Hindistan’da binlerce kolluk kuvveti yetkilisinin ve polis memuru olmak için başvuran kişinin parmak izleri, yüz tarama görüntüleri, imzalar ve vücutlarındaki dövme ve yara izlerinin ayrıntıları da dahil olmak üzere kişisel bilgileri internete sızdırıldı. Bu yeterince endişe verici değilse, aynı sıralarda siber suçlular da mesajlaşma uygulaması Telegram’da Hindistan’dan benzer biyometrik polis verilerinin satışının reklamını yapmaya başladı.
Geçtiğimiz ay, güvenlik araştırmacısı Jeremiah Fowler, Hindistan, Avustralya ve ABD’de ofisleri bulunan bir BT geliştirme ve dış kaynak kullanım firması olan ThinkGreen Technologies’e bağlı, açıkta kalan bir web sunucusundaki hassas dosyaları tespit etti. 2021’den Fowler’ın Nisan ayı başlarında keşfetmesine kadar geçen 1,6 milyon belgeyi kapsayan toplam yaklaşık 500 gigabaytlık verinin içinde öğretmenler, demiryolu çalışanları ve kolluk kuvvetleri yetkilileri hakkında hassas kişisel bilgiler yer alıyordu. Doğum belgeleri, diplomalar, eğitim belgeleri ve iş başvurularının tümü dahildi.
Bulgularını yalnızca WIRED ile paylaşan Fowler, bilgi yığınları arasında en endişe verici olanın Hindistan kolluk kuvvetleri veya askeri personelle bağlantılı doğrulama belgeleri olduğu ortaya çıktığını söylüyor. Yanlış yapılandırılmış sunucu artık kapatılmış olsa da olay, şirketlerin parmak izi ve yüz görüntüleri gibi biyometrik verileri toplayıp saklamasının risklerini ve verilerin kazara sızdırılması durumunda bunların nasıl kötüye kullanılabileceğini ortaya koyuyor.
Fowler, “Adınızı değiştirebilirsiniz, banka bilgilerinizi değiştirebilirsiniz, ancak gerçek biyometrik bilgilerinizi değiştiremezsiniz” diyor. Bulguları Website Planet adına da yayınlayan araştırmacı, bu tür verilerin gelecekte siber suçlular veya dolandırıcılar tarafından insanları hedef almak için kullanılabileceğini ve bu riskin hassas kolluk kuvvetleri pozisyonları için arttığını söylüyor.
Fowler’ın incelediği veritabanında çeşitli mobil uygulamalar ve kurulum dosyaları bulunuyordu. Birinin adı “yüz yazılımı kurulumu” idi ve ayrı bir klasörde 8 GB yüz verisi bulunuyordu. İnsanların yüz fotoğrafları, yüz tanıma sistemlerinde genellikle yüzün noktaları arasındaki mesafeyi ölçmek için kullanılan, bilgisayar tarafından oluşturulan dikdörtgenleri içeriyordu.
Fowler, polis personeliyle ilgili Fiziksel Yeterlilik Testleri olarak etiketlenen 284.535 belgenin bulunduğunu söylüyor. Diğer dosyalar arasında kolluk kuvvetlerine yönelik iş başvuru formları, profil fotoğrafları ve üzerinde “burundaki ben”, “çenede kesik” gibi detayların yer aldığı kimlik belgeleri yer alıyordu. En az bir resimde, üzerinde kendisine ait bir fotoğrafın yer aldığı bir belgeyi tutan bir kişi görülüyor. Fowler, “Gördüğüm ilk şey binlerce ve binlerce parmak iziydi” diyor.
Hindistan’daki dijital haklar örgütü İnternet Özgürlüğü Vakfı’nın genel müdürü Prateek Waghre, Hindistan genelinde “geniş” biyometrik veri toplamanın gerçekleştiğini, ancak kolluk kuvvetlerine dahil olan kişiler için ek güvenlik riskleri bulunduğunu söylüyor. Waghre, “Çoğu zaman devlet çalışanlarının veya memurlarının kullandığı doğrulama işlemi de biyometrik sistemlere dayanıyor” diyor. “Eğer bu potansiyel olarak ele geçirilmişse, birisinin bunu kötüye kullanabileceği ve daha sonra yapmaması gereken bilgilere erişebileceği bir konumdasınız demektir.”
Kolluk kuvvetlerine ilişkin bazı biyometrik bilgilerin halihazırda çevrimiçi olarak paylaşılmış olabileceği görülüyor. Fowler, ifşa edilen veritabanı kapatıldıktan sonra, birkaç yüz üyeden oluşan ve belirli kişilerin de dahil olduğu Hindistan polisi verilerini sattığını iddia eden bir Telegram kanalı keşfettiğini söyledi. Suçlular tarafından satılan verileri etik nedenlerden dolayı satın almayan ve bu nedenle bunların tamamen aynı veriler olduğunu tam olarak doğrulayamayan Fowler, “Yapı, ekran görüntüleri ve birkaç klasör adı gördüklerimle eşleşti” diyor.