Polis ve federal kurumlar, Avustralya’daki bar ve kulüplerde uygulanan yüz tanıma planıyla bağlantılı büyük bir kişisel veri ihlaline yanıt veriyor. Bu olay, yapay zeka destekli yüz tanımanın alışveriş merkezlerinden spor etkinliklerine kadar her yerde daha yaygın olarak kullanılmasıyla ortaya çıkan gizlilik endişelerini vurguluyor.
Etkilenen şirket, Amerika Birleşik Devletleri ve Filipinler’de de ofisleri bulunan Avustralya merkezli Outabox’tır. Outabox, Kovid-19 salgınına yanıt olarak ziyaretçileri tarayan ve ateşlerini kontrol eden bir yüz tanıma kioskunu piyasaya sürdü. Kiosklar aynı zamanda kendini dışlama girişimine katılan sorunlu kumarbazları tespit etmek için de kullanılabilir. Bu hafta, Filipinler’deki eski Outabox geliştiricileri tarafından kurulduğunu iddia eden “Outaboxed Oldum mu?” adlı bir web sitesi ortaya çıktı. Web sitesi, ziyaretçilerden, bilgilerinin, sitenin gevşek iç kontrollere sahip olduğunu ve güvenli olmayan bir e-tabloda paylaşıldığını iddia ettiği Outabox verileri veritabanında yer alıp almadığını kontrol etmek için adlarını girmelerini istedi. 1 milyondan fazla kaydı olduğu iddia edildi.
Olay, kulüpler ve kumarhaneler gibi kamusal alanlarda yüz tanıma sistemlerinin yaygınlaşmasına karşı uzun süredir alarm zilleri çalan gizlilik uzmanlarını rahatsız etti.
Avustralya merkezli gizlilik ve güvenlik kar amacı gütmeyen Dijital Haklar İzleme Örgütü’nün politika başkanı Samantha Floreani, WIRED’e şunları söylüyor: “Ne yazık ki bu, mahremiyete zarar veren yüz tanıma sistemlerinin uygulanması sonucunda neler olabileceğine dair korkunç bir örnek.” “Gizlilik savunucuları bunun gibi gözetim tabanlı sistemlerle ilişkili riskler konusunda uyardığında, veri ihlalleri de bunlardan biri.”
Have I Be Outaboxed web sitesine göre veriler arasında “yüz tanıma biyometrik, sürücü belgesi ve [sic] tarama, imza, kulüp üyelik verileri, adres, doğum günü, telefon numarası, kulüp ziyareti zaman damgaları, slot makinesi kullanımı. Outabox’ın kumar makineleri tedarikçisi IGT’nin “tüm üyelik verilerini” ihraç ettiği iddia edildi. IGT Küresel İletişim Başkan Yardımcısı Phil O’Shaughnessy, WIRED’e “bu olaydan etkilenen verilerin IGT’den alınmadığını” ve firmanın Outabox ve emniyet teşkilatı ile çalışacağını söyledi.
Web sitesinin sahipleri, Outabox kurucularından birine ait bir fotoğraf, imza ve düzeltilmiş sürücü belgesinin yanı sıra, iddia edilen dahili elektronik tablonun redakte edilmiş ekran görüntüsünü yayınladı. WIRED, web sitesi sahiplerinin kimliğini veya sahip olduklarını iddia ettikleri verilerin gerçekliğini bağımsız olarak doğrulayamadı. Web sitesindeki bir adrese gönderilen e-postaya yanıt verilmedi.
Bir Outabox sözcüsü, WIRED’e şunları söyledi: “Outabox, potansiyel olarak bazı kişisel bilgileri içeren bir siber olayın farkında ve bu olaya yanıt veriyor.” “Bir grup müşterimizle onları bilgilendirmek ve yanıt verme stratejimizi özetlemek için iletişim halindeyiz. Devam eden Avustralya polis soruşturması nedeniyle şu anda daha fazla bilgi sağlayamıyoruz.”
Yeni Güney Galler polis gücü WIRED’e Çarşamba günü bir veri ihlalini araştırdığını doğruladı ancak bir sözcü daha fazla ayrıntı paylaşmayı reddetti. Perşembe günü polis teşkilatı, federal ve eyalet kurumlarıyla birlikte çalışarak Sidney banliyösünde ismi açıklanmayan 46 yaşındaki bir adamı tutukladığını duyurdu. Şantajla suçlanması bekleniyor.