A polícia e agências federais estão respondendo a uma violação massiva de dados pessoais relacionados a um esquema de reconhecimento facial que foi implementado em bares e clubes em toda a Austrália. O incidente destaca preocupações emergentes com a privacidade à medida que o reconhecimento facial powered por IA se torna mais amplamente utilizado em lugares que vão de shoppings a eventos esportivos.
A empresa afetada é a Outabox, com sede na Austrália e também escritórios nos Estados Unidos e nas Filipinas. Em resposta à pandemia de Covid-19, a Outabox lançou um quiosque de reconhecimento facial que escaneia visitantes e verifica sua temperatura. Os quiosques também podem ser usados para identificar jogadores problemáticos que se inscreveram em uma iniciativa de autoexclusão. Esta semana, um site chamado “Have I Been Outaboxed” surgiu, alegando ser criado por ex-desenvolvedores da Outabox nas Filipinas. O site pede aos visitantes que digitem seus nomes para verificar se suas informações foram incluídas em um banco de dados de dados da Outabox, que o site alega ter controle interno fraco e ter sido compartilhado em uma planilha não segura. Alega ter mais de 1 milhão de registros.
O incidente irritou especialistas em privacidade que há muito tempo têm tocado o alarme sobre a expansão dos sistemas de reconhecimento facial em espaços públicos como clubes e cassinos.
“Infelizmente, este é um exemplo horrível do que pode acontecer como resultado da implementação de sistemas invasivos de reconhecimento facial”, disse Samantha Floreani, chefe de política da organização sem fins lucrativos australiana de privacidade e segurança Digital Rights Watch, à WIRED. “Quando defensores da privacidade alertam sobre os riscos associados a sistemas baseados em vigilância como este, violações de dados são uma delas.”
Segundo o site Have I Been Outaboxed, os dados incluem “biometria de reconhecimento facial, escaneamento de carteira de motorista, assinatura, dados de associação ao clube, endereço, data de nascimento, número de telefone, horários de visita ao clube, uso de máquinas caça-níqueis.” Ele alega que a Outabox exportou o “conjunto completo de dados de associação” da IGT, fornecedora de máquinas de jogos de azar. O vice-presidente de comunicações globais da IGT, Phil O’Shaughnessy, disse à WIRED que “os dados afetados por este incidente não foram obtidos da IGT” e que a empresa trabalhará com a Outabox e as autoridades policiais.
Os proprietários do site postaram uma foto, assinatura e carta de motorista retificada pertencentes a um dos fundadores da Outabox, bem como uma captura de tela retificada da suposta planilha interna. A WIRED não conseguiu verificar independentemente a identidade dos proprietários do site ou a autenticidade dos dados que afirmaram ter. Um e-mail enviado para um endereço no site não foi respondido.
“A Outabox está ciente e respondendo a um incidente cibernético potencialmente envolvendo algumas informações pessoais”, disse um porta-voz da Outabox à WIRED. “Estamos em comunicação com um grupo de nossos clientes para informá-los e esboçar nossa estratégia de resposta. Devido à investigação policial australiana em curso, não podemos fornecer mais informações neste momento.”
A força policial de New South Wales confirmou à WIRED que estava investigando uma violação de dados na quarta-feira, mas um porta-voz se recusou a compartilhar mais detalhes. Na quinta-feira, a força anunciou que, trabalhando ao lado de agências federais e estaduais, havia prendido um homem de 46 anos não identificado em um subúrbio de Sydney. Ele deverá ser acusado de extorsão.
