多地政务App中招
多名“代实名”中介告诉新京报记者,他们的业务范围并不限于湖南。
一名中介给记者发来的截图显示:“河南掌上登记”“辽宁企业登记实名验证”“海南e登记”“新疆政务通”“赣企开办e窗通”“津心办”“江苏市监注册登记”“浙里办”“山东省市场监管全程电子化”等政务App,均可代过实名。查询可见,上述App均为省级政府部门的政务办理软件。
6月25日,新京报记者在河南郑州再次进行测试。
在河南设立公司或个体工商户,多数通过“河南全程电子化平台”网上办理。而登录电子化平台前和法定代表人、股东签名时,均需使用“河南掌上登记”App通过人脸识别。公开资料显示:2019年9月,河南掌上登记已实现自然人活体识别验证。
6月26日上午10时30分,新京报记者向一位“代实名”中介提出过“河南掌上登记”的需求,并只向对方提供了需要过实名者的名字和身份证号。30分钟后,该中介回复称,“准备好了”。记者把登录电子化平台的二维码发给对方后,记者所使用的电脑页面随即跳转到了电子化平台的“业务办理”页面。
一位代理注册公司的从业者介绍称,进入“业务办理”页面,说明“代实名”中介已通过了“河南掌上登记”的人脸识别,并使用该软件扫码。企业设立过程中,填写完企业信息提交审核时,还需要再次通过人脸识别,并使用手机进行签名。
6月26日12时许,记者在电子化平台上填写完需要设立“个体工商户”的其他信息后,将“本人签名”二维码再次发给中介,十几分钟后,页面显示签名已完成。6月28日,新京报记者从郑州市金水区一市场监督管理所,领取到了新注册的个体工商户的营业执照和副本。
代理记账行业相关从业者介绍称,设立个体工商户和设立公司流程类似,只是设立个体户一人即可,设立公司至少需要两人,分别担任法定代表人和监事职务。“代实名”中介能够在设立个体户的过程中,破解实名认证,这意味着,在河南同样可以使用他人身份设立公司。
公司股东可被“秘密”撤换
在郑州从事代理公司注册10余年的老沈称,公司的设立、注销,法人、股东变更等,都可以通过电子化平台完成,过程中认定“本人是否知情”的核心环节,就是“人脸识别”。如果“企业登记”App的人脸识别被不法人员破解,那意味着他们不仅可以利用他人信息注册公司,还能对公司进行注销、变更法人、股东等商事业务。
6月30日,新京报记者借用朋友的公司测试发现,在法定代表人配合的情况下,通过“代实名”的操作,公司的股东可以被“秘密”撤换。按照公司股东变更的正常流程,在电子化平台提交股东变更资料后,需要该公司的所有股东,扫码完成电子签名。而中介通过“代实名”,就可以完成这些操作。
调查中记者发现,完成“河南掌上登记”“湖南企业登记”App的实名注册,最核心的两个环节,分别是上传当事人的身份证照片和人脸识别认证。
“代实名”中介在只有当事人身份证号的情况下,如何通过所有的流程呢?
据江苏电视台报道,2021年12月份,一个“代实名”的8人团伙被常州警方抓获,该团伙利用AI换脸技术“骗过”政务网站的人脸识别认证,在审讯过程中,犯罪嫌疑人还向警方演示了用多个制图软件让图片动起来的过程。
一位“代实名”中介向记者介绍,他们通过AI技术,破解人脸识别认证。他向记者发送的一段演示视频显示,提取静态图片中人物的脸部信息后,用电脑软件让人物完成眨眼、点头的动作,最终通过了某一款App的实名认证,整个过程只用了3分钟。
至于当事人的照片,中介表示可以通过“查档”获取。
在郑州注册个体工商户过程中,记者只向中介提供了当事人的名字和身份证号,在中介使用“河南掌上登记”App扫码后,页面跳转进入电子化平台。记者在电子化平台发现当事人的身份证照片,已提交在平台中。代理公司注册行业从业者介绍,该照片是中介在注册“河南掌上登记”时,通过手机上传的图片,该信息会自动同步到电子化平台。
令人惊讶的是,与被实名者本人所持有的真实身份证对比可见,照片的身份证头像、名字、民族等信息均一致。不同的是,户籍地址和身份证有效期。
新京报记者调查发现,在网络“黑产”中,有人收费“查档”。只要提供姓名、身份证号,就可以买到当事人的户籍信息,其中包含当事人的证件照、性别、民族,以及户籍所在的区县,但未详细到具体住址。
8月10日,公安部网络安全保卫局副局长李彤表示,犯罪分子用于实施“AI换脸”的物料主要为照片,特别是身份证照片,同时结合人员姓名、身份证号来突破人脸识别验证系统。
AI换脸进行实名验证涉嫌多项违法
近年来,“被法人”的现象并不鲜见。
2022年7月,黑龙江一名男子2017年丢失身份证后,莫名担任了河北曲阳县一销售公司的独资股东,其名下的公司拖欠税款641万元。2019年,重庆一高校教师发现,自己莫名成了山东一家公司的法定代表人,而该公司拖欠债款未还,导致他被法院列入失信人名单。
中介老沈称,使用他人信息设立的公司,多数是为从事非法活动逃避法律责任,公司可能会被用于虚开发票、洗钱、诈骗或从事其他不法经营行为。
奇安信集团行业安全研究中心主任裴智勇介绍,人脸和指纹都属于生物识别的范畴,它们都具有可以复制的特点,但在网络验证中,它们并不是一个特别安全的密钥。
裴智勇认为,人脸识别是基于算法进行的,只要App的人脸验证方式是固定的,就可以逆向计算出破解的方法,用图片生成破解的3D图像,“我们在实验中发现,虽然使用电脑生成的3D图像,跟真人对比是有很大失真的,但是这种图像是专门针对某个人脸识别系统做的,识别系统需要什么数值,图像反馈出相应的数值,就能骗过人脸识别的系统。”
裴智勇建议,使用人脸识别技术,应加入其他的验证手段进行辅助,比如常见的短信验证、电话验证或大数据验证,这样相对更安全。
一位不愿具名的AI算法工程师介绍,通过AI技术,可以使照片中的人物完成眨眼、点头等动作,骗过具有活体检测性能的人脸识别App的验证。近两年,AI换脸被广泛使用,攻击者也可通过劫持数据包的方式,将真实人脸信息替换为虚假人脸信息,通过人脸检测。
8月8日,国家网信办发布的“人脸识别技术应用安全管理规定”征求意见稿中明确,人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
国浩律师事务所李资睦律师认为,使用AI换脸技术,在政务App中进行虚假的实名认证,不仅涉嫌非法处理公民个人信息,还属于非法侵入计算机信息系统的行为。这两个行为涉嫌违反《民法典》《个人信息保护法》《刑法》等相关法律法规,相关人员将可能承担民事责任、行政责任以及刑事责任。
8月10日,李彤表示,为防范和打击此类新型犯罪,公安机关联合国家重点实验室等单位,开展人脸识别与活体检测技术安全测评,覆盖了境内用户量大、问题隐患突出的即时通讯、网络直播、网络社交、电商平台、金融支付等重点App,及时发现人脸识别验证系统存在的风险隐患,通报运营主体升级安全保护措施和人脸识别算法。公安机关依托“净网”专项行动,严打泄露身份证照片等图像信息的犯罪源头,自2020年以来,已破获“AI换脸”案件79起,抓获犯罪嫌疑人515名。
新京报记者 程亚龙