Bangladeşli polis ajanları vatandaşların kişisel bilgilerini Telegram’da satmakla suçlandı

TechCrunch’ın edindiği bilgiye göre, Bangladeş’te terörle mücadele polisi için çalışan iki üst düzey yetkilinin, vatandaşların gizli ve kişisel bilgilerini toplayıp Telegram’daki suçlulara sattığı iddia ediliyor.

TechCrunch tarafından görülen üst düzey bir Bangladeşli istihbarat yetkilisinin imzaladığı mektuba göre, satıldığı iddia edilen veriler arasında vatandaşların ulusal kimlik bilgileri, cep telefonu arama kayıtları ve diğer “gizli gizli bilgiler” yer alıyordu.

28 Nisan tarihli mektup, Bangladeş Ulusal Telekomünikasyon İzleme Merkezi’nin veya ülkenin elektronik dinleme kurumu NTMC’nin yöneticisi olarak görev yapan Tuğgeneral Mohammad Baker tarafından yazıldı. Baker, TechCrunch ile yaptığı röportajda mektubun ve içeriğinin meşruiyetini doğruladı.

Baker çevrimiçi bir sohbette “Her iki vaka için de bakanlığın soruşturması devam ediyor” dedi ve Bangladeş İçişleri Bakanlığı’nın etkilenen polis teşkilatlarına “bu memurlara karşı gerekli önlemleri alma” emrini verdiğini de sözlerine ekledi.

Orijinal olarak Bengalce yazılmış ve İçişleri Bakanlığı Kamu Güvenliği Bölümü kıdemli sekreterine gönderilen mektupta, iki polis ajanının para karşılığında Telegram’daki özel vatandaşların “son derece hassas bilgilerine” eriştiği ve ilettiği iddia ediliyor.

Mektuba göre polis ajanları, müfettişlerin NTMC’nin sistemlerinin kayıtlarını ve ikisinin bu kayıtlara ne sıklıkta eriştiğini analiz etmesinden sonra yakalandı.

Mektup yetkililerin kimliğini ortaya koyuyor. Sanıklardan biri Terörle Mücadele Birimi’nde (ATU) görev yapan bir polis şefi. Diğeri ise, ABD hükümetinin 2021’de birimin yüzlerce kaybolma ve yargısız infazla bağlantılı olduğu iddiaları üzerine onayladığı tartışmalı bir paramiliter birim olan RAB 6 olarak da bilinen Hızlı Eylem Taburu’nda polis müfettiş yardımcısı. TechCrunch, ülkenin hukuk sistemine göre suçlanıp suçlanmadıkları belirsiz olduğundan suçlanan iki kişinin adını vermiyor.

NTMC, Bangladeş İçişleri Bakanlığı’na bağlı olarak kurulmuş bir hükümet istihbarat teşkilatıdır. Teşkilatın temel görevi, ulusal güvenliğe yönelik tehditleri tespit etmek ve önlemek için tüm telekomünikasyon trafiğini izlemek ve telefon ve web iletişimlerini engellemektir.

İnsan Hakları İzleme Örgütü ve Freedom House gibi kuruluşlar, NTMC’yi hem ifade özgürlüğü hem de mahremiyete yönelik suiistimallere karşı koruma sağlamadığı için eleştirdi. Yıllar geçtikçe NTMC, büyük ölçüde muhalefet partisi üyeleri, gazeteciler, sivil toplum üyeleri ve aktivistler üzerinde kitlesel gözetim yürütmek için Bangladeş’in resmi olarak tanımadığı İsrail’deki şirketlerden ve diğer Batı ülkelerinden gelişmiş teknoloji satın aldı.

NTMC, misyonunun bir parçası olarak, ulusal kimlik bilgileri, cep telefonu kayıtları ve hücre veri kayıtları, suçlu profilleri ve diğer bilgiler gibi gizli vatandaş bilgilerini barındıran bir hükümet içi web portalı olan Ulusal İstihbarat Platformu’nu veya NIP’yi yönetmektedir.

Çeşitli kolluk kuvvetleri ve istihbarat teşkilatlarının, NTMC tarafından sağlanan NIP portalında kullanıcı hesapları vardır.

NTMC’nin kendi araştırması, temsilcilerin NIP platformunu diğerlerinden daha sık kullandıkları ve kendileriyle ilgili olmayan bilgilere erişip topladıkları sonucuna vardı.

Mektupta, “Bağlam dikkate alındığında, son derece hassas gizli verilere bu tür ilgisiz erişim ve hukuka aykırı bir şekilde devredilmesi, bu olaya karışan herkesin kimliğinin tespit edilmesi için soruşturulmalı ve ayrıca belirlenen/dahil olan herkese karşı uygun önlemlerin alınmasını talep ediyoruz” denildi.

Baker, TechCrunch’a “bir dizi Telegram kanalı” bulunduğunu söyledi ve bunlardan birinin adının BD CYBER GANG olduğunu ekledi.

TechCrunch, Telegram’daki belirli kanalı tanımlayamadı.

Baker TechCrunch’a, iki temsilcinin bilgileri en az bir Telegram grubunun yöneticisine gönderdiklerini ve onun da bu bilgileri satmaya çalıştığını söyledi.

Baker, iki ajanın soruşturmayla ilgili bilgilendirildiğini söyledi.

Mektuba göre, soruşturma nedeniyle ATU ve RAB 6’daki tüm NIP kullanıcılarının erişimleri “ilgili yetkililer tespit edilene ve gerekli işlemler yapılıncaya kadar” askıya alındı.

Baker, erişimin askıya alındığını doğruladı ve ajanların “soruşturma amacıyla herhangi bir bilgiye ihtiyaç duymaları halinde Polis ve RAB Genel Merkezi aracılığıyla toplanabileceklerini” söyledi.

Bangladeş İçişleri Bakanlığı ve ATU sözcüleri çok sayıda yorum talebine yanıt vermedi. RAB 6’da kendisini yalnızca “operasyon görevlisi” olarak tanımlayan bir kişi TechCrunch’a ajansın herhangi bir yorumda bulunmadığını söyledi.

Geçen yıl bir güvenlik araştırmacısı, NTMC’nin insanların kişisel bilgilerini güvenli olmayan bir sunucuya sızdırdığını tespit etti. Wired’a göre sızdırılan veriler arasında gerçek dünyadaki isimler, telefon numaraları, e-posta adresleri, yerler ve sınav sonuçları yer alıyordu. TechCrunch’ın o dönemde bildirdiği gibi, bir başka Bangladeş devlet kurumu olan Genel Kayıt Memuru Doğum ve Ölüm Kaydı Ofisi de geçen yıl vatandaşların hassas verilerini sızdırmıştı.

Her iki durumda da sızıntılar Bitcrack Siber Güvenlik’te çalışan araştırmacı Viktor Markopoulos tarafından bulundu.

Bunlar önemli veri ifşa vakaları olsa da, ATU ve RAB 6 ajanlarının dahil olduğu iddia edilen bu olay, ajanların gizli kişisel bilgilere ayrıcalıklı erişimlerinden kâr elde etmek amacıyla bilgileri çevrimiçi olarak sattıkları iddiası göz önüne alındığında potansiyel olarak daha zarar vericidir.

Olay araştırılıyor olsa da hükümet içinde iyi konumlanmış bir kaynak TechCrunch’a vatandaşların verilerini satmayı teklif eden yetkililerin hâlâ bulunduğunu söyledi.