En av ansiktsigenkänning databaser som den Kinesiska regeringen använder för att spåra den Uiguriska Muslimska befolkningen i Xinjiang har varit öppen på internet i månader, en holländsk säkerhet forskare berättade ZDNet.
Databasen tillhör ett Kinesiskt företag som heter SenseNets, som enligt sin hemsida erbjuder video-baserade publiken analys och tekniken för ansiktsigenkänning.
Igår, Victor Gevers, en välkänd säkerhet forskare som gjort sig ett namn under de senaste åren genom att hitta läckande MongoDB databaser gjorde vad han gör bäst och hittade en av SenseNets’ MongoDB databaser som hade lämnats utsatt online utan autentisering.
Gevers berättade ZDNet att databasen innehöll information om 2,565724 användare, tillsammans med en ström av GPS-koordinater som kom i en snabb takt.
Användarens data var inte bara godartad användarnamn, men mycket detaljerade och mycket känslig information som någon normalt skulle hitta på ett ID-kort, Gevers sagt. Forskaren såg användarprofiler med information som namn, ID-nummer, ID-kort utfärdas, ID-kort utgångsdatum, kön, nationalitet, hem adresser, födelsedatum, foton och arbetsgivare.
För varje användare, men det fanns också en lista av GPS-koordinater, platser där användaren hade sett.
Databasen innehöll även en lista över “trackers” och tillhörande GPS-koordinater. Baserat på bolagets webbplats, dessa trackers verkar vara de platser som används av allmänheten kameror från där videon hade fångats och var som analyseras.
Några av de beskrivande namn som förknippas med “trackers” som finns termer som “moské,” “hotel”, “polisen”, “internet-café,” “restaurang” och andra ställen där offentliga kameror normalt skulle hittas.
Gevers berättade ZDNet att dessa koordinater var alla ligger i Kinas Xinjiang-provinsen, hem för Kinas Uiguriska Muslimska minoritetsbefolkningen.
Det finns många rapporter om brott mot mänskliga rättigheter som bedrivs av de Kinesiska myndigheterna i Xinjiang, som tvingar Uiguriska Muslimska befolkningen att installera spionprogram på sina telefoner, eller tvingar vissa Uiguriska Muslimer till “omskolning” läger som Uiguriska Muslimer som bor utomlands har beskrivits som tvingas arbetsläger.
Den databas som Gevers hittade var inte bara några döda servrar med gamla data. Forskaren sade att under de senaste 24 timmarna en ström av nästan 6,7 miljoner GPS-koordinater noterades, vilket innebär att databasen var aktivt spåra Uiguriska Muslimer när de flyttas runt.
Platsen för ett av GPS-koordinater som finns i den exponerade databas
Bild:Victor Gevers
Att inte veta vad han hittade på den tiden, Gevers rapporterade den exponerade databas till sin ägare, den Kinesiska företag, som säkrade det tidigare idag, blockera åtkomst från icke-Kinesiska IP-adresser med hjälp av en brandväggsregel.
Företaget kunde inte svara på en begäran om kommentar innan denna artikel publicerades.
Den vanligaste slutsatsen är att SenseNets är en regering som entreprenör, att hjälpa myndigheterna att spåra den Muslimska minoriteten, snarare än privata företag att sälja sin produkt till en annan privat aktör. Annars skulle det vara svårt att förklara hur SenseNets har tillgång till ID-kort information och kamera flöden från polisstationer och andra offentliga byggnader.
Gevers sade att han nu beklagar att hjälpa företaget att säkra dess förtryck verktyg.
Mer dataintrång täckning:
Krypa Hus restaurang kedja meddelar brott mot POS systemHackers torka OSS servrar för e-post leverantör VFEmailDunkin’ Donuts konton äventyras i 2: a referens fyllning attack i 3 monthsChina hackad Norges Visma moln programvara leverantör
Online casino grupp läcker information på 108 miljoner spel, inklusive användare detailsAirbus data överträdelse miljöeffekter anställda i EuropeMassive brott mot läckage 773 miljoner e-postadresser, 21 miljoner lösenord CNET
Hackare vända sig till stöld av data och försäljning på den Mörka Webben för högre utbetalningar TechRepublic
Relaterade Ämnen:
Regeringen – Asien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter