一家私人公司曾被政府机构用来通过面部识别验证数百万美国人的身份,该公司使用了多种其他数据技术来筛选用户,包括收集人们的电话位置记录,使用数据挖掘公司Palantir的软件评估他们是否与“有组织犯罪”有关
但是,尽管该公司ID.me在新发布的记录中披露了数据收集的规模,该系统仍被骗子利用。联邦检察官上个月表示,新泽西州一名男子通过加利福尼亚州的身份证系统核实了假驾照,这是250万美元失业欺诈计划的一部分。
ID.me指出,这起诈骗案是其系统运作良好的一个例子,并指出,该公司在内部调查后将案件提交给了联邦执法部门。但该案的刑事指控显示,ID.me的身份识别系统没有检测到大约在同一天创建的伪造账户,其中包括伪造的驾驶执照,以及嫌疑人戴着卷曲假发的面部照片。
身份证发言人拒绝解释嫌疑人如何通过欺诈账户获得批准,并将其他问题提交司法部。
该公司在一份声明中表示,“欺诈者的策略在不断演变”,“使用广泛的分析和模型来防止身份盗窃”,并“不断更新控制措施,以防止新的和正在出现的欺诈活动”
这些披露对这家总部位于弗吉尼亚州麦克莱恩的承包商提出了新的问题,该承包商的业务在疫情期间发生了爆炸:10个联邦机构、30个州和500多家公司现在向ID.me支付费用,以确认寻求失业保险或在线税务记录等服务的美国人的身份。该公司去年的估值为15亿美元,其政府合同总额达数亿美元。
在《华盛顿邮报》和其他媒体的报道以及国会议员的强烈反对后,该公司本周突然改变了方向,称不再要求人们提交“视频自拍”进行面部识别扫描,以获得基本的政府服务。
ID.me首席执行官布莱克·霍尔(Blake Hall)在一份声明中表示,该公司“坚定地致力于访问、公平、安全和隐私”,并努力“推动以消费者为中心的身份验证模式,让个人——而不是数据经纪人或信贷局——决定如何共享他们的数据。”
但该公司使用了其他有争议的技术,称之为“身份验证、身份验证和团体从属关系验证”,这导致隐私和民权倡导者对这些数据如何被滥用表示担忧。
美国公民自由联盟(American Civil Liberties Union)的高级政策分析师杰伊·斯坦利(Jay Stanley)说,这种数据收集水平“不仅在隐私方面,而且在哪些角色适合私营公司方面,都提出了很多问题。”。
斯坦利说,这还表明,该公司可能“从一名私有化的身份验证调查员转变为一名私有化的FBI”,而且没有公众监督,也没有像《隐私法》这样的联邦指导方针,该法案限制了政府机构存储个人数据的方式。
ID.me在向政府官员发送的信息中支持其反欺诈软件的先进性。去年春天,一名ID.me经理向俄勒冈州就业部门的官员发送了一份“威胁情报备忘录”,声称该公司的安全团队已识别出新的欺诈“威胁向量”。这封电子邮件是美国公民自由联盟(ACLU)与邮报分享的《信息自由法》(Freedom of Information Act)请求的一部分。
这位经理写道,备忘录中包括了该公司如何与私营承包商Palantir合作进行“数据分析和趋势分析”的细节他说,该软件可以帮助政府客户评估一个互联网协议地址“与多个验证账户关联”是否是无家可归者庇护所或社会服务机构,或有组织犯罪团伙
该公司官员表示,ID.me安全团队“花了大量时间监控和渗透黑暗网络上的犯罪团伙”,但电子邮件没有说明该软件如何将个人的IP地址(每个在线设备都有)与有组织犯罪团伙联系起来,备忘录也没有作为《信息自由法》要求的一部分提供。
ID.me发言人表示,该公司使用Palantir的Foundry软件来帮助处理信息,ID.me“是唯一能够访问数据和分析的实体”俄勒冈州职业介绍所表示不使用Palantir,并将问题提交给ID.me。
帕兰蒂尔以《指环王》中的一个神秘球体命名,由亿万富翁投资者彼得·蒂尔(Peter Thiel)共同创立。帕兰蒂尔开发了一款软件,用于绘制电话和互联网记录等数据片段之间的连接,美国移民和海关执法机构曾利用这些数据追踪非法移民。该公司没有回应置评请求。
美国公民自由联盟(American Civil Liberties Union)高级职员律师奥尔加·阿克塞尔罗德(Olga Akselrod)表示,如果人们与犯罪有虚假联系,该软件可能会阻止他们接受政府服务。她说,可能有很多原因导致不同的人使用相同的IP地址,包括使用公共计算机或寻求法律服务的人、同一个家庭的成员、共享一个家的人以及那些因为负担不起自己的费用而共享设备的人。
“我们一次又一次地看到,这些分析往往建立在歧视性数据和假设的基础上,”她说。她补充说,这将加剧该公司身份验证过程的技术困难,该过程已经“无法为许多数字鸿沟的错误一方所用”
ID.me的州合同称,它存储了大量个人数据,以及人们的“自拍”照片和视频,包括家庭地址、地理位置数据、语音记录和基于提交的护照文件的“推断公民身份”状态。
美国国税局(Internal Revenue Service)11月的一项隐私评估称,人们的“手机本身被用作身份证明”,而且“在对用户进行调查时”,可以从无线电话运营商那里收集地理位置数据
该公司表示,这种数据对于清除身份盗窃至关重要。该公司的隐私政策表示,它可以利用人们的敏感和个人身份信息“配合执法活动”,霍尔告诉《华盛顿邮报》,该公司提醒其政府客户“澄清”欺诈案件。
在ID.me周三提交给蒙大拿州立法机构参加州委员会会议的证词中,该公司表示已收到35张传票和三张逮捕令。该公司表示,不会出售数据或“向任何州或联邦执法数据库大量提供数据”,但会与州机构分享有关身份盗窃或欺诈的信息,州机构“可能自行决定是否参与执法”
该公司表示,它遵守联邦网络安全准则,并帮助其州和联邦政府客户防止数千亿美元的政府福利欺诈。
但正如加利福尼亚州的检方所显示的,这项技术很容易出错。上个月,联邦检察官指控埃里克·雅克利奇在加利福尼亚州提出了至少78项欺诈性索赔,总价值250万美元,用于大流行性失业援助和其他福利,他因此被起诉。
检察官说,在这些指控中,Jaklitsch错误地使用了其他人的名字,并说他们因为冠状病毒而被解雇,这些工作包括“Aqua健身教练”、“儿童动物园管理员”和“殡仪车司机”
检察官说,他上传了带有这些人姓名和自己照片的假驾照——其中几张照片包含在法庭文件中,显示他戴着卷曲的假发——然后通过提交“自己的现场照片”来验证这些假文件。
这些失业申请随后提交给加利福尼亚州就业发展部,自2020年10月以来,该部门一直依靠ID.me来检查数十万人的身份。调查人员写道,“部分基于ID.me的身份验证”,欺诈性提交随后被批准。
据联邦检察官称,在查获雅克利奇涉嫌的阴谋之前,已有68项欺诈指控获得批准。到他上个月被起诉时,已经损失了超过90万美元的州和联邦资金。(起诉书没有详细说明Jaklitsch是如何获得这么多虚假驾照信息的。)
案件仍在审理中。加州机构和雅克利奇的律师均未回应置评请求。
ID.me的一位发言人说,案件调查后,该公司开始将人们的“自拍数据”保存到一个内部数据库中,并在扫描中运行亚马逊的面部识别软件Rekognion,以确保没有人注册多个身份。(亚马逊创始人杰夫·贝佐斯拥有这篇文章。)
在之前的一份声明中,ID.me拒绝公布其“身份盗窃反措施”的细节,称披露可能“损害我们控制的有效性,同时伤害真人”