A polícia e agências federais estão respondendo a uma enorme violação de dados pessoais vinculados a um esquema de reconhecimento facial que foi implementado em bares e clubes em toda a Austrália. O incidente destaca as crescentes preocupações com a privacidade à medida que o reconhecimento facial alimentado por inteligência artificial se torna mais amplamente utilizado, desde shoppings até eventos esportivos.

A empresa afetada é a Outabox, com sede na Austrália e escritórios também nos Estados Unidos e nas Filipinas. Em resposta à pandemia de Covid-19, a Outabox lançou um quiosque de reconhecimento facial que verifica os visitantes e verifica sua temperatura. Os quiosques também podem ser usados para identificar jogadores problemáticos que se inscreveram em uma iniciativa de auto-exclusão. Esta semana, um site chamado “Have I Been Outaboxed” surgiu, alegando ser criado por ex-desenvolvedores da Outabox nas Filipinas. O site pede aos visitantes que informem seu nome para verificar se suas informações foram incluídas em um banco de dados de dados da Outabox, que o site alega ter controles internos frouxos e foi compartilhado em uma planilha não segura. Ele afirma ter mais de 1 milhão de registros.

O incidente irritou especialistas em privacidade que há muito tempo têm levantado o alerta sobre a expansão dos sistemas de reconhecimento facial em espaços públicos, como clubes e cassinos.

“Infelizmente, este é um exemplo horrível do que pode acontecer como resultado da implementação de sistemas de reconhecimento facial invasivos da privacidade”, diz Samantha Floreani, chefe de política da Digital Rights Watch, organização sem fins lucrativos de privacidade e segurança com sede na Austrália, à WIRED. “Quando defensores da privacidade alertam sobre os riscos associados a sistemas baseados em vigilância como este, as violações de dados são um deles”.

De acordo com o site Have I Been Outaboxed, os dados incluem “biometria de reconhecimento facial, digitalização de carteira de motorista, assinatura, dados de associação ao clube, endereço, data de nascimento, número de telefone, horários de visita ao clube, uso de máquinas caça-níqueis”. Ele alega que a Outabox exportou os “dados de associação inteira” da IGT, um fornecedor de máquinas de jogos de azar. O vice-presidente de comunicações globais da IGT, Phil O’Shaughnessy, diz à WIRED que “os dados afetados por este incidente não foram obtidos da IGT” e que a empresa trabalhará com a Outabox e as autoridades policiais.

Os proprietários do site publicaram uma foto, assinatura e uma carteira de motorista editada pertencente a um dos fundadores da Outabox, bem como uma captura de tela editada da suposta planilha interna. A WIRED não conseguiu verificar de forma independente a identidade dos proprietários do site ou a autenticidade dos dados que afirmam ter. Um e-mail enviado para um endereço no site não foi respondido.

“A Outabox está ciente e está respondendo a um incidente cibernético que potencialmente envolve algumas informações pessoais”, disse um porta-voz da Outabox à WIRED. “Estivemos em comunicação com um grupo de nossos clientes para informá-los e esboçar nossa estratégia de resposta. Devido à investigação policial australiana em andamento, não podemos fornecer mais informações neste momento”.

A força policial de New South Wales confirmou à WIRED que estava investigando uma violação de dados na quarta-feira, mas um porta-voz se recusou a compartilhar mais detalhes. Na quinta-feira, a força policial, trabalhando em conjunto com agências federais e estaduais, prendeu um homem de 46 anos não identificado em um subúrbio de Sydney. Ele deve ser acusado de extorsão.