Bangladeş’teki Ulusal Telekomünikasyon İzleme Merkezi, veri tabanlarını yanlışlıkla sızdırdı.
Sızdırılan veri tabanları pasaport detaylarından parmak izi fotoğraflarına kadar uzanırken, araştırmacılar tutulan verilerin istihbarat teşkilatı tarafından tutulan bir veri tabanına bağlı olduğunu belirtti.
SIZDIRILAN VERİLER İSTİHBARAT BİLGİLERİ
Bangladeş’te cep telefonu ve internet faaliyetlerini toplayan bir istihbarat kurumu olan Ulusal Telekomünikasyon İzleme Merkezi’nin (NTMC), sistemlerine bağlı güvenli olmayan bir veri tabanı aracılığıyla yurttaşların kişisel bilgilerini aylardır sitelerinde yayınladığı fark edilmişti.
Geçtiğimiz hafta ise kimliği belirsiz bilgisayar korsanları bu veri tabanına saldırarak verileri çaldığını iddia etmişti. Söz konusu veriler için fidye talep eden tehdit aktörleri ödeme yapılmazsa verileri yayımlayacaklarını belirtmişti.
Sızan veriler arasında isim, kimlik numarası, cinsiyet, ebeveyn ismi, kan grubu, telefon numarası, doğum kaydı, meslek, çağrı kaydı ve süresi, araç kaydı, pasaport detayı, parmak izi fotoğrafı, sınav bilgisi, e-posta adresi, ev adresi, IMEI kaydı, SMS bilgisi, Twitter bilgisi, finans bilgisi gibi kişisel tanımlanabilir bilgiler yer alıyor.
Türkiye’de yaşayan milyonlarca vatandaşın verileri sızdırıldı mı?
Kasıtlı olarak yapılmayan bu ifşa, NTMC’nin gizli dünyasına ve yurttaşlar arası iletişimin nasıl ele geçirilebileceğine dair geniş bir bakış açısı sunuyor.
TEHLİKELİ BİLGİLER YER ALIYOR
Toplanan bilgilerin tam niteliği ve amacı belirsiz olsa da veri tabanını inceleyen güvenlik danışmanı ve Security Discovery’nin kurucularından Jeremiah Fowler, “Böyle bir şeyi ilk kez görüyorum.” açıklamasını yaptı.
Güvenli olmayan veri tabanını geçtiğimiz aylarda güvenlik araştırmacısı Viktor Markopoulos keşfetmişti.
Veri tabanının muhtemelen bir yanlış yapılandırma nedeniyle açığa çıktığını söyleyen Markopoulos, veri tabanında, her birinde farklı günlüklerin saklandığı 120’den fazla veri dizini bulunduğunu, dizinler arasında “uydu telefonu”, “sms”, “doğum kaydı”, “ehliyet” ve “Twitter” gibi isimler yer aldığını, bu dosyalardan bazılarının çok az giriş içerirken, bazısının da on binlerce giriş içerdiğini belirtmişti.
NTMC veri tabanında ifşa edilen verilerin büyük çoğunluğunu meta veriler oluşturduğunu söyleyen araştırmacılar, her ne kadar meta veri olsalar da bu tarz verilerin insanların davranışlarındaki kalıpları ve kimlerle etkileşime girdiklerini göstermek için geniş çapta kullanılabileceğini ifade ediyorlar.
İstihbarat birimiyle bağlantılı veriler hakkında Fowler, “Gördüğüm en tehlikeli şey bir grup IMEI numarasıydı. Bunlarla cihazı takip edebilir ya da cihazı klonlayabilirsiniz.” yorumunu yaptı.
Sızan verilerde kendini arayan çoğu kişi, bilgilerin kendisine ait olduğunu doğrularken çok az kişi de bilgilerin hatalı olduğunu söylüyor.
NTMC, toplanan verilerin amacı ve miktarı da dâhil olmak hiçbir soruyu yanıtlamadı. Bangladeş hükûmeti de yorum taleplerine yanıt vermedi.
BİLGİSAYAR KORSANLARI VERİLERİ ELE GEÇİRDİ
Markopoulos, söz konusu veri tabanının bir saldırgan ya da saldırganlar grubu tarafından ele geçirildiğini ve kuruma bir fidye notu bırakıldığını belirtti.
Saldırganlar fidye için 0.01 Bitcoin ödenmesi talep ederken, fidyenin ödenmemesi hâlinde verileri kamuya açıklayacaklarını belirtti.
Bu sırada Markopoulos, veri tabanında yeni girişlerin görünmeye başladığını ve bunların sistemin hâlâ kullanımda olduğunu gösterebilecek bir “arama günlüğü” dizini içerdiğini ifade etti.
NTMC, İSRAİL’DEN GÖZETLEME TEKNOLOJİSİ SATIN ALDI
Kendisini 167 milyon nüfuslu Bangladeş’teki “yasal şekilde iletişim dinleme” sağlayan bir kuruluş olarak tanımlayan NTMC, 2013 yılında kurulmuştu.
Son raporlara göre 30’dan fazla kurum NTMC’ye bağlı ve NTMC’nin elinde mobil operatörler, pasaportlar, göçmenlik hizmetleri ve diğer kurumlardan kayıtlar bulunuyor.
Ocak ayında ise NTMC’nin İsrailliler tarafından yönetilen şirketlerden gözetleme teknolojisi satın aldığı belirtilmişti.
NTMC BÜYÜK HACİMLERDE VERİ TOPLUYOR
NTMC’de çalışan eski bir telekom uzmanı, NTMC’nin “yasal dinleme merkezi” olarak çok büyük hacimlerde veri toplayabildiğini iddia etti. Anonim kalmak isteyen eski uzman, “Sadece mobil şirketlerden arama veri kayıtlarını toplamakla kalmıyorlar, aynı zamanda internet sağlayıcılarından da günlükleri ve ayrıntılı kayıtları, oturum geçmişini topluyorlar.” iddiasında bulundu.
Bangladeş’in Avrupa’nın katı veri koruma yasalarına paralel yasal düzenlemelere sahip olmamasına atıfta bulunan eski çalışan, “Yaptıkları gözetleme türü Avrupa ülkelerinden daha güçlü.” ifadelerini kullandı.
Bangladeşli bir araştırmacıysa, Bangladeş’te gelecek yıl yapılacak seçimler öncesinde bireylerin daha fazla gözetlenmesini ve hedef alınmasını beklediklerini ifade etti.
