Il database cinese esposto mostra la profondità dello stato di sorveglianza
Il database cinese che Victor Gevers ha trovato online non era solo una raccolta di vecchi dettagli personali.
Era una raccolta di dati in tempo reale su oltre 2,5 milioni di persone nella Cina occidentale, aggiornati costantemente con le coordinate GPS della loro precisa ubicazione. Accanto ai loro nomi, date di nascita e luoghi di lavoro, c’erano note sui luoghi che avevano visitato più di recente: osque, hotel, ristorante.
La scoperta di Gevers, un ricercatore olandese sulla sicurezza informatica che l’ha rivelata su Twitter la scorsa settimana, ha offerto uno sguardo raro sull’ampia sorveglianza cinese dello Xinjiang, una regione remota che ospita una minoranza etnica in gran parte musulmana. L’area è stata ricoperta da posti di blocco della polizia e telecamere di sicurezza che, a quanto pare, non si limitano a registrare ciò che accade.
Il database trovato da Gevers sembra aver registrato i movimenti delle persone tracciati dalla tecnologia di riconoscimento facciale, ha detto, registrando più di 6,7 milioni di coordinate in un arco di 24 ore.
Illustra fino a che punto la Cina si sia spinta oltre il riconoscimento facciale, in modi che potrebbero sollevare l’allarme sui problemi di privacy in molti altri paesi, e serve a ricordare con quanta facilità le aziende tecnologiche possono lasciare documenti presumibilmente privati esposti a ficcanaso globali.
Gevers ha scoperto che SenseNets, una società cinese di riconoscimento facciale, aveva lasciato il database non protetto per mesi, esponendo gli indirizzi delle persone, i numeri di identificazione del governo e altro ancora. Dopo che Gevers ha informato SenseNets della perdita, ha detto, il database è diventato inaccessibile.
“Questo sistema era aperto al mondo intero e chiunque aveva pieno accesso ai dati”, ha affermato Gevers, osservando che un sistema progettato per mantenere il controllo sugli individui potrebbe essere stato “corrotto da un dodicenne”.
Ha detto che includeva le coordinate dei luoghi in cui gli individui erano stati recentemente individuati dai “tracker”, probabilmente telecamere di sorveglianza. Il flusso ha indicato che i dati vengono costantemente aggiornati con informazioni su dove si trovano le persone, ha detto in un’intervista su un’app di messaggistica.
Gevers ha pubblicato un grafico online che mostra che il 54,9% degli individui nel database è stato identificato come cinese Han, la maggioranza etnica del paese, mentre il 28,3% era uiguro e l’8,3% era kazako, entrambi gruppi di minoranza etnica musulmana.
Una persona che ha risposto al telefono su SenseNets ha rifiutato una richiesta di commento. Il governo regionale dello Xinjiang non ha risposto alle domande inviate via fax.
Lo Xinjiang, che confina con l’Asia centrale nell’estremo ovest della Cina, è stato oggetto di severe misure di sicurezza negli ultimi anni come parte di quello che secondo il governo è stato un programma di successo per reprimere i movimenti estremisti e separatisti.
Gli Stati Uniti e altri paesi hanno condannato la repressione, in cui si stima che circa 1 milione di uiguri, kazaki e altre minoranze musulmane siano stati detenuti in campi di internamento che secondo il governo sono centri di formazione professionale progettati per liberare la regione dall’estremismo latente.
Gulzia, una donna di etnia kazaka che non voleva che il suo cognome fosse usato per paura di ritorsioni, ha detto che le telecamere sono state installate ovunque, anche nei cimiteri, alla fine del 2017. Ora vive oltre il confine in Kazakistan, ha detto all’Associated Press per telefono lunedì che era stata confinata agli arresti domiciliari in Cina e portata in una stazione di polizia, dove le hanno fotografato il viso e gli occhi e raccolto campioni della sua voce e delle sue impronte digitali.
“Questo può essere usato al posto della tua carta d’identità per identificarti in futuro”, ha detto che le hanno detto. “Anche se hai un incidente all’estero, ti riconosceremo.”
La repressione della sicurezza è molto più pesante nello Xinjiang che nella maggior parte della Cina, sebbene analisti esterni e attivisti per i diritti umani abbiano espresso preoccupazione sul fatto che lo Xinjiang possa essere un banco di prova per tecniche che potrebbero insinuarsi in altre parti del paese.
Joseph Atick, un pioniere nella tecnologia di riconoscimento facciale, ha affermato che i prodotti di riconoscimento facciale possono utilizzare algoritmi per riconoscere e tracciare le persone in mezzo alla folla, ma che le normative sulla privacy in Europa, ad esempio, rendono molto più difficile il lancio di un’applicazione su larga scala come quello di SenseNet.
“La tecnologia in tutto il mondo sta diventando uniforme ed è solo il clima politico che è diverso e porta a diverse applicazioni”, ha affermato.
Secondo un registro delle società, SenseNets è stata fondata nella città di Shenzhen, nel sud della Cina, nel 2015 ed è di proprietà di maggioranza di NetPosa, con sede a Pechino, una società tecnologica specializzata nella videosorveglianza. Il sito web di SenseNets mostra le collaborazioni con le forze di polizia nelle province di Jiangsu e Sichuan e nella città di Shanghai.
Un video promozionale si vanta della capacità di SenseNets di utilizzare il riconoscimento facciale e corporeo per tracciare i movimenti precisi degli individui e identificarli anche in un ambiente affollato o caotico. Un altro video sul suo sito web mostra le telecamere di sorveglianza che si concentrano sul percorso di un prigioniero in fuga che finisce nella stanza d’ospedale di un parente malato.
Il sito web di NetPosa dice che ha uffici a Boston e Santa Clara, in California. Il sito web della filiale statunitense di NetPosa pubblicizza l’uso dei suoi prodotti nell’antiterrorismo urbano.
Negli ultimi anni, NetPosa ha acquistato partecipazioni in startup americane di sorveglianza come Knightscope, un produttore di robot di sicurezza. Nel 2017, NetPosa ha cercato di acquistare il produttore di telecamere di sorveglianza della California, ormai in bancarotta, Arecont, ma in seguito si è tirato indietro, come mostrano i documenti del tribunale.
Nel 2010 il produttore di chip statunitense Intel ha annunciato una partnership strategica con NetPosa e una controllata di Intel ha acquistato una partecipazione nella società, ma NetPosa ha affermato nel 2015 che Intel aveva notificato alla società cinese la sua intenzione di cedere la sua quota del 4,4% entro il 2016.
Gevers ha affermato che la sua scoperta del database ha presentato un dilemma etico. È il co-fondatore della GDI Foundation, un’organizzazione no profit con sede nei Paesi Bassi che trova e informa le entità sui problemi di sicurezza online. È diventato famoso negli ultimi anni per aver aiutato a scoprire informazioni esposte in modo simile su database creati con il programma di database open source MongoDB e non protetti dai loro amministratori.
GDI segnala generalmente tali scoperte all’entità che detiene le informazioni. Parte della sua missione è rimanere neutrale e non impegnarsi in controversie politiche.
Ore dopo aver rivelato le sue scoperte su Twitter, ha detto Gevers, ha appreso che il sistema potrebbe essere utilizzato per sorvegliare le minoranze musulmane dello Xinjiang.
Ha detto che questo lo ha fatto “molto arrabbiato”.
“Avrei potuto distruggere quel database con un solo comando”, ha detto. “Ma scelgo di non giocare a fare il giudice e il boia perché non spetta a me farlo”.
