人臉識別黑產:真人認證視頻百元一套 交易藏匿在QQ羣和境外網站
人臉識別黑產:真人認證視頻百元一套
包含身份證照片及點頭、搖頭、張嘴視頻,交易多藏身於社交平臺,賣家稱能通過多家APP平臺視頻驗證
|
||
|
||
|
||
|
||
|
||
|
“100元一套,包含身份證正反面照片、手持身份證照片和點頭、搖頭張嘴視頻。”在部分社交平臺和網站上,不少賣家將人臉識別視頻明碼標價,還打包票稱所售驗證視頻,能通過大多數APP平臺驗證流程。
3月30日至4月5日,新京報記者調查發現,這種地下黑產交易大多藏匿在QQ羣中和境外網站中,其中QQ羣名稱多包含“過臉”“識別技術”等關鍵詞,從而方便買家檢索到相關信息。
在APP平臺人臉驗證黑產中,百元一套的驗證視頻屬於“價高質優”產品,因爲使用了真人錄製的動態驗證視頻,驗證通過率較高,還有一種低廉的人臉認證方式,即使用動態軟件將人臉照片製作成“動態視頻”,配合“外掛”軟件進行驗證。
“低廉的一套只要幾元錢,需求量大的話甚至可以低至0.5元一套。”一名賣家表示,人臉動態驗證的成功率,主要取決於照片動態化處理的細緻程度,但真人錄的視頻肯定可以100%通過。
對於人臉識別信息買賣,北京雲嘉律師事務所律師趙佔領表示,據民法典規定公民對個人信息享有民事權利,未經本人同意非法收集買賣他人信息會構成民事侵權。人的臉部特徵信息是能夠直接識別特定自然人的真實身份的信息,屬於個人信息範疇,如果未經用戶同意買賣個人信息涉嫌違法犯罪。
“與時俱進”黑產買賣
張女士在註冊微博進行人臉驗證時,被提示自己的身份證信息已經被註冊過,但此前她並未下載和使用過微博。
張女士諮詢微博客服了解到,若掃臉註冊微博時提示“該身份證已經綁定其他賬號”或“身份證使用次數超限”,是由於身份證已經綁定其他賬號。目前,一個身份證號可以綁定2個微博賬號,當身份證號綁定賬號數量達到上限時,就無法再使用當前身份證號進行驗證。
“肯定是我的信息被泄露了。”張女士稱,她平時還算比較注重個人信息保護的,身份證除了上學入職、辦銀行卡、辦電話卡、住酒店、買車票用過,其他地方就沒有使用過了。
張女士的遭遇並非唯一,多名網友曾發帖稱自己在註冊微博、QQ、公衆號等,發現個人身份信息被盜用。
隨着個人信息被冒用數量的增多,網絡相關的反饋和投訴也隨之增多,隨之而來的是各大APP平臺的安全驗證升級,以動態人臉識別作爲安全驗證方式。在APP平臺安全驗證升級迭代中,這條黑色產業鏈的從業者也在利用漏洞,“專研”其如何破解這一“困局”。這條伴隨着互聯網實名制發展而興起的黑產利益鏈,也從最初單純收集販賣姓名、身份證號,升級到了收集販賣手持身份證照片、人臉視頻和照片動態處理軟件。
一名在暗網中販賣個人信息的黑產賣家介紹,身份證正反面照片、手持身份證照片和人臉點頭、搖頭視頻,一套100元,量大的話可以優惠,如果一次性購買100套,價格可壓低到10元一套,“如果數量少真的便宜不了,我們收集這些信息的成本也高。”
接着,對方發來兩段別人錄製的張嘴、眨眼、點頭、搖頭視頻,稱“這些是真人錄製的視頻,驗證大部分APP都沒問題,比照片處理的動態視頻通過率高”。
真人驗證視頻多來自“網絡兼職”
多名黑產賣家稱,他們開發包括借貸、走路賺錢等APP,其售賣的這些信息便來自於用戶下載註冊這些APP時所採集的,“這些人大多是工廠工人,還有一些網絡兼職人員。”
但這些網絡刷單兼職人員,並不知道自己在做一些APP認證的單子時,會泄露隱私。
來自山西的白女士告訴新京報記者,她從半年前開始做一些刷單等網絡兼職,有時候刷單量有限,她就會做一些APP認證的單子。
白女士表示,這些單子需要掃描對方提供的二維碼下載APP然後進行實名認證,實名認證的過程大多數會讓上傳身份證正反面照片、進行人臉識別,之後纔算註冊成功。一個單子大概5元-15元不等,有的認證要求複雜的價格會高一點。
在兼職刷單中,有的只需要上傳姓名和身份證號,這樣的每單3元,需要進行人臉識別的價格可能會到十幾塊錢。白女士說,有的APP在進行人臉認證的時候,眨眼搖頭幅度大一點,或者人臉離得近一點,會比較好通過。
“沒想到過會有人用這種方式收集個人信息,也從來沒有聽說過會有人收集人臉識別的動態視頻。”白女士稱,自己剛開始接這種APP註冊的單子時,遇到身份和人臉信息驗證時有過猶豫,但是後來覺得羣裏大家都在接單,也沒聽人說出現什麼問題,也就開始這樣做了。
兼職刷單認證造成的數據泄露,應算是少數。曾有媒體報道,有80%的個人信息數據泄露,都是企業內部員工所爲。
不少黑產商販也認可這個說法。有商販透露,如今市面上流通的手持身份證照片大多是在小額貸款平臺和公司野蠻發展期間,泄露出來的,還有部分是從各行業收集而來的,這種信息交易和使用一般情況下不會被人發現,“當時很多人借錢不還,平臺就把這些信息拿出來賣錢了,剛開始挺貴的,現在層層轉賣就便宜了。”
除此之外,如今日常使用APP、進出店鋪等場合均需要進行人臉信息識別和採集,還有人員以人臉識別技術開發和系統測試爲名開展信息採集。
在網絡中,新京報記者留意到有人發佈招聘信息採集員的信息,工作內容爲到鄉村採集身份證、人臉信息,可以將食用油、鍋等商品作爲禮品贈送。
黑產圈的“四件套”
相比真人視頻錄製,將照片中的人臉通過軟件進行動態化處理形成驗證視頻,成本更低。
3月31日,新京報記者通過QQ羣按條件查找,在搜索框中輸入“過臉”“識別技術”等關鍵詞,便會出現衆多相關QQ羣。記者隨機加入6個QQ羣發現,這些羣內的成員從100餘人到1700餘人不等,並且不時有新的成員加入。
QQ羣中,不時有人發佈出售微信號、售賣換臉軟件的信息,同時還有人在諮詢如何將照片中的人物進行動態化處理,並通過人臉識別驗證。
此外,在新京報記者以需要購買人臉認證技術和軟件的身份加入羣后,3個小時內便有多名黑產信息販賣者添加記者好友,瞭解需求。
這些黑產賣家表示,他們售賣照片摳圖、動態化處理等軟件,使照片中的人物張嘴、眨眼、左右搖頭和上下點頭。之後,通過特定手機開“外掛”進行人臉識別,“我們一般用於驗證微信、QQ、陌陌多一些,其他軟件也都可以人臉驗證。”
3月31日,一名從事黑產買賣的商戶在其QQ空間發佈消息稱,由於微信安全驗證升級,暫時已無法通過人臉識別驗證,自己正在研究辦法。4月3日,這名商戶表示已經攻克新的安全驗證,可以接單。
此外,這些商戶還售賣身份證正反照片、手持身份證照片以及帶有人臉的照片,在黑產圈俗稱爲“四件套”,每套價格在0.5元至3元不等。
當被問起這些證件照片的來源,商戶在聊天過程中便開始謹慎起來。最後新京報記者表示對四件套信息有大量需求的情況下,一名賣家表示有人專門負責收集,自己也是從別人那裏買來再賣的。
開“外掛”軟件進行人臉識別
無論是真人錄製視頻還是照片動態化處理,在完成APP人臉動態驗證的重要工具就是手機和外掛軟件。
新京報記者通過向黑產賣家詢問得知,從二手交易平臺上花費200餘元就可以買來某品牌二手R9手機,然後將刷機包植入到手機中。
部分APP平臺在人臉識別驗證過程中,屏幕會變成紅、黃、藍三種顏色,以此驗證臉部的亮光,但使用相關外掛軟件,也可以完成驗證。
“給手機刷機的目的就是獲得手機操作的更多權限。”對於照片動態處理後通過人臉識別驗證的原理,有兩名黑產賣家表示,當APP需要通過攝像頭進行人臉驗證時,用手遮擋攝像頭,手機“外掛”就會啓動,通過修改相關數據和設置,將提前做好的動態人臉視頻導入到APP中,便完成認證。
“真人錄的視頻通過率肯定高,照片處理的話要看天賦,不能保證你每一次驗證都能通過,要看你製作的人臉動態視頻是否細緻。如果第一次驗證失敗,就多驗證幾次,後面可能就會通過。”一名黑產賣家表示,盜用他人信息進行APP賬號註冊和驗證屬於違法行爲,且國家打擊力度較大,所以自己只賣軟件和教學,並不會直接操作。
按照這名黑產賣家的提示,新京報記者花費500餘元購買了一部安卓手機和一套動態處理軟件及教學,黑產賣家附送30套身份證正反面照片和手持身份證照片。
在實際體驗過程,按照黑產賣家的說法,使用刷過機的某品牌R9手機,將處理後的人臉動態視頻保存在這部手機上,並打開APP進行用物品遮擋攝像頭,使攝像頭處於黑屏狀態,便可順利通過安全驗證。
新京報記者使用該方法,在探探及智聯招聘等平臺上,都通過了人臉識別。
探探客服工作人員向新京報記者表示,如果發現個人身份信息被盜用認證,只能用戶發現後向平臺反映,之後用戶需要向平臺提供本人的身份信息進行審覈,審覈通過後平臺會對已經認證賬號進行封禁處理。對於探探平臺人臉識別認證漏洞問題,他們將會把情況向上進行反饋。
智聯招聘、陌陌等平臺的客服人員均表示,對虛假的人臉識別目前沒有很好的應對措施,之後會對該情況反饋處理。
律師:私自販賣人臉信息屬於違法行爲
個人信息販賣後被非法使用的案例並不少。
在中國裁判文書網上,一起關於人臉識別驗證的刑事判決書顯示,從2018年7月份開始,被告人張某、餘某等人以牟利爲目的,使用其購買的公民個人身份信息註冊支付寶賬號,並使用軟件將公民頭像照片製作成公民3D頭像,從而通過支付寶人臉識別認證。
通過這種方式來獲取支付寶提供的邀請註冊新支付寶用戶的相應紅包獎勵(包括邀請新人紅包、通用消費紅包、花唄紅包等),而每個新註冊支付寶至少可以獲取28元收益。截至案發,該團伙非法收集近2000萬條公民身份信息,共使用他人公民個人身份信息註冊成功至少547個通過人臉識別認證的實名支付寶賬戶,獲利4萬元。
北京雲嘉律師事務所律師趙佔領表示,人的臉部特徵信息是能夠直接識別特定自然人的真實身份的信息,屬於個人信息範疇,如果未經用戶同意買賣個人信息是違法行爲甚至是犯罪行爲。
據民法典規定公民對個人信息享有民事權利,未經本人同意非法收集買賣他人信息會構成民事侵權。另外《刑法修正案(九)》規定了侵犯公民個人信息罪。買賣高度敏感的個人信息達到一定數量,符合司法兩高的司法解釋中所規定的立案標準的行爲就涉嫌刑事犯罪。在這個過程中,無論買方還是賣方都涉嫌構成侵犯公民個人信息罪。
自然人的個人信息被他人非法買賣之後,用於一些違法甚至犯罪行爲,那麼他對此並不承擔法律責任。但需要舉證去證明個人信息是被他人非法獲取並盜用的。個人信息方面的刑事案件比較多,公安機關每年都會抓獲大量侵犯公民個人信息的犯罪嫌疑人。
新京報記者 劉名洋
