Somali’nin elektronik vize platformunda yeni tespit edilen bir güvenlik açığı, ülkenin on binlerce başvuru sahibini etkileyen büyük bir ihlali kabul etmesinden yalnızca birkaç hafta sonra, binlerce seyahatçiye ait kişisel verilerin güvenliği konusunda ciddi endişelere yol açtı. Soruşturmalar, Somali e-vize sisteminin, yetkisiz kullanıcıların minimum çabayla hassas belgelere erişmesini ve indirmesini mümkün kılan temel koruma yöntemlerinden yoksun olduğunu gösteriyor.
Somali e-vizesindeki kusur, bu hafta Al Jazeera tarafından web geliştirme alanında profesyonel deneyime sahip bir kaynaktan alınan bir ipucunun ardından doğrulandı. Kaynağa göre e-vize platformu, son derece hassas kişisel bilgiler içeren çok sayıda vize dosyasını almak için kullanılabilir. Açığa çıkan veriler, başvuru sahiplerinin pasaport bilgilerini, tam adlarını ve doğum tarihlerini, yani çok çeşitli suç veya istihbaratla ilgili faaliyetler için kötüye kullanılabilecek bilgileri içeriyor.
Göz Ardı Edilen Uyarılar ve Ardından Küresel Veri İfşasının Bağımsız Doğrulaması
Kaynak, yalnızca ifşa edilen verilere ilişkin kanıtları Al Jazeera ile paylaşmakla kalmadı, aynı zamanda önceki hafta Somalili yetkilileri e-vize güvenlik açığı konusunda resmi olarak uyardıklarını da gösterdi. Bu uyarılara rağmen kişi, yetkililerden herhangi bir yanıt gelmediğini ve kusurun giderildiğine veya düzeltildiğine dair bir belirti olmadığını belirtti.
Al Jazeera, kaynak tarafından açıklanan güvenlik açığını kopyalayarak iddiaları bağımsız olarak doğruladı. Testler sırasında gazeteciler, ülke içindeki onlarca kişiye ait e-vizeleri indirebildi. kısa bir süre. Ele geçirilen dosyalar Somali, Portekiz, İsveç, Amerika Birleşik Devletleri ve İsviçre dahil olmak üzere birçok ülkeden başvuranların kişisel bilgilerini içeriyordu.
Dijital haklar örgütü Access Now’ın kıdemli politika analisti Bridget Andere, Al Jazeera’ye yaptığı açıklamada, “Hassas kişisel verileri içeren ihlaller, insanları kimlik hırsızlığı, dolandırıcılık ve kötü niyetli aktörler tarafından istihbarat toplanması da dahil olmak üzere çeşitli zararlara maruz bırakma riskiyle karşı karşıya bıraktığından özellikle tehlikelidir” dedi. Bu tür başarısızlıkların sonuçlarının teknik sorunların ötesine geçtiğini ve bireylerin güvenliği ve mahremiyeti üzerinde kalıcı etkiler yaratabileceğini belirtti.
Daha Önceki Toplu Veri İhlallerinin Etkileri Devam Ederken Somali E-Vize Güvenlik Açığı Ortaya Çıkıyor
Somali e-vizesi Kusur, Somalili yetkililerin aynı e-vize sistemine yönelik daha önceki bir siber saldırıyla ilgili soruşturma başlatıldığını duyurmasından ancak bir ay sonra ortaya çıktı. Önceki olay, hem ABD hem de Birleşik Krallık hükümetlerinin uyarılarına yol açtı. Bu uyarılara göre 35.000’den fazla Somali e-vize başvurusu sahibine ait kişisel bilgiler sızdırılmıştı.
O dönemde Somali’deki ABD Büyükelçiliği, ifşa edilen verilerin başvuranların adlarını, fotoğraflarını, doğum tarihlerini ve yerlerini, e-posta adreslerini, medeni durumunu ve ev adreslerini içerdiğini belirterek ifşanın kapsamını ayrıntılı olarak açıkladı.
Buna yanıt olarak Somali Göçmenlik ve Vatandaşlık Dairesi (ICA), değişikliğin güvenliği güçlendirme çabası olduğunu öne sürerek e-vize platformunu yeni bir internet alanına taşıdı. 16 Kasım’da kurum, ihlali “özel önemde” ele aldığını açıkladı ve bir soruşturma başlatıldığını doğruladı. Ancak yeni bir e-vize güvenlik açığının keşfedilmesi, altta yatan güvenlik sorunlarının tam olarak çözülmemiş olabileceğini düşündürmektedir.
Güvenlik İddiaları Yasal Görevlerle Çatışıyor
Aynı haftanın başlarında Somali Savunma Bakanı Ahmed Moalim Fiqi, Somali e-vize sistemini açıkça övdü. Somalili güçler, grubun kuzey bölgelerindeki yerel bir koluna karşı aylarca süren savaşı sürdürürken, IŞİD savaşçılarının ülkeye girmesinin engellenmesinde rol oynadığını iddia etti.
Andere, “Hükümetin potansiyel risklere karşı açıkça hazırlıksız olmasına rağmen e-vize sistemini uygulamaya koyma çabası, daha sonra ciddi bir veri ihlali sonrasında sistemi yeniden uygulamaya koyması, dijital altyapıları uygulamaya koyarken insanların endişelerini ve haklarını nasıl göz ardı etmenin kamunun güvenini aşındırabileceğinin ve önlenebilir güvenlik açıkları yaratabileceğinin açık bir örneğidir” dedi. Ayrıca Somalili yetkililerin Kasım ayındaki ciddi veri ihlaliyle ilgili herhangi bir resmi kamu duyurusu yayınlamamasından duyduğu endişeyi de dile getirdi.
Somali’nin veri koruma kanunu uyarınca, veri kontrolörlerinin ihlaller meydana geldiğinde ulusal veri koruma kurumuna bildirimde bulunması gerekmektedir. Hassas kişisel verileri içeren olaylar gibi yüksek riskli durumlarda etkilenen bireylerin de bilgilendirilmesi gerekir. Andere, “Farklı milletlerden insanları ve dolayısıyla birden fazla yasal yargı yetkisini kapsadığı için bu davada ekstra korumalar uygulanmalıdır” diye ekledi.
Al Jazeera, güvenlik açığının yamalanmamış kalması nedeniyle mevcut güvenlik açığının belirli teknik ayrıntılarını açıklayamayacağını ve bunun duyurulmasının daha fazla istismara yol açabileceğini söyledi. Soruşturma sırasında elde edilen her türlü hassas bilgi, etkilenenlerin mahremiyetinin korunması amacıyla yok edildi.