Table of Contents
Példa nélküli kémbotrányra derített fényt a WIRED magazin*, ráadásul nem is egy társulat érintett az ügyben, hanem egyenesen kettő: az első a bangladesi állami hírszerzés-elhárítás, a második egy névtelen kiberbűnözői csoport. Mindenesetre ellopták fél Banglades összes érzékeny adatát – majd az adatbázist újból el sikerült tulajdonítani.
Minden azzal kezdődött, hogy a bangladesi Nemzeti Távközlési Megfigyelő Központ közzétett egy adatbázist a világhálón. Az online kiszivárgott adatok típusa széleskörű. Nevek, foglalkozások, vércsoportok, szülők neve, telefonszámok, hívások hossza, gépjármű-regisztrációk, útlevéladatok, ujjlenyomatok fényképei. De ez nem egy tipikus adatbázis-szivárgás, az a fajta, ami gyakran előfordul – ezek az információkategóriák mind egy hírszerző ügynökség birtokában lévő adatbázishoz kapcsolódnak.
A Nemzeti Távközlési Megfigyelő Központ (NTMC), a bangladesi hírszerző szerv, amely az emberek mobiltelefonos és internetes tevékenységének összegyűjtésével foglalkozik, hónapok óta közzéteszi az emberek személyes adatait egy, a rendszeréhez kapcsolódó, viszont nem biztonságos adatbázisban. A múlt héten pedig névtelen hackerek megtámadták a nyilvánosságra hozott adatbázist, kitörölték az adatokat a rendszerből, és azt állították, hogy ellopták az információhalmazt.
A WIRED ellenőrzött egy mintát az adatokban szereplő valós nevekből, telefonszámokból, e-mail címekből, tartózkodási helyekből és vizsgaeredményekből. A felhalmozott információk pontos jellege és célja azonban nem világos, egyes bejegyzések tesztinformációnak, hibás vagy részleges bejegyzéseknek tűnnek. Az NTMC és más bangladesi tisztviselők nem válaszoltak a megkeresésekre.
A nyilvánosságra hozatal, amely a jelek szerint nem volt szándékos, apró betekintést nyújt a jelinformációs hírszerzés rendkívül titkos világába és a kommunikáció lehallgatásának módjába. „Nem várnám el, hogy ez bármelyik hírszerző szolgálatnál megtörténjen, még akkor sem, ha valójában nem is annyira érzékeny dologról van szó” – mondja Viktor Markopoulos, a CloudDefense.AI biztonsági kutatója, aki felfedezte a védtelen adatbázist. „Még ha sok adatsor tesztadat is, akkor is elárulják, hogy milyen struktúrát használnak, vagy hogy pontosan mi az, amit lehallgatnak vagy terveznek lehallgatni”.
Miután Markopoulos felfedezte a kitett adatbázist, összekapcsolta azt az NTMC-vel és egy bangladesi nemzeti hírszerzési platform bejelentkezési oldalaival. Markopoulos úgy véli, hogy az adatbázis valószínűleg egy hibás konfiguráció miatt került nyilvánosságra. Az adatbázison belül több mint 120 adatindex található, mindegyikben különböző naplófájlok vannak tárolva. Az indexek között olyan nevek szerepelnek, mint „sat-phone”, „sms”, „születési regisztráció”, „pids_prisoners_list_search”, „driving_licence_temp” és „Twitter”. Néhány ilyen fájl kevés bejegyzést tartalmaz, míg mások több tízezret.
Az NTMC adatbázisában feltárt adatok túlnyomó többsége metaadat – a kommunikáció rendkívül erőteljes „ki, mit, hogyan és mikor” adatai. A telefonhívások hangja nem kerül nyilvánosságra, de a metaadatokból kiderül, hogy mely számok hívhattak másokat, és hogy az egyes hívások mennyi ideig tartottak. Ez a fajta metaadat széles körben felhasználható az emberek viselkedésének mintáinak és a velük való interakcióiknak a kimutatására.
A WIRED által áttekintett adatok egy mintája szerint például a „születési regisztrációs” napló olyan mezőket tartalmaz, mint a név (angol és bengáli nyelven), születési dátum, nem, születési hely, valamint az anya és az apa neve és állampolgársága. Egy másik, „pénzügyi személyes adatok” elnevezésű napló szintén tartalmazza az emberek nevét, valamint mobiltelefonszámokat és bankszámlaadatokat, és feltüntet egy „összeget” a számlatípusra vonatkozóan. Az adatstruktúrákban gyakran szerepelnek a nemzeti személyi igazolványszámok, valamint a mobiltelefonszámok és a bangladesi mobilszolgáltatók nevei. Vannak listák a mobilhálózatok részét képező adó-vevő bázisállomásokról, és a bejegyzésekben szerepel a „cdr”, ami a hívás részleteit tartalmazó nyilvántartásokra utalhat.
A kiszivárgott adatok egy része tesztinformációnak, valamint hiányos vagy hibás adatnak tűnik. Egyes bejegyzések általános számsorokat tartalmaznak, például „123456789”, míg más bejegyzések többször ismétlődnek az adatbázisban. A kiszivárgott információk között valós adatok is szerepelnek.
A WIRED által megkeresett egyik személy megerősítette, hogy a felsorolt e-mail cím, mobilszám és egy számlázási cím az övé. Az illető azt állítja, hogy a BTCL távközlési cég előfizetője, amely állami tulajdonban van, és rendelkezik néhány személyes adattal, bár nem világos, hogy ez-e a kiszivárgott adatok forrása. Markopoulos az adatokban felsorolt vizsgaeredményeket talált, köztük olyanokat is, amelyek az 1990-es évek végén készültek, és amelyek megegyeznek az oktatási minisztérium honlapján felsoroltakkal. Az adatbázisban szereplő több számra küldött szöveges üzeneteket kézbesítették, bár egy személy azt válaszolta, hogy nem ő az a felhasználó, aki az adatbázisban szerepel. Egy másik telefonszám nyilvánosan egy bangladesi vállalkozás tulajdonaként szerepel. Egy kódolt útlevélkép megfelel az állítólagos tulajdonos nyilvános adatainak.
A nyilvánosságra hozott információk egy részének áttekintése alapján nem világos, hogy miért gyűjtötték az adatokat, honnan gyűjtötték őket, vagy mire használják fel. Nincs arra utaló jel, hogy ezek bármilyen jogellenes cselekedethez kapcsolódnának.
Jeremiah Fowler, biztonsági tanácsadó és a Security Discovery nevű, az adatvédelmi incidenseket feltáró cég társalapítója felülvizsgálta a feltárt adatbázist, és megerősítette, hogy az kapcsolódik az NTMC-hez. Fowler, aki rendszeresen talál védtelen szervereket és adatbázisokat az interneten, azt mondja, hogy a hírszerző szervhez kapcsolódó adatok „valószínűleg az elsők között vannak, amelyeket ilyen formában láttam”.
„A legfontosabb dolog, amit láttam, ami igazán veszélyes lehet, egy csomó IMEI-szám volt” – mondja, utalva az egyes mobiltelefonokhoz adott azonosító kódra. „Ezekkel tulajdonképpen nyomon lehet követni a berendezést, vagy klónozni lehet a készüléket.”
Az NTMC nem ismerte el a tényeket és nem válaszolt a WIRED kérdéseire a kiszivárgott információkkal kapcsolatban, beleértve a céljukra és az összegyűjtött adatok mennyiségére vonatkozó kérdéseket is. A bangladesi kormány sajtóirodája és a bangladesi nagykövetség Londonban szintén nem válaszolt a megkeresésekre. Markopoulos november 8-án jelentette a nyilvánosságra került információkat a bangladesi Computer Incident Response Teamnek (CIRT), amely tudomásul vette üzenetét, és megköszönte, hogy nyilvánosságra hozta a „kényes leleplezést”. A WIRED-nek küldött e-mailben a CIRT közölte, hogy „értesítette az ügyről” az NTMC-t.
Úgy tűnt, hogy az adatbázis a cikk megjelenése előtt már nem volt elérhető. Markopoulos szerint azonban november 12-én az adatbázist törölték, és helyette egy ismeretlen támadó vagy támadócsoport által kiadott váltságdíjfizetési felszólítás jelent meg. Az üzenet 0,01 bitcoin (jelenlegi árfolyamon körülbelül 360 dollár) kifizetését követelte, különben „az adatokat nyilvánosságra hozzák és törlik”. Markopoulos és Fowler szerint is ez gyakori az ilyen jellegű, veszélyeztetett adatbázisok esetében. Eközben Markopoulos szerint új bejegyzések kezdtek megjelenni a letörölt adatbázisban, és ezek között van egy „keresési napló” című hivatkozás, ami arra utalhat, hogy a rendszer még mindig használatban van.
Az NTMC, amely 2013-ban vált ki egy korábbi felügyeleti szervből, olyan szervezetként írja le magát, amely „törvényes kommunikációs lehallgatási lehetőségeket” biztosít más ügynökségeknek a 167 millió lakosú Bangladesben. Honlapja szerint feladata egy „lehallgatási platform” felállítása és fejlesztése, valamint annak biztosítása, hogy az a nap 24 órájában működjön. A legutóbbi jelentések szerint 30 ügynökség kapcsolódik az NTMC-hez, és a mobilszolgáltatók, az útlevél- és bevándorlási hivatalok, valamint más szervek nyilvántartásait is tartalmazza. Januárban az NTMC állítólag megfigyelési technológiát vásárolt egyes izraeli vezetésű vállalatoktól, és a kormány miniszterei tárgyaltak arról, hogy az NTMC lehallgassa a közösségi média adatait.
Egy Bangladesben dolgozó távközlési szakértő, aki névtelenséget kért a családjával szembeni kormányzati megtorlástól való félelmében, azt állítja, hogy az NTMC „törvényes lehallgatási központként” hatalmas mennyiségű adatot gyűjthet. „Nemcsak hívásadat-nyilvántartásokat gyűjtenek a mobilszolgáltatóktól, hanem az internetszolgáltatóktól is, naplókat és részletes nyilvántartásokat, munkamenet-előzményeket” – állítják. „Ez tényleg hatalmas, és az a fajta megfigyelés, amit végeznek, sokkal erőteljesebb, mint az európai országoké” – teszik hozzá, arra hivatkozva, hogy Banglades nem rendelkezik az európai szigorú adatvédelmi törvényeknek megfelelő jogszabályokkal.
Az elmúlt hetekben a jelenlegi kormány elleni tüntetések rázták meg Bangladest, mivel keményen lépnek fel az ellenzékiekkel szemben az ország következő, 2024-ben esedékes választási fordulója előtt. Egy bangladesi kutató, aki a következményektől tartva kérte, hogy ne nevezzék meg, azt mondta: „arra számítanak, hogy a jövő évi választások előtt még több megfigyelésre és az egyének célkeresztbe állítására kerül sor”.
„Úgy gondolom, hogy az első számú prioritásnak annak kell lennie, hogy az egyének, különösen az aktivisták... tisztában legyenek a megfigyelési rendszerrel, és megértsék, hogyan lehetnek biztonságban az interneten” – mondja a kutató, amikor a digitális jogokról kérdezik. „Amikor az országban az emberek az alapvető jogaikért harcolnak – például a mindennapi megélhetésük biztosításáért és a politikai jogaikért –, a digitális jogok háttérbe szorulnak.”
Világos, mi történhetett: a bangladesi gumitalpúak gyűjtögették az adatokat a lakosságról, szorgalmasan, csak éppen valószínűleg nem képességeik, hanem lojalitásuk alapján nyerték el beosztásukat és a saját hálózatukon közzétett – rendszeresen frissített – adatbázis védelméről elfelejtettek gondoskodni. Erre bukkant rá a WIRED és mentette le valószínűleg, hiszen ha nem mentik, elemezni sem tudták volna. Majd, míg tartott a kutatómunka, egyszer csak megjelentek a valódi bűnözők, akik azonban eléggé olcsójánosok lehetnek, ellopták az adatbázist és csak 360 dollárért hajlandóak visszaadni, ami azért nem nevezhető komoly összegnek. Még Bangladesben sem vagyon.
Erre nem lehet egyebet mondani, csak annyit, hogy máskor a bangladesi kormány lesz szíves legalább minimális képzésben részesíteni a hírszerzőit és elhárítóit. Valószínű, hogy annyi embert foglalkoztatnak ilyen munkakörben, hogy felhígult a szakma.
*A Spy Agency Leaked People's Data Online—Then the Data Was Stolen