Una fuga di dati biometrici segna un nuovo capitolo nella storia del rischio informatico. Una non meglio specificata intrusione ha colpito un database contenenti dati personali e schemi di riconoscimento biometrico, quello di Outabox, una società australiana (con uffici esteri negli Stati Uniti e nelle Filippine) che fornisce un servizio di misurazione della temperatura corporea attraverso chioschi self-service.
Fondata nel 2018 a Sydney, Outabox propone software per ambiti verticali come l’ospitalità, un Crm e una piattaforma di gestione dei contenuti video (integrabile con l’intelligenza artificiale), Appbox. In seguito alla pandemia di Covid, l’offerta è stata ampliata con una soluzione di riconoscimento facciale che, tramite chiosco, controlla la temperatura ed esegue una scansione del volto inquadrato. Lo stesso sistema viene usato anche nell’ambito del gioco d’azzardo, per gestire gli accessi alle slot machine.
Secondo quanto riportato da Wired, l’azienda è stata colpita da un attacco che ha causato “una fuga massiccia di dati personali” collegati a un sistema di riconoscimento facciale adottato da bar e locali sul territorio australiano. Il fatto è emerso giorni fa in seguito al debutto di un sito Web titolato “Have I Been Outaboxed” (gioco di parole sul più noto “Have I been pwned”) che permette agli utenti di controllare se i propri dati personali siano stati trafugati. I creatori del sito dichiarano di essere sviluppatori in precedenza assunti da Outabox nelle Filippine, e sostengono che nell’azienda non ci siano sufficienti controlli sulla condivisione dei dati.
Inoltre i creatori del sito reclamano di possedere più di un milione di record di database trafugati da Outabox, tra cui schemi biometrici di riconoscimento facciale, immagini di patenti di guida, firme, indirizzi, date di nascita, numeri di telefono, orari e dati di utilizzo delle slot machine. Secondo gli autori del data breach, Outabox avrebbe esportato in blocco tutti i dati di membership di Igt, un fornitore di sistemi per il gioco d’azzardo.
Com’è stato possibile, ammesso che sia tutto vero? L’azienda scrive sul proprio sito Web di aver scoperto “un potenziale data breach compiuto da un soggetto terzo non autorizzato attraverso un sistema di autenticazione usato dai nostri clienti”. Outabox ha però anche definito il sito di data leak come “malevolo” e portatore di numerose affermazioni false”.
Outabox sta indagando per far luce sull’accaduto, oltre a collaborare con Igt e con le forze dell’ordine già impegnate a investigare. Uno dei sospetti responsabili del data breach, un 46enne, è già stato arrestato a Sydney. Una responsabile dell’associazione australiana Digital Rights Watch, Samantha Florean, ha commentato su Wired che questo è “un triste, orribile esempio di ciò che può accadere adottando sistemi di riconoscimento facciale che invadono la privacy”.