La policía y las agencias federales están respondiendo a una filtración masiva de datos personales vinculada a un sistema de reconocimiento facial que se implementó en bares y discotecas de toda Australia. El incidente pone de relieve las preocupaciones emergentes sobre la privacidad a medida que el reconocimiento facial basado en inteligencia artificial se utiliza cada vez más en todas partes, desde centros comerciales hasta eventos deportivos.
La empresa afectada es Outabox, con sede en Australia, que también tiene oficinas en Estados Unidos y Filipinas. En respuesta a la pandemia de Covid-19, Outabox estrenó un quiosco de reconocimiento facial que escanea a los visitantes y controla su temperatura. Los quioscos también se pueden utilizar para identificar a los jugadores problemáticos que se inscribieron en una iniciativa de autoexclusión. Esta semana, surgió un sitio web llamado «Have I Been Outaboxed», que afirma haber sido creado por antiguos desarrolladores de Outabox en Filipinas. El sitio web pide a los visitantes que ingresen su nombre para verificar si su información se había incluido en una base de datos de Outabox, que según el sitio tenía controles internos laxos y se compartía en una hoja de cálculo no segura. Afirma tener más de 1 millón de registros.
El incidente ha irritado a los expertos en privacidad que han largas campanas de alarma sobre el avance de los sistemas de reconocimiento facial en espacios públicos como clubes y casinos.
«Lamentablemente, este es un ejemplo horrible de lo que puede suceder como resultado de la implementación de sistemas de reconocimiento facial que invaden la privacidad», le dice a WIRED Samantha Floreani, jefa de políticas de Digital Rights Watch, una organización sin fines de lucro de privacidad y seguridad con sede en Australia. «Cuando los defensores de la privacidad advierten sobre los riesgos asociados con sistemas de vigilancia como este, las violaciones de datos son uno de ellos».
Según el sitio web Have I Been Outaboxed, los datos incluyen “reconocimiento facial biométrico, licencia de conducir [sic] escaneo, firma, datos de membresía del club, dirección, fecha de nacimiento, número de teléfono, marcas de tiempo de visita al club, uso de máquinas tragamonedas”. Afirma que Outabox exportó los «datos completos de membresía» de IGT, proveedor de máquinas de juego. El vicepresidente de comunicaciones globales de IGT, Phil O’Shaughnessy, le dice a WIRED que «los datos afectados por este incidente no se obtuvieron de IGT» y que la empresa trabajaría con Outabox y las autoridades.
Los propietarios del sitio web publicaron una foto, una firma y una licencia de conducir redactada perteneciente a uno de los fundadores de Outabox, así como una captura de pantalla redactada de la supuesta hoja de cálculo interna. WIRED no pudo verificar de forma independiente la identidad de los propietarios del sitio web ni la autenticidad de los datos que afirmaban tener. Un correo electrónico enviado a una dirección del sitio web no fue devuelto.
«Outabox está al tanto y está respondiendo a un incidente cibernético que potencialmente involucra cierta información personal», le dice a WIRED un portavoz de Outabox. «Hemos estado en comunicación con un grupo de nuestros clientes para informarles y delinear nuestra estrategia para responder. Debido a la actual crisis australiana investigación policial, no podemos proporcionar más información en este momento”.
La policía de Nueva Gales del Sur confirmó a WIRED que estaba investigando una violación de datos el miércoles, pero un portavoz se negó a compartir más detalles. El jueves, la fuerza anunció que, en colaboración con agencias federales y estatales, arrestó a un hombre anónimo de 46 años en un suburbio de Sydney. Se espera que sea acusado de chantaje.