2022. december 13.
Az elmúlt időben nagyon népszerű lett a Lensa AI nevű alkalmazás, melyről több hazai médium is beszámolt, ezen kívül a népszerű közösségi felületeken, pl. TikTok, Instagram kezdett el terjedni szélsebesen.
Az alkalmazás lényege röviden az, hogy fel kell tölteni 10-15 jó minőségű arcképet, amit utána az AI feldolgoz és különféle stílusban visszaadja azokat.
„Welcome to Prisma Labs, Inc., a mobile technology company specializing in deep learning-related products. Our goal is to move forward mobile photography and video creation to the next level using neural networks, deep learning and computer vision technics. We aim to create new ways for people to express their emotions through the camera.”
Az alkalmazás egyaránt elérhető iOS és Android készülékre is.
A cég, ami az egész mögött áll, egy USA székhelyű, Kaliforniában bejegyzett jogi személyiség:
Prisma Labs, Inc.
Suite D2028
440 N Wolfe Rd
Sunnyvale, CA 94085.
A weboldalukon jól látszik, hogy a Lensa nevű alkalmazáson kívül van egy korábbi, hasonló elven működő Prisma nevű alkalmazásuk is, ami anno szintén népszerű volt.
A „rólunk” menüben egy nagyon rövid, szinte semmitmondó leírás található, melyből kiderül, hogy 2016-ban alapították a céget, de a vezetőség és a munkatársak nevei, képei nincsenek feltüntetve.
A domain nevet megvizsgálva megállapítható, hogy azt 2016.05.15-én regisztrálták, tulajdonosa ismeretlen (rejtett).
A domain névszervereinek a Cloudflare van beállítva, ami kifejezetten egy olyan megoldást kínál, amivel az eredeti szerverek IP címeit el lehet rejteni. Úgymond proxyként működik az eredeti szerver és a látogató között. Természetesen az IP cím rejtés mellett különféle gyorsítótárazási, terheléselosztási és védelmi megosztásokat is biztosít, de köztudott, hogy rengeteg illegális szolgáltatást nyújtó weboldal a Cloduflare mögé bújik a névtelenség érdekében.
A SecurityTrails nevű biztonsági szakemberek körében népszerű szolgáltatással megvizsgálva a domaint megállapítható, hogy az első IP cím, ami még a CloudFlare mögé rejtés előtt volt, egy orosz IP cím:
A cég megtalálható LinkedIn-en is, amit összesen 66 személy jelölt meg munkahelyének, melyeket megvizsgálva oroszok vannak többségben. A cégnek összesen 5 alapítója van.
A cég fő alapítója Alexey Moiseenkov volt.
LinkedIn profiljában látszik, hogy a mail.ru e-mail szolgáltatónál is dolgozott, ahol ezt kiemelném: „From the start of 2016 led a secret service team.”
A technológiai vezetőt (CTO) és társalapítót Oleg Poyaganov-nak hívják, aki orosz állampolgár.
A cég vezetője (CEO) és másik társalapítója Andrey Usoltsev.
Andrey adatlapja alapján korábban a Yandex nevű cégnél dolgozott majdnem 6 évet. A Yandex egy nagy orosz cég, mely köztudottan szoros kapcsolatban áll az orosz nemzetbiztonsági szolgálatokkal.
A cég harmadik társalapítója Alexey Moiseenkov.
Alexey a Szentpétervári Műszaki Egyetemen tanult alkalmazott informatikát. Korábban dolgozott a legnagyobb orosz e-mail szolgáltatónál, a mail.ru-nál és a Yandexnél is. Szentpéterváron született, jelenleg Londonban él.
Negyedik társalapító pedig Ilya Frolov, szintén orosz állampolgár.
A fenti személyeken kívül több másik személy is különféle orosz állami egyetemeken végzett, oroszul beszélő szakember, többen voltak a Yandexnél is.
Az alkalmazottak nagy részénél Ciprus, Limassol városa van feltüntve, mint tartózkodási hely, innen működik operatíve a cég. Ciprusról érdemes tudni, hogy rengeteg orosz lakik benne, a Limassol városában élő oroszoknak külön becenevük is van, Limassolgrad. Emiatt tekinthetjük ezt az FSZB előretolt bázisának is.
A cég indulás után nem sokkal befektetők is beszálltak támogatni a projektet, köztük van a mail.ru cégcsoport és az XBT Holding is.
Az XBT Holdingot azért is fontos kiemelni, mert azt egy Alexey Gubarev nevű személy alapította.
Az ő személyéhez már számtalan zűrös ügy kapcsolódik:
A Steele-dossziéban szereplő céget orosz kémek használhatták
Adatvédelmi szabályzatuk fontosabb részei:
- A feltöltött képek meta adatait tárolhatják. (pl. geotag)
- Automatikusan begyűjtik a felhasználó IP címét, a felhasználó telefonjának adatait (eszközazonosító, operációs rendszer verziója, hálózati adatok, eszköz típusa)
- Az adatok tárolására a Google Cloud Platformot és az Amazon Web Servicest használják.
- Az adatokat amerikai és ciprusi szerverekre továbbíthaják.
„A Társaság székhelye az Egyesült Államokban található. Ennek megfelelően az Ön személyes adatai az Egyesült Államokban lévő szerverekre továbbíthatók és azokon tárolhatók. Személyes adatai bármely országba továbbíthatók, ahol a Google Cloud Platform és az Amazon Web Services szerverekkel rendelkezik/használ. Mivel a Vállalatnak ciprusi székhelyű fejlesztési és marketingcsapata van, az Ön személyes adatait ciprusi szerverekre is továbbíthatjuk, és ott tárolhatjuk.” - Adatvédelmi tisztviselőnek (GDPR érintett országok esetében) egy ciprusi céget neveztek meg. (DPOEU LTD, Office 902 Oval Krinou 3Ayios Athanasios 4103 Limassol, Cyprus ,Email: [email protected].)
Összefoglalás, konzekvenciák levonása:
Bár a cég magát amerikai illetőségűnek próbálja beállítani és minden technológiai szinten is annak tűnik, valójában egy oroszok által alapított és működtetett cég. A benne található személyek és a befektetők igen erős szálakkal kötődnek Oroszországhoz és olyan vállalatokhoz, amelyek szoros kapcsolatban állhatnak az orosz nemzetbiztonsági szolgálattal, az FSZB-vel.
Tekintve, hogy a felhasználók a saját arcképeiket töltik fel az orosz állampolgárok által üzemeltetett rendszerbe és azok ciprusi – és akár orosz- szerverekre is továbbítódhatnak, továbbá a munkatársaknak több kötődése is van Moszkvához és jelentős orosz állami vállalatokhoz, felmerül a gyanúja annak, hogy a megszerzett arcképeket az orosz állam felhasználja magának is. Sajnos teljesen nyomonkövethetelen az, hogy mi történik a feltöltött adatokkal és kihez kerülnek, a rendszer nincs auditálva és ellenőrizve senki által. Bár a cég az adatvédelmi szabályzatában azt állítja, hogy a feltöltött képeket 24 óra múlva törli, erre semmi garancia nincs, ez nem ellenőrizhető, hogy valóban így van-e. Az arckép egy fontos és egyedi azonosítója egy személynek, amiből egyrészt profilozni lehet valakit, másrészt egy adott személyt könnyebb beazonosítani a világhálón ezáltal (feltárni a profiljait, kapcsolatait stb).
Tovább árnyalja a képet a cég átláthatatlan, nem transzparens működése, a technológiai elemei rejtése. Mindezek komoly adatvédelmi aggályokat feszegetnek az állampolgárok tekintetében, ezért rendkívül fontos, hogy mindig győződjünk meg egy népszerű szolgáltatás mögött álló cég hátteréről és lehetőség szerint ne adjuk ki arcképünket vagy bármilyen más személyes adatunkat, hiszen sokszor nem tudni, hogy valójában ki is állhat egy-egy szolgáltatás mögött valójában és milyen célokra használja fel a kezelt adatokat.