Computerworld News Service: Inden længe er det praktisk muligt for enhver at tage et billede af nogen med sin smartphone og i løbet af få minutter finde ud af deres personnummer og en lang række andre private oplysninger såsom personlige interesser, seksuelle orientering og kreditværdighed.
Det vil forskere fortæller om i denne uge ved sikkerhedskonferencen Black Hat.
Teknikken indebærer, at man sammenligner billeder af folks ansigter med billeder i databaser, der også indeholder andre informationer om personerne, forklarer Alessandro Acquisti, der er professor ved Carnegie Mellon Universitet og som vil fremlægge denne forskning ved konferencen.
Hvis Alessandro Acquisti kan få det arrangeret, vil han demonstrere teknikken under konferencen ved hjælp af en applikation på en smartphone, der udnytter cloud-baserede databaser og software til ansigtsgenkendelse.
Han bruger Social Security-nummeret (USA's pendant til CPR-nummeret) som eksempel på hvilke oplysninger, der kan fremskaffes på denne måde, men også andre informationer såsom seksuel orientering og kreditværdighed kan graves frem.
Hensigten med denne præsentation er ifølge Acquisti at vise, at allerede i dag eksisterer rammerne for en digital overvågning, der kan gå direkte fra intet andet end et billede af en persons ansigt til stærkt personfølsomme oplysninger. Og potentialet vil kun blive større i takt med den teknologiske udvikling, hvilket vil gøre privatliv til en mangelvare og overvågningsmulighederne lettilgængelige for enhver.
"Dette, tror og frygter jeg, er den fremtid, vi er på vej mod," advarer han.
Alessandro Acquisti erkender, at metoden endnu langt fra er idiotsikker, men påpeger samtidig, at teknikkens individuelle dele er under hurtig udvikling og kan være klar til praktisk anvendelse i meget nær fremtid. Han arbejder samtidig på prognoser for, hvor lang tid det vil tage, før de forskellige involverede teknologier er nået til et pålideligt stadie.
Tre konkrete eksperimenter
Acquisti baserer sin præsentation på tre eksperimenter, han og hans team har udført.
I det første eksperiment brugte de folks primære profilbilleder på Facebook til at etablere deres identitet. Teamet sammenlignede herefter Facebook-billederne ved hjælp af ansigtsgenkendelses-softwaren PittPatt for at identificere andre billeder af samme person i en anden database, mere specifikt en populær dating-service, hvor folk ellers registrerer sig med falske navne.
Når softwaren havde gjort sit, blev præcisionen af resultaterne vurderet af mennesker, der dog kun gennemgik PittPatts bedste gæt for hvert foto.
Softwaren identificerede et ud af 10 medlemmer af dating-sitet korrekt, hvilket forskerne mener, er et ret godt resultatet set i lyset af, at eksperimentet kun brugte et enkelt foto som udgangspunkt - profilbilledet på Facebook - til at identificere en person.
Derudover tog de kun stilling til PittPatts bedste bud. Havde de også vurderet det andet og tredje bedste bud, ville præcisionen sandsynligvis forbedres, påpeger Acquisti.
I det andet eksperiment fotograferede de tilfældigt udvalgte college-studerende og bad dem udfylde et spørgeskema. Imens blev deres billede sammenlignet med andre billeder i en onlinedatabase med det formål at identificere de studerende omgående og indsamle andre billeder af dem.
I det tredje eksperiment tog forskerne udgangspunkt i testpersonernes Facebook-profiler og forsøgte her ud fra at forudsige de første fem cifre i deres Social Security-numre samt deres interesser og foretrukne aktiviteter.
Dette sidste eksperiment er en implementering af en algoritme til forudsigelse af Social Security-numre, som Acquisti præsenterede ved Black Hat for to år siden. Baseret på hvor og hvornår en person blev født, kan algoritmen forudsige de første fem cifre. Den kan derefter gætte sig til de resterende fire cifre, hvilket dog kan tage op til 100 forsøg.
Oversat af Thomas Bøndergaard
