Kepolisian dan lembaga federal sedang merespons pelanggaran data pribadi massif yang terkait dengan skema pengenalan wajah yang diterapkan di bar dan klub di seluruh Australia. Insiden ini menyoroti kekhawatiran privasi yang muncul ketika pengenalan wajah berbasis AI semakin banyak digunakan di berbagai tempat mulai dari pusat perbelanjaan hingga acara olahraga.
Perusahaan yang terkena dampak adalah Outabox berbasis di Australia, yang juga memiliki kantor di Amerika Serikat dan Filipina. Sebagai tanggapan atas pandemi Covid-19, Outabox meluncurkan kios pengenalan wajah yang memindai pengunjung dan memeriksa suhu tubuh mereka. Kios tersebut juga dapat digunakan untuk mengidentifikasi penjudi masalah yang mendaftar dalam inisiatif pengecualian diri. Pekan ini, sebuah situs web bernama “Have I Been Outaboxed” muncul, yang diduga didirikan oleh mantan pengembang Outabox di Filipina. Situs web tersebut meminta pengunjung untuk memasukkan nama mereka untuk memeriksa apakah informasi mereka telah dimasukkan ke dalam database data Outabox, yang diduga memiliki kontrol internal yang longgar dan dibagikan dalam spreadsheet yang tidak aman. Situs tersebut mengklaim memiliki lebih dari 1 juta rekaman.
Insiden ini telah membuat marah para ahli privasi yang telah lama memberi peringatan atas meluasnya sistem pengenalan wajah di tempat-tempat publik seperti klub dan kasino.
“Sayangnya, ini adalah contoh yang mengerikan dari apa yang bisa terjadi akibat menerapkan sistem pengenalan wajah yang menginvasi privasi,” kata Samantha Floreani, kepala kebijakan dari Digital Rights Watch, sebuah lembaga nirlaba yang berbasis di Australia di WIRED. “Ketika advokat privasi memperingatkan risiko yang terkait dengan sistem berbasis surveilans seperti ini, pelanggaran data adalah salah satunya.”
Menurut situs web Have I Been Outaboxed, data tersebut mencakup “biometrik pengenalan wajah, pemindaian SIM, tanda tangan, data keanggotaan klub, alamat, tanggal lahir, nomor telepon, stempel waktu kunjungan klub, penggunaan mesin slot.” Situs tersebut mengklaim Outabox mengekspor “seluruh data keanggotaan” IGT, sebuah pemasok mesin judi. Wakil presiden komunikasi global IGT, Phil O’Shaughnessy, memberitahu WIRED bahwa “data yang terkena dampak oleh insiden ini tidak diperoleh dari IGT,” dan bahwa perusahaan akan bekerja sama dengan Outabox dan penegak hukum.
Pemilik situs web memposting foto, tanda tangan, dan SIM yang disensor milik salah satu pendiri Outabox, serta tangkapan layar spreadsheet internal yang diduga. WIRED tidak dapat memverifikasi secara independen identitas pemilik situs web atau keaslian data yang mereka klaim miliki. Email yang dikirim ke alamat di situs web tidak dijawab.
“Outabox menyadari dan merespons insiden siber yang berpotensi melibatkan beberapa informasi pribadi,” kata juru bicara Outabox kepada WIRED. “Kami telah berkomunikasi dengan sekelompok klien kami untuk memberitahu mereka dan merinci strategi kami untuk merespons. Karena penyelidikan polisi Australia yang sedang berlangsung, kami tidak dapat memberikan informasi lebih lanjut saat ini.”
Kepolisian New South Wales mengonfirmasi kepada WIRED bahwa mereka sedang menyelidiki pelanggaran data pada hari Rabu, namun juru bicara menolak untuk membagikan detail lebih lanjut. Pada hari Kamis, kepolisian mengumumkan bahwa mereka, bekerja sama dengan lembaga federal dan negara, telah menangkap seorang pria berusia 46 tahun yang tidak disebutkan namanya di sebuah pinggiran kota Sydney. Diperkirakan dia akan dijerat dengan tuduhan pemerasan.