欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

2元打包70张明星素颜照?健康宝现个人信息安全漏洞

 
近日,明星“代拍”行业里“明星健康宝照片被泄露”事件引发热议,冲上微博热搜第一,截至目前已有3.8亿阅读,2.7万讨论。截至发稿,北京警方已介入调查。此外,市经信局一位工作人员称,已经知悉此事,正在进行核实,有进一步结果将及时回应和公布。

至少七十余明星照片泄露

近日,疑似明星北京“健康宝”照片被泄露一事备受关注。有网友通过输入明星姓名加身份证号,无需人脸识别,查询到其在北京“健康宝”上的认证照片,疑似30余位明星的照片被传播、出售。疑似王源、王俊凯、易烊千玺、刘昊然、杨幂、邓伦、蔡徐坤等超50名明星的“健康宝”照片在网上传播,涉及北京、厦门、上海等多地核酸检测机构,这些信息甚至在相关群组内被出售。

上述“健康宝”一般指“北京健康宝”,是北京市大数据中心依托北京市防疫相关数据和国家政务服务平台,针对新冠肺炎疫情防控需要推出的小程序。开发者为北京市经济和信息化局。据不完全统计,网络上流传着七十多名明星的核酸检测照片截图。截图中包括:明星的人脸照片、姓名首字母、身份证号码的前后两位,以及做核酸检测的机构及具体检测时间。

640.webp.jpg

据红星新闻,在代拍群中,开始是花1元可购买1位明星健康宝照片,后来出现了3元可打包“tnt时代少年团”7人的健康宝照片,随后,又出现了2元打包70多位艺人健康宝照片,1000多位艺人身份证号仅售1元等。在健康宝的“他人核酸检测结果代查”界面中,输入明星的姓名与身份证号,无需再次人脸识别,即可获得他人在录入个人信息时,进行人脸识别的照片,即代拍们所贩卖的“健康宝照片”。据南方都市报报道,北京市经济和信息化局的一名工作人员表示,对于明星核酸检测照片泄露事件,以及为什么人脸识别功能未触发的问题,已向上反映,目前正在核实了解相关情况。后续将会公开相关调查结果。

据21世纪经济报道,负责研发北京“健康宝”的中关村(6.690, 0.04, 0.60%)科学城城市大脑股份有限公司(以下简称“中科大脑公司”)一名工作人员12月28日表示,已有很多电话咨询这一问题,相关项目负责同事正在跟进此事。公开资料显示,中科大脑的前身为北京中海纪元数字技术发展股份有限公司(下称“中海纪元”),成立于2003年。中科大脑的大股东为北京中海投资管理有限公司,持21789600股。

640.webp (1).jpg

据企查查股东信息显示,北京中海投资管理有限公司由北京市海淀区国有资本经营管理中心100%持股。此前据经济观察报采访中科大脑CEO李浩浩的报道,李浩浩提到,健康宝的运营掌握在政府手里,中科大脑负责提供技术支持。该项目本身属于和政府联合开发,最终所有隐私数据都由政府掌握,公司对数据没有任何权限。

640.webp (2).jpg

代查功能有问题?

为什么能够轻易得到他人在健康宝中登记的信息?记者实测发现,在自己健康宝的“他人核酸检测结果代查”功能中输入同事的姓名和身份证号并点击“确定”,即可显示同事在健康宝中登记的人脸照片。而值得注意的是,尽管本来上述功能显示“需要人脸识别”,实际并未触发。但据媒体报道,并不是所有的查询请求都要求人脸识别才显示结果。

今年8月,据北京发布介绍,“健康宝”始终坚持“个人信息最小化采集”的设计理念,仅需进行必要的实名认证,即可登录使用健康宝相关服务,且登录状态长期有效。在登录状态下,每次打开健康宝可直接使用健康状态查询等服务,不需要再次人脸识别。若主动退出登录,为保障信息安全,需重新进行实名认证。

640.webp (3).jpg

也就是说,在明星信息“泄露成灾”的当下,只要掌握了明星的姓名、身份证号,就能查到该明星在健康宝中登记的人脸照片。

此前曾对个人信息安全进行回应

今年3月,北京市经济和信息化局副局长潘锋在北京市新冠肺炎疫情防控工作新闻发布会上表示,目前北京市累计有900多万人使用“健康宝”查询了3000多万次健康状态,在联防联控、复工复产等方面有效降低了疫情传播风险。考虑到个人隐私保护,“健康宝”从未采集个人位置信息。

640.webp (4).jpg

21世纪经济报道此前曾报道,北京市政府曾于11月1日发文对“健康宝”的个人信息安全问题进行回应。当时,“健康宝”已覆盖北京市民和来京人员,累积查询超过17亿次。北京市政府在上述文章中表示,“健康宝”始终坚持“个人信息最小化采集”的设计理念,仅需进行必要的实名认证,即可登录使用健康宝相关服务,且登录状态长期有效。在登录状态下,每次打开健康宝可直接使用健康状态查询等服务,不需要再次人脸识别。若主动退出登录,为保障信息安全,需重新进行实名认证。“除了个人信息最小化采集之外,本次新增扫码功能页面中,个人信息均以脱敏形式呈现,只保留姓、身份证号前后各2位、手机号前后各3位,有效避免隐私泄露风险。”北京市政府称,所有信息仅保存于北京市政务云,且仅用于防疫追溯及相关工作,充分保障用户的隐私安全。

640.webp (5).jpg

此前,为照顾没有智能手机、不会使用智能手机的人群,北京健康宝上线代查第三人信息的功能。没想到,该功能被不法分子利用。对此,有律师表示,是否需要健康宝中增加额外的验证功能,需要平衡安全与效率及技术成本的问题,并不一定更严格的安全措施更有利于整体社会福祉。

律师:出售者要承担刑事责任

由于公众人物是一个特殊群体,在某种程度上,不得不让渡一部分自己的隐私权。但这并不代表其个人隐私权就要被无限压缩。河南豫龙律师事务所律师付建认为,公民的身份证号码是其个人信息的一部分,除非其自己主动公布,不然通过其他渠道获取相关身份信息,以谋利为目的出售明星个人信息,相关人员可能涉嫌侵犯公民个人信息罪,要承担刑事责任。根据《民法总则》的相关规定,公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。故相应的权利人在必要时,可以对出售者提起诉讼。对于购买明星健康宝照片的人,付建认为,粉丝购买相关照片只是为了自我欣赏,则其行为就不够成侵权。如果粉丝将照片发到了微博这些公开平台上,要看其主观是否是以经营盈利为目的,是否引用明星照片作为推销商品广告形象,如果是的话,则未经相关权利人授权,其行为涉嫌侵犯肖像权。同时,付建认为法律明确规定了对个人信息的保护,相关软件的运营商有责任在其平台上保护用户的个人信息,在有漏洞出现时,应及时完善,以确保用户个人信息的安全。一位律师称,很多信息都是从不规范的APP那里批量买来的,这比从公安系统盗取成本低很多,一来公安系统有很好的技术保护,二来从国家系统窃取重要信息是要入刑的。

《中华人民共和国刑法》第二百五十三条之一规定:

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。律师指出,对于“侵犯公民个人信息罪“定罪的难点在于确认出售个人信息的是谁

黄牛们显然不是源头,我们呼吁国家加强对不规范APP等的监管,重重把关,从源头上降低信息泄露的可能。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: