Siber Suç , Dolandırıcılık Yönetimi ve Siber Suç , Coğrafi Odak: Asya
Yüzlerce Yetkili, Merkezi Vatandaş Veri Tabanına Gözetim Olmadan Erişebilir
Jayant Chakravarti (@JayJay_Tech) •
10 Haziran 2024
Bangladeşli yetkililer, ulusal casusluk teşkilatının veritabanı için meşru kimlik bilgilerini kullanarak milyonlarca vatandaş hakkında veri toplayan ve bunları Telegram ve diğer sosyal kanallar üzerinden alıcılara satan iki üst düzey polis personelini araştırıyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Ulusal Telekomünikasyon İzleme Merkezi, Nisan ayı sonlarında İçişleri Bakanlığı’na, iki yetkilinin merkezi IDEA 2 veri tabanından çok miktarda vatandaş verisi çıkardığını ve bunları çevrimiçi olarak alıcılara sattığını söyledi.
Gözetleme kurumunun mektubuna erişen yerel haber ajansı The Daily Star, hem Terörle Mücadele Birimi’ne atanan polis amirleri hem de Rab-6 olarak bilinen Hızlı Müdahale Taburu birimine atanan sanık yetkililerin, kurumun Ulusal Akıllı Platformuna giriş yaptığını söyledi. 25 Mart ile 25 Nisan arasında birçok kez vatandaşların ulusal kimlik numaraları, çağrı ayrıntıları kayıtları ve diğer hassas verileri de dahil olmak üzere bilgileri çalındı.
Veri hırsızlığı, yerel casus teşkilatının neredeyse tüm nüfusun kişisel olarak tanımlanabilir ayrıntılarını saklayan bir vatandaş veri tabanını ifşa etmesinden kısa bir süre sonra gerçekleşti.
Açığa çıkan veri tabanını keşfeden CloudDefense.AI’nin siber güvenlik araştırmacısı Viktor Markopoulos, veri tabanının “vatandaşların adlarını, mesleklerini, ebeveynlerinin adlarını ve telefon numaraları, sınav ayrıntıları, araç kayıt numaraları, IMEI numaraları, pasaport bilgileri ve biyometrik bilgiler gibi daha hassas bilgileri” sakladığını söyledi. Parmak izleri de dahil olmak üzere veriler.” Bilgisayar korsanları daha sonra depodaki tüm verileri sildi ve 0,01 bitcoin tutarında bir ödeme talep eden bir fidye notu bıraktı.
Markopoulos ayrıca geçen yıl Temmuz ayında yaklaşık 50 milyon vatandaşın doğum kayıt kayıtları, telefon numaraları ve ulusal kimlik numaraları da dahil olmak üzere kişisel bilgilerini açığa çıkaran başka bir Bangladeş hükümeti veri tabanı keşfetti (bkz: Bangladeş Hükümet Portalı 50 Milyon Vatandaş Kayıtlarını Sızdırdı).
Vatandaşların kişisel bilgilerinin yanı sıra sosyal profillerinin, çağrı kayıtlarının ve web etkinliklerinin ayrıntılarını saklayan NTMC’nin Ulusal Akıllı Platformuna, 42 merkezi emniyet teşkilatından yaklaşık 500 yetkili erişebilir.
Üst düzey polis yetkilileri, Hizmetlere Erişimi Artırmaya Yönelik Tanımlama Sistemi olarak da bilinen IDEA veri tabanına erişim sağladı. Dünya Bankası belgesine göre IDEA projesi, “daha verimli ve şeffaf hizmet sunumunun temelini oluşturan güvenli, doğru ve güvenilir bir ulusal kimlik sistemi kurmayı” amaçlıyor. Veritabanı 2017 yılından beri kullanılmaktadır.
Ajansın mektubuna göre, iki emniyet yetkilisi çalınan verileri 48 Telegram grubu, 21 WhatsApp grubu ve 720 Facebook grubu ve 3,2 milyondan fazla üye ve takipçiye sahip sayfalar aracılığıyla sattı.
Siber Güvenlik Yasası Devlet Kontrolünü Güçlendiriyor
Hükümet, elektronik suçlara karşı federal tepkiyi geliştirmek ve ülkenin güvenliğini denetlemek için Ulusal Siber Güvenlik Ajansı ve Ulusal Siber Güvenlik Konseyi gibi özel organlar oluşturmak amacıyla Eylül ayında Siber Güvenlik Yasasını kabul etti. Ancak yasa, kurumlara vatandaşları tutuklama, gözaltına alma ve izleme konusunda geniş yetkiler veren önceki acımasız Dijital Güvenlik Yasası 2018’den birçok unsuru ödünç alıyor.
ABD Dışişleri Bakanlığı’nın bir raporuna göre Bangladeş hükümeti, dijital savunmasını güçlendirmek yerine, kontrolünü güçlendirmek ve siyasi muhaliflere, gazetecilere ve sivil toplum aktivistlerine yönelik baskıyı güçlendirmek için siber güvenlik yasasını kullandı.