La découverte a été faite par le chercheur John Wethington, qui en a fait part à TechCrunch. Un serveur Elasticsearch était accessible sans le moindre mot de passe alors qu'il contenait des « mois d'analyses de reconnaissance faciale sur des centaines de personnes ».

L'âge approximatif des personnes est indiqué, ainsi que des détails physiques : bouche ouverte ou fermée, présence de lunettes, port d'un masque, d'une barbe, etc. Des informations ethniques étaient également présentes.

Des « alertes » sont émises lorsqu'un individu recherché ou surveillé est détecté, avec parfois la raison en plus : toxicomanie, « libéré de prison », etc. Les possibilités sont surement encore plus grandes, surtout dans un pays pratiquant massivement la surveillance.

Au moins deux quartiers de Pékin sont concernés. Le serveur était hébergé sur Alibaba Cloud et appartenait à un client non identifié. Nos confrères ont informé la société et, rapidement, l'accès au serveur a été coupé.