A polícia e agências federais estão respondendo a uma enorme violação de dados pessoais ligados a um esquema de reconhecimento facial que foi implementado em bares e clubes em toda a Austrália. O incidente destaca preocupações emergentes com a privacidade à medida que o reconhecimento facial com inteligência artificial se torna mais amplamente utilizado em locais que vão desde shoppings até eventos esportivos.
A empresa afetada é a Outabox, com sede na Austrália e também com escritórios nos Estados Unidos e nas Filipinas. Em resposta à pandemia de Covid-19, a Outabox lançou um quiosque de reconhecimento facial que escaneia visitantes e verifica sua temperatura. Os quiosques também podem ser usados para identificar jogadores problemáticos que se inscreveram em uma iniciativa de autoexclusão. Nesta semana, um site chamado “Have I Been Outaboxed” surgiu, alegando ter sido criado por ex-desenvolvedores da Outabox nas Filipinas. O site pede aos visitantes que informem seus nomes para verificar se suas informações foram incluídas em um banco de dados de dados da Outabox, que o site alega ter controles internos fracos e ter sido compartilhado em uma planilha não segura. O site afirma ter mais de 1 milhão de registros.
O incidente incomodou especialistas em privacidade que há muito tempo têm alertado sobre a expansão dos sistemas de reconhecimento facial em espaços públicos, como clubes e cassinos.
“Infelizmente, este é um exemplo horrível do que pode acontecer como resultado da implementação de sistemas de reconhecimento facial invasivos à privacidade”, diz Samantha Floreani, chefe de políticas da organização sem fins lucrativos australiana Digital Rights Watch, à WIRED. “Quando defensores da privacidade alertam sobre os riscos associados aos sistemas baseados em vigilância como este, as violações de dados são um deles.”
De acordo com o site Have I Been Outaboxed, os dados incluem “biometria de reconhecimento facial, digitalização da carteira de motorista, assinatura, dados de associação ao clube, endereço, data de nascimento, número de telefone, marcas de hora da visita ao clube, uso de máquinas caça-níqueis.” Ele afirma que a Outabox exportou o “conjunto inteiro de dados de associação” da IGT, um fornecedor de máquinas de jogo. O vice-presidente de comunicações globais da IGT, Phil O’Shaughnessy, informa à WIRED que “os dados afetados por este incidente não foram obtidos da IGT,” e que a empresa trabalhará com a Outabox e as autoridades policiais.
Os proprietários do site postaram uma foto, assinatura e uma carteira de motorista censurada pertencente a um dos fundadores da Outabox, além de uma captura de tela censurada da suposta planilha interna. A WIRED não conseguiu verificar de forma independente a identidade dos proprietários do site ou a autenticidade dos dados que alegavam possuir. Um e-mail enviado para um endereço no site não foi respondido.
“A Outabox está ciente e está respondendo a um incidente cibernético potencialmente envolvendo algumas informações pessoais”, disse um porta-voz da Outabox à WIRED. “Estivemos em contato com um grupo de nossos clientes para informá-los e delinear nossa estratégia de resposta. Devido à investigação policial australiana em andamento, não podemos fornecer mais informações neste momento.”
A força policial de New South Wales confirmou à WIRED que estava investigando uma violação de dados na quarta-feira, mas um porta-voz se recusou a fornecer mais detalhes. Na quinta-feira, a força anunciou que, em colaboração com agências federais e estaduais, havia prendido um homem de 46 anos não identificado em um subúrbio de Sydney. Ele é esperado para ser acusado de extorsão.
