孟加拉國國家電信監測中心數據庫在公網暴露,類型極豐富的各類數據在線泄露(部分可能為測試數據)。

11月24日消息,遭泄露的數據列表很長,包括姓名、職業、血型、父母姓名、電話號碼、通話時長、車輛登記信息、護照詳情、指紋照片。但這是一起罕見的非典型數據庫泄露事件,各類被泄信息都與一家情報機構持有的數據庫相關。

孟加拉國國家電信監測中心(NTMC)是一家情報機構,參與收集人們的手機和互聯網活動。幾個月來,該中心通過一個與其系統相關聯的不安全數據庫公開了大量個人信息。就在本月上旬,匿名黑客襲擊了暴露的數據庫,刪除了系統中的各類詳細信息,并聲稱已竊取這些信息。

《連線》雜志從數據中抽取部分樣本,確認姓名、電話號碼、電子郵箱地址、地點和考試成績屬實。然而,尚不清楚這些信息的確切性質和收集目的。一些條目是測試信息,或是不完整/不正確數據。NTMC和其他官員未對置評請求做出回應。

這一意外泄漏事件讓我們有機會一窺高度機密的信號情報領域,了解通信可能的攔截方式。CloudDefense.AI的安全研究員Viktor Markopoulos發現了這個不安全的數據庫。他表示,“即使事件并不是特別敏感,我也不希望任何情報機構出現這種情況。雖然很多數據都是測試數據,它們依然體現了正在使用的架構,以及當下或將來計劃攔截的目標。”

暴露數據的類型非常廣泛

Markopoulos發現暴露的數據庫后,一路追溯到了NTMC以及孟加拉國國家情報平臺的登錄頁面。Markopoulos認為,這個數據庫很可能是由于配置錯誤而遭到暴露。數據庫中,有120多個數據索引,每個索引存儲不同的日志。這些索引包括“衛星電話”、“短信”、“出生登記”、“罪犯名單搜索”、“臨時駕照”和“推特”等項目。其中一些文件包含條目較少,而其他文件條目多達數萬條。

NTMC數據庫暴露的數據絕大多數是十分重要的元數據,詳細記錄了每個人的通信“參與者、內容、方式和時間”。電話通話音頻沒有被暴露,但元數據展示了有撥出行為的電話號碼,以及每次通話的時長。這種類型的元數據可以大規模利用,研究人們的行為模式和互動對象。

例如,《連線》審查的數據樣本中,“出生登記”日志包括姓名(英文、孟加拉文)、生日、性別、出生地點,以及母父姓名和國籍。另一個名為“個人詳細財務信息”的日志還包括人們的姓名、手機號碼和銀行賬戶詳情,并列出了每一類賬戶的“金額”。數據結構中經常包括國民身份證號碼、手機號碼以及孟加拉國移動運營商名稱。此外,還有基站列表,這是手機網絡的一部分。記錄中還提到了“cdr”,可能代表詳細記錄。

部分泄漏數據似乎是測試信息,或是不完整/不正確數據。一些條目包括類似“123456789”的通用數字字符串,而其他條目則在數據庫中多次重復。泄漏信息也包含真實數據。

《連線》聯系到一位知情人士,證實自己的電子郵箱、手機號碼和賬單地址遭到泄漏。他表示自己是孟加拉電信有限公司(BTCL)用戶。這家公司是國營企業,擁有用戶的部分個人信息。當然,目前尚不清楚BTCL是不是泄露數據來源。

Markopoulos在泄漏數據中還找到了考試成績,包括一些在上世紀90年代末的考試成績。這些成績與孟加拉國教育部網站上列出的內容相匹配。他給數據庫中多個號碼發送短信,已經收到送達提醒,盡管有人回復說他們并不是數據庫中列出的人。另一個公開列出的電話號碼屬于孟加拉國的一家企業。此外,一張加密的護照照片與可能所有者的公開信息相符(《連線》未能聯系到他們)。

無法確定泄露數據的收集來源,

服務器遭擦除勒索


對暴露信息樣本加以分析之后,仍然不清楚這些數據的收集目的、獲取源頭、使用目的。沒有跡象表明數據收集與任何不端行為有關。

數據泄露發現公司Security Discovery聯合創始人兼安全顧問Jeremiah Fowler審查了暴露的數據庫,確認它與NTMC有關聯。雖然Fowler經常發現在線暴露的服務器和數據庫,他表示,“這是我第一次遇到”泄漏數據與情報機構有關的情況。

他說,“我發現最危險的是一堆IMEI號碼(即給每部手機分配的識別碼)。有了這些號碼,你完全可以追蹤設備或克隆設備。”

NTMC尚未承認或回應《連線》對泄露信息提出的問題。問題涉及數據收集目的,以及已收集信息數量。孟加拉國政府新聞辦公室和孟加拉國駐倫敦高級專員辦公室也未回應置評請求。Markopoulos于11月8日向孟加拉國計算機事件響應團隊(CIRT)報告了暴露的信息。CIRT認可他提供的消息,感謝他披露了這個“敏感的暴露事件”。CIRT在給《連線》的一封電子郵件中表示,已經向NTMC“通知這一問題”。

本文發表之前,該數據庫似乎已經脫機。然而,Markopoulos表示, 11月12日,數據庫被抹除,取而代之的是一名未知攻擊者或一組攻擊者留下的勒索通知。通知要求支付0.01比特幣(按當前匯率約合360美元),否則“數據將被公開披露并刪除”。

Markopoulos和Fowler都認為,這種類型的暴露數據庫遭到勒索攻擊十分常見。此外,Markopoulos說,被抹去的數據庫中已經開始出現新的條目,包括“搜索日志”索引,這可能說明系統仍在使用。

孟加拉國國家電信監測中心

權力不斷擴大

2013年,孟加拉國在既有監測機構的基礎上組建NTMC。根據NTMC自己的定義,他們是一家向擁有1.67億人口的孟加拉國其他機構提供“合法通信攔截設施”的組織。NTMC網站表示,該組織職責包括建立和開發“攔截平臺”,并確保其全天候不間斷運作。

根據最近的報道,有30家機構通過API與NTMC關聯;該組織整合了來自移動運營商、護照和移民服務局以及其他機構的記錄。據悉,NTMC在今年1月從以色列公司購買了監視技術。孟加拉國政府部長們已討論NTMC攔截社交媒體數據的事宜。

一位在孟加拉國工作的電信專家因擔心政府對其家人報復而要求匿名。他聲稱,作為一個“合法攔截中心”,NTMC可以收集大量數據。“他們不僅從移動公司收集通話數據記錄,還從互聯網提供商那里收集日志和詳細記錄、會話歷史。”他補充說,“他們非常強大,他們的監視活動比歐洲國家的還要強大。”他認為孟加拉國缺少像歐洲一樣嚴格的數據保護法。

孟加拉國將在2024年舉行下一輪大選,政府在加大對反對派的打壓力度。最近幾周,針對目前政府的抗議活動不斷,震動全國。一位要求匿名的駐孟加拉國研究員表示,“預計在明年選舉之前,我們會看到更多監視活動和對個人的定向打擊。”

談到數字權利,這位研究員表示,“我認為首要任務是讓個人,尤其是活動人士……意識到監視系統的存在,了解如何在網上保持安全。當一個國家的人民還在為基本權利作斗爭,比如確保日常生計、爭取政治權利,數字權利就遠沒有那么重要。”

監控系統 公民數據 數據泄露
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接