政务App人脸识别被破解 冒名开公司轻而易举
2023-08-22 09:14 | 来源:未知 | 作者:bj责任编辑
“只要提供身份证照片,不经当事人同意,就让他成为一家公司的法定代表人或股东。”这在从事代理公司注册10余年的老沈眼里,是件绝无可能的事儿。
2019年3月1日后,全国多地的市场监督管理部门相继推行企业登记身份信息“实名制”,要设立公司或对已设立公司进行变更、注销时,除了要填写身份信息外,当事人还必需通过企业登记App进行“人脸识别”的认证。
老沈认为,如今若想不经过当事人许可,让他担当一家公司的法定代表人或股东,在人脸识别这一项就会被“卡脖”。
可这个老沈眼里不可能的事儿,在不法中介那儿却成了“基本操作”。6月下旬,新京报记者调查发现,“登记注册身份验证”“河南掌上登记”和“湖南企业登记”等多个政务App的人脸识别,可被轻易破解。破解后,不法人员可利用他人身份信息注册公司,或对已成立公司的股东进行撤换。
新京报记者调查发现,不法中介通过网络“黑产”非法获取身份信息和人脸照片后,利用AI换脸技术,破解相关政务App。
8月8日,国家网信办发布的“人脸识别技术应用安全管理规定(试行)”征求意见稿中明确:人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略。
多人诉称“被法人”
从未到过湖南株洲,也不曾通过线上申请的方式做个体工商户登记,远在辽宁大连生活的张桂菊,却成了株洲市芦淞区一家百货店的经营者。
今年3月,张桂菊在办理税务相关业务时,被告知名下有一家“公司”,并且“公司远在千里之外”。
通过工商信息查询,张桂菊确认,这家她担任经营者的“公司”是个体工商户,名为“芦淞区茜三十三百货店”,注册资金2万元,成立于2022年4月23日。
张桂菊称,发现该问题次日便在当地报警,并向当地市场监督管理部门反馈自己“被法人”的情况,但两个部门无权限处理,都建议她到名下个体工商户的注册地反映。
4月初,她向株洲市芦淞区市场监督管理局反馈,得到答复称,她名下注册的个体户是通过网上办理的,而且她本人做了“四级实名”验证,办理流程合法合规。
“四级实名”是企业登记实名制度中,确保“人、证”一致性的技术手段,包括身份证信息核验和人脸识别验证,以此确保申请人的身份信息真实和本人意愿真实。
市场监管部门的答复,让张桂菊一头雾水。在此之前她不懂什么是“四级实名”,更不知道在哪一个App上可以进行实名并网上注册公司。
4月19日,张桂菊的遭遇被辽宁《半岛晨报》报道。25日,她名下的“茜三十三百货店”被芦淞区市场监督管理局撤销。企业信息显示:撤销是对已经完成的登记行为的否定,或者说是一种纠错行为。
6月19日,株洲市芦淞区市场监督管理局行政审批股负责人在接受新京报记者采访时表示,张桂菊名下的个体户,未在注册地址办公,且她本人坚称未经人脸识别,所以作出了“撤销登记”的处理。但张桂菊本人是否做过人脸识别认证,他们无法确认,市、区级的市场监督管理局只对申请设立人提交的材料审核,人脸识别的信息他们无权查看,也难以调取。
与张桂菊遭遇类似的,还有江苏的彭女士和田先生。
今年3月份,彭女士发现她名下关联有注册地在株洲市的8家公司,她担任了其中4家公司的法定代表人,在另外4家公司占股10%,担任监事一职。田先生在株洲也被注册了10家公司,并在其中5家公司任法定代表人。
企查查信息显示,彭女士名下的8家公司,注册时间、注册地址、注册资金完全一致,就连公司名称也十分类似,均为“株洲市哆×商贸有限公司”。田先生名下的10家公司,情况也一样,公司名称均为“株洲市智×百货有限公司”。
据三湘都市报4月19日报道,彭女士和田先生两人名下的公司,注册时均通过了“人脸识别活体认证”的验证,针对两人反映“被法人、被股东”的情况,市场监管部门正在向上级部门申请,调取“活体检测”数据。
株洲市天元区市场监督管理局办公室相关工作人员告诉新京报记者,3月底,天元区市场监督管理局已通过市局向省主管部门递交了调取两人“人脸识别”数据的申请,但数据信息存储在国家市场监督管理总局,何时能拿到数据,时间不能确定。
7月12日,新京报记者注意到,彭女士和田先生两人名下的公司均已被“撤销”。株洲市天元区市场监督管理局工作人员称,申请调取的人脸识别数据暂未得到回复。因两人申请注销的意愿强烈,但股东联系不上,公司也没有实际经营行为,经局领导集体讨论,决定进行撤销。
10分钟完成冒名登记注册
在本人不知情的情况下,登记系统中的人脸识别检测是如何通过的?
“有中介能办这个。”知情者表示,很多工商税务代办人员组成的社交媒体群里,都能看到不间断发布的“处理工商实名,法定代表人、股东失联代签字”消息。
新京报记者添加一个名为“工商实名,失联签字”的中介微信后,对方发消息称登记注册身份验证软件四级实名验证、工商失联扫脸、App实名代签字等均可操作,费用在100元到900元之间,并表示如果没有身份证照片,只提供身份证号也可以过实名。面对质疑,中介称“经常做,放心。可以实名后再付款”。
“登记注册身份验证”App是由国家市场监督管理总局信息中心开发的软件,实名后可用于办理商事登记的相关业务。注册时除了填写名字、身份证号、手机号等信息外,还需进行人脸识别验证,被称为“四级实名”。
6月21日,记者向中介提供了未做过四级实名认证人员的身份证号码和名字,10分钟后记者尝试登录发现,该人员已完成“四级实名”。
记者走访了湖南长沙、株洲多个区的市场监督管理局业务受理窗口和财税代理公司确认,只要当事人通过了“登记注册身份验证”App的四级实名认证,在其本人不到场的情况下,可以完成个体工商户的设立。
“登记注册身份验证”App是仅提供实名认证的单一功能软件,湖南省市场监督管理局的“湖南企业登记”App则是一个聚合有多种商事功能,配合“一网通办”可以实现网上设立公司、变更法人、股东的软件。这样的软件,在不法中介那里,同样可以代过实名认证。
记者了解到,在湖南省设立公司,大多通过省政务服务网“一网通办”申请。在网上提交申请公司必要的资料后,需要公司法定代表人和监事本人,通过“湖南企业登记”App扫码,在手机端通过人脸识别后,方可签名并提交设立公司的申请资料。
记者从株洲市市场监督管理部门获取的“自然人电子签名流程”显示,人脸识别活体检测时,屏幕中会显示数字,被检测人员需保持正脸在检测框内,准确读出屏幕上显示的数字。
6月19日,在代理记账公司工作人员的配合下,记者在湖南省“一网通办”平台提交了公司设立登记的相关资料,并将开办公司所必需的两位经营者的身份证照片,发给“代实名”的中介,1小时内两位经营者均通过了“人脸识别”,并由“代实名”人员直接为两人代签了姓名。6月20日,记者顺利领取了使用他人身份信息设立的新公司的营业执照和副本。
“通过什么技术过的实名?”面对记者的询问,男子表示,只要给你过就行了,其他你不用知道。另外几位“代实名”中介,也拒绝回应记者的问题:“商业机密,不透露。”
多地政务App中招
多名“代实名”中介告诉新京报记者,他们的业务范围并不限于湖南。
一名中介给记者发来的截图显示:“河南掌上登记”“辽宁企业登记实名验证”“海南e登记”“新疆政务通”“赣企开办e窗通”“津心办”“江苏市监注册登记”“浙里办”“山东省市场监管全程电子化”等政务App,均可代过实名。查询可见,上述App均为省级政府部门的政务办理软件。
6月25日,新京报记者在河南郑州再次进行测试。
在河南设立公司或个体工商户,多数通过“河南全程电子化平台”(简称电子化平台)网上办理。而登录电子化平台前和法定代表人、股东签名时,均需使用“河南掌上登记”App通过人脸识别。公开资料显示:2019年9月,河南掌上登记已实现自然人活体识别验证。
6月26日上午10时30分,新京报记者向一位“代实名”中介提出过“河南掌上登记”的需求,并只向对方提供了需要过实名者的名字和身份证号。30分钟后,该中介回复称,“准备好了”。记者把登录电子化平台的二维码发给对方后,记者所使用的电脑页面随即跳转到了电子化平台的“业务办理”页面。
一位代理注册公司的从业者介绍称,进入“业务办理”页面,说明“代实名”中介已通过了“河南掌上登记”的人脸识别,并使用该软件扫码。企业设立过程中,填写完企业信息提交审核时,还需要再次通过人脸识别,并使用手机进行签名。
6月26日12时许,记者在电子化平台上填写完需要设立“个体工商户”的其他信息后,将“本人签名”二维码再次发给中介,十几分钟后,页面显示签名已完成。6月28日,新京报记者从郑州市金水区一市场监督管理所,领取到了新注册的个体工商户的营业执照和副本。
代理记账行业相关从业者介绍称,设立个体工商户和设立公司流程类似,只是设立个体户一人即可,设立公司至少需要两人,分别担任法定代表人和监事职务。“代实名”中介能够在设立个体户的过程中,破解实名认证,这意味着,在河南同样可以使用他人身份设立公司。
公司股东可被“秘密”撤换
在郑州从事代理公司注册10余年的老沈称,公司的设立、注销,法人、股东变更等,都可以通过电子化平台完成,过程中认定“本人是否知情”的核心环节,就是“人脸识别”。如果“企业登记”App的人脸识别被不法人员破解,那意味着他们不仅可以利用他人信息注册公司,还能对公司进行注销、变更法人、股东等商事业务。
6月30日,新京报记者借用朋友的公司测试发现,在法定代表人配合的情况下,通过“代实名”的操作,公司的股东可以被“秘密”撤换。按照公司股东变更的正常流程,在电子化平台提交股东变更资料后,需要该公司的所有股东,扫码完成电子签名。而中介通过“代实名”,就可以完成这些操作。
调查中记者发现,完成“河南掌上登记”“湖南企业登记”App的实名注册,最核心的两个环节,分别是上传当事人的身份证照片和人脸识别认证。
“代实名”中介在只有当事人身份证号的情况下,如何通过所有的流程呢?
据江苏电视台报道,2021年12月份,一个“代实名”的8人团伙被常州警方抓获,该团伙利用AI换脸技术“骗过”政务网站的人脸识别认证,在审讯过程中,犯罪嫌疑人还向警方演示了用多个制图软件让图片动起来的过程。
一位“代实名”中介向记者介绍,他们通过AI技术,破解人脸识别认证。他向记者发送的一段演示视频显示,提取静态图片中人物的脸部信息后,用电脑软件让人物完成眨眼、点头的动作,最终通过了某一款App的实名认证,整个过程只用了3分钟。
至于当事人的照片,中介表示可以通过“查档”获取。
在郑州注册个体工商户过程中,记者只向中介提供了当事人的名字和身份证号,在中介使用“河南掌上登记”App扫码后,页面跳转进入电子化平台。记者在电子化平台发现当事人的身份证照片,已提交在平台中。代理公司注册行业从业者介绍,该照片是中介在注册“河南掌上登记”时,通过手机上传的图片,该信息会自动同步到电子化平台。
令人惊讶的是,与被实名者本人所持有的真实身份证对比可见,照片的身份证头像、名字、民族等信息均一致。不同的是,户籍地址和身份证有效期。
新京报记者调查发现,在网络“黑产”中,有人收费“查档”。只要提供姓名、身份证号,就可以买到当事人的户籍信息,其中包含当事人的证件照、性别、民族,以及户籍所在的区县,但未详细到具体住址。
8月10日,公安部网络安全保卫局副局长李彤表示,犯罪分子用于实施“AI换脸”的物料主要为照片,特别是身份证照片,同时结合人员姓名、身份证号来突破人脸识别验证系统。
AI换脸进行实名验证涉嫌多项违法
近年来,“被法人”的现象并不鲜见。
2022年7月,黑龙江一名男子2017年丢失身份证后,莫名担任了河北曲阳县一销售公司的独资股东,其名下的公司拖欠税款641万元。2019年,重庆一高校教师发现,自己莫名成了山东一家公司的法定代表人,而该公司拖欠债款未还,导致他被法院列入失信人名单。
中介老沈称,使用他人信息设立的公司,多数是为从事非法活动逃避法律责任,公司可能会被用于虚开发票、洗钱、诈骗或从事其他不法经营行为。
奇安信集团行业安全研究中心主任裴智勇介绍,人脸和指纹都属于生物识别的范畴,它们都具有可以复制的特点,但在网络验证中,它们并不是一个特别安全的密钥。
裴智勇认为,人脸识别是基于算法进行的,只要App的人脸验证方式是固定的,就可以逆向计算出破解的方法,用图片生成破解的3D图像,“我们在实验中发现,虽然使用电脑生成的3D图像,跟真人对比是有很大失真的,但是这种图像是专门针对某个人脸识别系统做的,识别系统需要什么数值,图像反馈出相应的数值,就能骗过人脸识别的系统。”
裴智勇建议,使用人脸识别技术,应加入其他的验证手段进行辅助,比如常见的短信验证、电话验证或大数据验证,这样相对更安全。
一位不愿具名的AI算法工程师介绍,通过AI技术,可以使照片中的人物完成眨眼、点头等动作,骗过具有活体检测性能的人脸识别App的验证。近两年,AI换脸被广泛使用,攻击者也可通过劫持数据包的方式,将真实人脸信息替换为虚假人脸信息,通过人脸检测。
8月8日,国家网信办发布的“人脸识别技术应用安全管理规定(试行)”征求意见稿中明确,人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
国浩律师(石家庄)事务所李资睦律师认为,使用AI换脸技术,在政务App中进行虚假的实名认证,不仅涉嫌非法处理公民个人信息,还属于非法侵入计算机信息系统的行为。这两个行为涉嫌违反《民法典》《个人信息保护法》《刑法》等相关法律法规,相关人员将可能承担民事责任、行政责任以及刑事责任。
8月10日,李彤表示,为防范和打击此类新型犯罪,公安机关联合国家重点实验室等单位,开展人脸识别与活体检测技术安全测评,覆盖了境内用户量大、问题隐患突出的即时通讯、网络直播、网络社交、电商平台、金融支付等重点App,及时发现人脸识别验证系统存在的风险隐患,通报运营主体升级安全保护措施和人脸识别算法。公安机关依托“净网”专项行动,严打泄露身份证照片等图像信息的犯罪源头,自2020年以来,已破获“AI换脸”案件79起,抓获犯罪嫌疑人515名。