Twee hoge functionarissen die voor de antiterreurpolitie van Bangladesh werken, zouden vertrouwelijke en persoonlijke informatie van burgers hebben verzameld en verkocht aan criminelen op Telegram, zo heeft TechCrunch vernomen.
De gegevens die naar verluidt werden verkocht, omvatten de nationale identiteitsgegevens van burgers, gegevens van mobiele telefoongesprekken en andere ‘vertrouwelijke geheime informatie’, volgens een brief ondertekend door een hoge Bengaalse inlichtingenfunctionaris en gezien door TechCrunch.
De brief van 28 april is geschreven door brigadegeneraal Mohammad Baker, directeur van het National Telecommunications Monitoring Centre, of NTMC, het elektronische afluisterbureau van het land. Baker bevestigde de legitimiteit van de brief en de inhoud ervan in een interview met TechCrunch.
“In beide gevallen is een departementaal onderzoek aan de gang”, zei Baker in een online chat, eraan toevoegend dat het ministerie van Binnenlandse Zaken van Bangladesh de getroffen politieorganisaties opdracht had gegeven om “noodzakelijke actie tegen deze agenten” te ondernemen.
De brief, oorspronkelijk geschreven in het Bengaals en gericht aan de senior secretaris van de afdeling Openbare Veiligheid van het ministerie van Binnenlandse Zaken, beweert dat twee politieagenten in ruil voor geld toegang hebben gekregen tot “zeer gevoelige informatie” van particuliere burgers en deze op Telegram hebben geüpload.
Volgens de brief werden de politieagenten opgepakt nadat onderzoekers de systeemlogboeken van NTMC hadden geanalyseerd en hoe vaak de twee er toegang toe hadden.
De identiteit van de functionaris wordt in de brief onthuld. Eén van de verdachten is een politietoezichthouder die werkt bij de Anti-Terrorist Unit (ATU). De andere is een assistent-adjunct-hoofdinspecteur van politie in het Rapid Action Battalion, ook bekend als RAB 6, een controversiële paramilitaire eenheid die in 2021 door de Amerikaanse regering werd bestraft vanwege beschuldigingen dat de eenheid verband hield met honderden verdwijningen en buitengerechtelijke executies. TechCrunch noemt de twee verdachten niet bij naam, omdat het onduidelijk is of zij zijn aangeklaagd op grond van het rechtssysteem van het land.
NTMC is een inlichtingendienst van de overheid, opgericht onder het ministerie van Binnenlandse Zaken van Bangladesh. De primaire taak van het agentschap is het monitoren van al het telecommunicatieverkeer en het onderscheppen van telefoon- en webcommunicatie om bedreigingen voor de nationale veiligheid op te sporen en te voorkomen.
Organisaties als Human Rights Watch en Freedom House hebben het NTMC bekritiseerd vanwege het gebrek aan waarborgen tegen misbruik van zowel de vrijheid van meningsuiting als de privacy. In de loop der jaren heeft de NTMC geavanceerde technologie verworven van bedrijven in Israël, die niet officieel wordt erkend door Bangladesh of andere westerse landen, voor massale surveillance van voornamelijk leden van de oppositiepartij, journalisten, leden van het maatschappelijk middenveld en activisten.
Als onderdeel van zijn missie beheert het NTMC het National Intelligence Platform of NIP, een intern webportaal van de overheid dat geheime informatie over burgers bevat, zoals nationale identificatiegegevens, registratie van mobiele telefoons en mobiele gegevens, criminele profielen en andere informatie.
Verschillende wetshandhavings- en inlichtingendiensten hebben gebruikersaccounts op het NIP-portaal van NTMC.
Uit het NTMC-onderzoek kwam naar voren dat agenten het NIP-platform vaker gebruikten dan anderen, en dat zij informatie opzochten en verzamelden die voor hen niet relevant was.
“Gezien de context moet dergelijke irrelevante toegang en illegale overdracht van zeer gevoelige vertrouwelijke gegevens worden onderzocht om alle betrokkenen te identificeren en we streven ook naar passende actie tegen alle geïdentificeerde/betrokkenen”, aldus de brief.
Baker vertelde TechCrunch dat er “een aantal Telegram-kanalen” zijn, en voegde eraan toe dat een daarvan de BD CYBER GANG heet.
TechCrunch kon geen specifiek kanaal op Telegram identificeren.
Neem contact met ons op
Heeft u meer informatie over dit incident, of soortgelijke incidenten? Vanaf een niet-werkend apparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchieraio op Signal op +1 917 257 1382, of via Telegram, Keybase en Wire @lorenzofb, of e-mail. U kunt ook contact opnemen met Zulkarnain Saer Khan via Signal op +36707723819, of op X @ZulkarnainSaer. U kunt ook contact opnemen met TechCrunch via SecureDrop.
Baker vertelde TechCrunch dat het erop lijkt dat de twee agenten de informatie naar de beheerder van ten minste één Telegram-groep hebben gestuurd, die deze vervolgens probeerde te verkopen.
Baker zei dat twee agenten op de hoogte zijn gesteld van het onderzoek.
Als gevolg van het onderzoek is de toegang van alle NIP-gebruikers van ATU en RAB 6 opgeschort “totdat de betrokken functionarissen zijn geïdentificeerd en passende maatregelen zijn genomen”, aldus de brief.
Baker bevestigde de opgeschorte toegang en zei dat als agenten “informatie nodig hebben voor onderzoeksdoeleinden, ze deze kunnen verzamelen via het hoofdkwartier van de politie en de RAB.”
Woordvoerders van het ministerie van Binnenlandse Zaken van Bangladesh en de ATU hebben niet gereageerd op meerdere verzoeken om commentaar. Een persoon die zichzelf alleen identificeerde als een ‘operations officer’ bij RAB 6, vertelde TechCrunch dat het bureau geen commentaar had.
Vorig jaar ontdekte een beveiligingsonderzoeker dat NTMC persoonlijke gegevens van mensen lekte op een onbeveiligde server. Volgens Wired omvatten de gelekte gegevens namen uit de echte wereld, telefoonnummers, e-mailadressen, locaties en examenscores. Een andere Bengaalse overheidsinstantie, het Office of the Registrar General, Registration of Births and Deaths, lekte vorig jaar ook gevoelige burgergegevens, zoals TechCrunch destijds meldde.
In beide gevallen werd het lek gevonden door Viktor Markopoulos, een onderzoeker werkzaam bij Bitcrack CyberSecurity.
Hoewel dit aanzienlijke datalekken waren, is dit incident waarbij ATU- en RAB 6-agenten betrokken zouden zijn potentieel schadelijker, aangezien de agenten naar verluidt online informatie verkochten in een poging te profiteren van hun bevoorrechte toegang tot geheime persoonlijke informatie.
Hoewel het incident wordt onderzocht, vertelde een goedgeplaatste overheidsbron aan TechCrunch dat er nog steeds ambtenaren zijn die aanbieden gegevens van burgers te verkopen.