Polizei und Bundesbehörden reagieren auf einen massiven Verstoß gegen personenbezogene Daten im Zusammenhang mit einem Gesichtserkennungssystem, das in Bars und Clubs in ganz Australien implementiert wurde. Der Vorfall verdeutlicht aufkommende Datenschutzbedenken, da die KI-gestützte Gesichtserkennung überall, von Einkaufszentren bis hin zu Sportveranstaltungen, immer häufiger eingesetzt wird.
Das betroffene Unternehmen ist das in Australien ansässige Unternehmen Outabox, das auch Niederlassungen in den USA und auf den Philippinen hat. Als Reaktion auf die Covid-19-Pandemie hat Outabox stellte einen Kiosk mit Gesichtserkennung vor das Besucher scannt und ihre Temperatur überprüft. Die Kioske können auch dazu verwendet werden, problematische Spieler zu identifizieren, die sich einer Selbstausschlussinitiative angeschlossen haben. Diese Woche tauchte eine Website namens „Have I Been Outaboxed“ auf, die angeblich von ehemaligen Outabox-Entwicklern auf den Philippinen eingerichtet wurde. Die Website fordert Besucher auf, ihren Namen einzugeben, um zu überprüfen, ob ihre Informationen in eine Datenbank mit Outabox-Daten aufgenommen wurden, die nach Angaben der Website laxe interne Kontrollen hatten und in einer ungesicherten Tabelle weitergegeben wurden. Es wird behauptet, über mehr als 1 Million Datensätze zu verfügen.
Der Vorfall hat Datenschutzexperten verärgert Lange Alarmglocken läuten über die Ausbreitung von Gesichtserkennungssystemen in öffentlichen Räumen wie Clubs und Casinos.
„Leider ist dies ein schreckliches Beispiel dafür, was durch die Implementierung datenschutzinvasiver Gesichtserkennungssysteme passieren kann“, sagt Samantha Floreani, Leiterin der Politik der in Australien ansässigen gemeinnützigen Datenschutz- und Sicherheitsorganisation Digital Rights Watch, gegenüber WIRED. „Wenn Datenschützer vor den Risiken warnen, die mit solchen überwachungsbasierten Systemen einhergehen, gehören Datenschutzverletzungen dazu.“
Laut der Website „Have I Been Outaboxed“ umfassen die Daten „biometrische Gesichtserkennung, Führerschein“. [sic] Scan, Unterschrift, Clubmitgliedschaftsdaten, Adresse, Geburtstag, Telefonnummer, Zeitstempel der Clubbesuche, Nutzung von Spielautomaten.“ Es wird behauptet, Outabox habe die „gesamten Mitgliedsdaten“ von exportiert IGT, ein Anbieter von Glücksspielautomaten. Phil O’Shaughnessy, Vizepräsident für globale Kommunikation bei IGT, erklärt gegenüber WIRED, dass „die von diesem Vorfall betroffenen Daten nicht von IGT stammen“ und dass das Unternehmen mit Outabox und den Strafverfolgungsbehörden zusammenarbeiten werde.
Die Eigentümer der Website veröffentlichten ein Foto, eine Unterschrift und einen geschwärzten Führerschein eines der Gründer von Outabox sowie einen geschwärzten Screenshot der angeblichen internen Tabelle. WIRED war nicht in der Lage, die Identität der Eigentümer der Website oder die Authentizität der Daten, über die sie angeblich verfügten, unabhängig zu überprüfen. Eine an eine Adresse auf der Website gesendete E-Mail wurde nicht zurückgesendet.
„Outabox ist sich eines Cyber-Vorfalls bewusst und reagiert darauf, bei dem es möglicherweise um personenbezogene Daten geht“, sagt ein Outabox-Sprecher gegenüber WIRED. „Wir haben mit einer Gruppe unserer Kunden kommuniziert, um sie zu informieren und unsere Strategie zur Reaktion darzulegen. Aufgrund der anhaltenden australischen Krise.“ Aufgrund der polizeilichen Ermittlungen können wir zum jetzigen Zeitpunkt keine weiteren Angaben machen.“
Die Polizei von New South Wales bestätigte WIRED am Mittwoch, dass sie einen Datenverstoß untersucht, ein Sprecher lehnte es jedoch ab, weitere Einzelheiten mitzuteilen. Am Donnerstag, Das gab die Truppe bekanntIn Zusammenarbeit mit Bundes- und Landesbehörden hatte die Polizei einen namentlich nicht genannten 46-jährigen Mann in einem Vorort von Sydney festgenommen. Ihm wird voraussichtlich Erpressung vorgeworfen.