dans le cadre du prototypage d'un produit de caméra de sécurité, nous avons recueilli des vidéos brutes à des fins de débogage uniquement, avec l'autorisation de la direction du bâtiment", a expliqué le PDG.
La société immobilière représentant l'immeuble n'a pas répondu aux appels pour faire des commentaires.
Cette défaillance de sécurité n'est que la dernière en date d'une série de controverses impliquant Clearview AI. En janvier, les journalistes du NY Times ont découvert que la société avait formé son logiciel de reconnaissance faciale en utilisant des images provenant de nombreux sites Internet. Plusieurs plateformes de réseaux sociaux ont demandé à l'entreprise de ne plus scraper les profils de ses utilisateurs. Le mois suivant, un "intrus" a volé la liste complète des clients de Clearview dans une base de données non sécurisée. Ton-That a affirmé qu'il n'y avait eu "aucune compromission des serveurs, des systèmes ou des réseaux" lors de cette attaque. Puis, en mars, le procureur général du Vermont a intenté un procès à la start-up pour violation de la loi sur le courtage de données et de la loi sur la confidentialité des informations biométriques de l'État.
source :
https://www.techspot.com/news/84875-clearview-ai-cybersecurity-question-after-researchers-discover-unsecured.html