Outabox, חברה אוסטרלית שסרקה פרצופים לאיתור ברים ומועדונים, סבלה מפרצה שמראה את הבעיות במתן הנתונים הביומטריים שלך לחברות.
המשטרה והסוכנויות הפדרליות מגיבות להפרה מאסיבית של נתונים אישיים הקשורים לתוכנית זיהוי פנים שיושמה בברים ומועדונים ברחבי אוסטרליה. התקרית מדגישה חששות מתעוררים של פרטיות כאשר זיהוי פנים המופעל על ידי בינה מלאכותית נעשה שימוש נרחב יותר בכל מקום, מקניונים ועד לאירועי ספורט.
החברה שנפגעה היא Outabox מאוסטרליה, שיש לה גם משרדים בארצות הברית ובפיליפינים. בתגובה למגפת Covid-19, Outabox השיקה לראשונה קיוסק לזיהוי פנים שסורק מבקרים ובודק את הטמפרטורה שלהם. ניתן להשתמש בקיוסקים גם לזיהוי מהמרים בעייתיים שנרשמו ליוזמה של הדרה עצמית. השבוע, צץ אתר אינטרנט שטען כי הוקם על ידי מפתחי Outabox לשעבר בפיליפינים בשם "האם יש לי Outaboxed". האתר ביקש מהמבקרים להזין את שמם כדי לבדוק אם המידע שלהם כלול במסד נתונים של נתוני Outabox, שלטענת האתר היו בקרה פנימית רופפת ושותף בגיליון אלקטרוני לא מאובטח. היא טענה שיש לה יותר ממיליון רשומות.
התקרית דירגה מומחי פרטיות שהפעילו זה מכבר פעמוני אזעקה על זחילתן של מערכות זיהוי פנים במרחבים ציבוריים כמו מועדונים ובתי קזינו.
"למרבה הצער, זו דוגמה נוראית למה שיכול לקרות כתוצאה מהטמעת מערכות זיהוי פנים פולשניות לפרטיות", אומרת ל-WIRED סמנתה פלוריאני, ראש המדיניות של עמותת Digital Rights Watch מבוססת אוסטרליה על פרטיות ואבטחה. "כאשר תומכי הפרטיות מזהירים מפני הסיכונים הכרוכים במערכות מבוססות מעקב כמו זה, הפרות מידע הן אחת מהן."
לפי אתר Have I Been Outaboxed, הנתונים כוללים "ביומטרי זיהוי פנים, סריקת רישיון נהיגה, חתימה, נתוני חברות במועדון, כתובת, יום הולדת, מספר טלפון, חותמות זמן של ביקור במועדון, שימוש במכונות מזל". היא טענה כי Outabox ייצאה את "כל נתוני החברות" של IGT , ספקית של מכונות הימורים. סמנכ"ל התקשורת העולמית של IGT, פיל או'שונסי, אומר ל-WIRED "הנתונים שהושפעו מהאירוע הזה לא הושגו מ-IGT" וכי החברה תעבוד עם Outabox ועם רשויות אכיפת החוק.
בעלי האתר פרסמו תמונה, חתימה ורישיון נהיגה מעודכן השייכים לאחד ממייסדי Outabox, וכן צילום מסך מתוקן של הגיליון האלקטרוני הפנימי לכאורה. WIRED לא הצליחה לאמת באופן עצמאי את זהות בעלי האתר או את האותנטיות של הנתונים שהם טענו שיש להם. מייל שנשלח לכתובת באתר לא הוחזר.
"Outabox מודע ומגיב לאירוע סייבר שעלול להיות מעורב במידע אישי כלשהו", אמר דובר Outabox ל-WIRED "היינו בתקשורת עם קבוצה של לקוחותינו כדי ליידע אותם ולהתווה את האסטרטגיה שלנו להגיב. בשל חקירת המשטרה האוסטרלית המתמשכת, איננו יכולים לספק מידע נוסף בשלב זה".
כוח משטרת ניו סאות' ויילס אישר ל-WIRED כי הוא חוקר פריצת מידע ביום רביעי, אך דובר סירב לחלוק פרטים נוספים. ביום חמישי הודיע הכוח כי הוא , בעבודה לצד סוכנויות פדרליות ומדינתיות, עצר גבר בן 46 אלמוני בפרבר של סידני. הוא צפוי להיות מואשם בסחיטה.
מועדונים שהשתמשו בטכנולוגיה של Outabox פרסמו הודעות על התקרית והודיעו ללקוחות השבוע. אדם אחד שפרסם הודעה על הפרה ממועדון שבו ביקר סיפר על הניסיון שלו עם מערכת זיהוי הפנים. "הזיכרון הכי טוב שלי מהמערכת הזו הוא ביקור במועדון ושהוא יתאים את פניי בביטחון לחבר שהיה בבירור מבוגר ממני ב-20+ שנה ולא נראה כמוני", הם כתבו בציוץ . מהמועדון לא נמסרה תגובה.
האתר Have I Been Outaboxed, שעדיין מקוון בזמן כתיבת שורות אלו, טוען כי Outabox הפסיקה לשלם למפתחים שלה בפיליפינים. חברות בינה מלאכותית מעסיקות לעתים קרובות כוח אדם בעלות נמוכה מעבר לים, כולל בפיליפינים , כדי להפעיל את המערכות שלהן. האתר מעודד כל מי שהנתונים שלו כלולים בהפרה לפנות למקומות ולבקש מהם להסיר את המערכת של Outabox. האתר, שהוקם בשבוע שעבר על פי רישומים מקוונים , מציג 19 מקומות. WIRED חיפש במסד הנתונים אחר אוסטרלים בולטים, כולל פוליטיקאים, והוא החזיר תוצאות ערוכות המפרטות את שמם ואת המקומות שבהם נכחו לכאורה.
"אנו מודעים לאתר זדוני הנושא מספר הצהרות כוזבות שנועדו לפגוע בעסק שלנו ולהכפיש את הצוות הבכיר שלנו", אומר דובר אאוטבוקס. "אנו מאמינים שזה קשור וקוראים לאנשים לא לחזור על מידע מוטעה שגוי ומזיק למוניטין". Outabox סירבה לפרט אילו הצהרות הן כוזבות, תוך ציון חקירת המשטרה.
לא ברור כמה מהסיפור שסופר באתר Have I Been Outaboxed נכון, או אם למבצעים יש בכלל הנתונים הביומטריים הנטענים. מומחה אבטחת הסייבר האוסטרלי טרוי האנט, מייסד אתר ההתראות על הפרות Have I Been Pwned , אומר ל-WIRED שאין סיבה לפקפק בכך בשלב זה.
"לא ראיתי שום סיבה לא לקחת את זה כערך נקוב, מה שאומר שיש להם בדיוק מה שהם אומרים שיש להם", הוא אומר. בציוצים העלה האנט השערה שייתכן כי לפרסום האתר קדמו דרישות שלא נענו, וכי מעשיהם של העבריינים "נוחתים בבירור" בתחום הפלילי.
"Offshoring הוא דיון מבולגן בין החוקיות של ריבונות נתונים, חסרונות נתפסים של עבודה זרה, ולמען האמת, מנה גדולה של שנאת זרים", אומר האנט. "זה לא שמפתחים אוסטרליים שעושים בדיוק את אותו הדבר היו עושים את זה בסדר."
Floreani, מ-Digital Rights Watch, אומר שהתקרית ממחישה את "ההשלכות השליליות המשמעותיות" שיכולות לנבוע מאיסוף נתונים ביומטריים רגישים. "אנחנו צריכים רפורמת פרטיות נועזת ומגבלות קפדניות על טכנולוגיית זיהוי פנים", היא אומרת. "כמו תמיד, מעקב אינו בטיחותי