Disneyland skanuje twarze gości — bez ich wiedzy
- Disneyland wdrożył system rozpoznawania twarzy wobec odwiedzających bez ich wyraźnej zgody na zbieranie danych biometrycznych.
- NSA przetestowała model Mythos Preview firmy Anthropic w poszukiwaniu luk bezpieczeństwa i podatności.
- Fińskie nastolatki zostały postawione w stan oskarżenia w związku z serią ataków hakerskich grupy Scattered Spider.
Disneyland zbiera twoje dane biometryczne — nawet jeśli o tym nie wiesz
Disney wdrożył system rozpoznawania twarzy w swoich parkach rozrywki, skanując gości bez transparentnego informowania ich o zakresie zbieranych danych biometrycznych. To nie jest pilotaż ani test — technologia działa już na odwiedzających.
Parki Disneya co roku przyjmują dziesiątki milionów gości. Skala zbierania danych jest więc natychmiastowo masowa. Systemy face recognition pozwalają operatorowi identyfikować osoby w tłumie, śledzić ruch po terenie parku i potencjalnie powiązać tożsamość z historią zakupów czy biletami. Disney nie ogłosił publicznie, co dokładnie robi z tymi danymi i jak długo je przechowuje.
Czy to legalne?
Odpowiedź zależy od tego, w którym stanie jesteś. Illinois ma BIPA — jeden z najostrzejszych przepisów o biometrii na świecie — który wymaga wyraźnej zgody przed pobraniem odcisku twarzy. Kalifornia ma własne regulacje, ale słabsze. Na poziomie federalnym USA nie ma jednego prawa chroniącego dane biometryczne.
Disneyland w Kalifornii mieści się w Anaheim. Disneyland w Orlando — na Florydzie, gdzie prawo biometryczne jest znacznie luźniejsze. Różnica w jurysdykcji to dla korporacji wygodna furtka.
Europa ma RODO, które teoretycznie zakazuje przetwarzania danych biometrycznych bez podstawy prawnej i wyraźnej zgody. Parki Disney w Paryżu i Tokio działają w innych reżimach prawnych — na razie brak informacji, czy tam też odpalono podobne systemy.
NSA testuje Anthropica — po co?
Amerykańska Agencja Bezpieczeństwa Narodowego przetestowała Mythos Preview — nowy model Anthropic — szukając podatności i sposobów na obejście zabezpieczeń. To rzadki przypadek, kiedy agencja rządowa otwarcie przyznaje się do red-teamingu komercyjnego LLM-a.
Anthropica i NSA łączy tu wspólny interes: obie strony chcą wiedzieć, gdzie model można złamać. Anthropic buduje na tym swoją reputację bezpieczeństwa, NSA szuka luk zanim zrobi to ktoś z gorszymi intencjami. Wyniki testów nie zostały upublicznione — przynajmniej nie w całości.
Mythos Preview to model, który Anthropic promuje jako szczególnie odporny na jailbreaking i manipulację. Fakt, że NSA chce go sprawdzić samodzielnie, mówi dość o poziomie zaufania rządu do deklaracji producentów AI.
Fińskie nastolatki przed sądem za Scattered Spider
Fińska prokuratura postawiła zarzuty nieletniemu w związku z atakami hakerskimi przypisywanymi grupie Scattered Spider. To kolektyw odpowiedzialny za głośne włamania — między innymi do MGM Resorts i Caesars Entertainment w 2023 roku, gdzie straty sięgnęły setek milionów dolarów.
Scattered Spider działa inaczej niż klasyczne grupy ransomware. Zamiast zaawansowanych exploitów, używają socjotechniki — dzwonią do helpdesków, podszywają się pod pracowników i wyłudzają dostępy. Skuteczność tej metody okazała się przerażająco wysoka.
Fakt, że za częścią ataków stoją nastolatkowie z Europy Północnej, pokazuje jak bardzo zdecentralizowane i losowe bywa cyberprzestępstwo. Scattered Spider to luźna sieć anglojęzycznych graczy, nie zorganizowana korporacja hakerska z siedziby w ciemnym piwnicy.
Biometria w rozrywce to nowy standard?
Disney nie jest pierwszy. Na lotniskach face recognition działa od lat — Customs & Border Protection w USA skanuje pasażerów przy odprawie od 2017 roku. Stadiony sportowe w Europie i USA testują systemy rozpoznawania twarzy do kontroli wejść. Taylor Swift podobno używała podobnej technologii na swoich koncertach do identyfikowania stalkerów.
Różnica między lotniskiem a parkiem rozrywki jest jednak fundamentalna z punktu widzenia kontekstu. Na lotnisku biometria wchodzi w zakres kontroli granicznej — istnieje przynajmniej pozór prawnego umocowania. W parku rozrywki, gdzie płacisz za wstęp i spędzasz wakacje z rodziną, oczekiwania prywatności są zupełnie inne.
Pytanie, które zadaje coraz więcej organizacji praw cyfrowych: kiedy godzisz się na regulamin, kupując bilet do Disneylandu, czy naprawdę wyrażasz zgodę na skanowanie twarzy? I czy taka zgoda w ogóle może być uznana za dobrowolną, skoro alternatywą jest nieodwiedzenie parku?
