Wie Tech erfuhr, haben zwei hochrangige Beamte der Anti-Terror-Polizei in Bangladesch mutmaßlich vertrauliche und persönliche Informationen von Bürgern über Telegram gesammelt und an Kriminelle verkauft.
Zu den angeblich verkauften Daten gehörten unter anderem Personalausweise von Bürgern, Aufzeichnungen von Mobiltelefongesprächen und andere „geheime Verschlusssachen“, wie aus einem von einem hochrangigen Geheimdienstmitarbeiter Bangladeschs unterzeichneten Brief hervorgeht, der Tech vorliegt.
Der Brief vom 28. April wurde von Brigadegeneral Mohammad Baker geschrieben, der als Direktor des National Telecommunications Monitoring Center (NTMC) in Bangladesch fungiert, der elektronischen Abhörbehörde des Landes. Baker bestätigte die Rechtmäßigkeit des Briefes und seines Inhalts in einem Interview mit Tech.
„Die behördeninternen Ermittlungen in beiden Fällen laufen“, sagte Baker in einem Online-Chat und fügte hinzu, das bangladeschische Innenministerium habe die betroffenen Polizeibehörden angewiesen, „die notwendigen Maßnahmen gegen diese Beamten“ zu ergreifen.
In dem Brief, der ursprünglich auf Bengalisch verfasst und an den leitenden Sekretär der Abteilung für öffentliche Sicherheit im Innenministerium gerichtet war, wird behauptet, die beiden Polizeiagenten hätten gegen Geld auf „äußerst sensible Informationen“ von Privatpersonen über Telegram zugegriffen und diese weitergegeben.
Dem Brief zufolge wurden die Polizeiagenten gefasst, nachdem die Ermittler die Protokolle der NTMC-Systeme analysiert und herausgefunden hatten, wie oft die beiden darauf zugegriffen hatten.
Aus dem Brief geht die Identität der Beamten hervor. Einer der Angeklagten ist ein Polizeikommissar, der bei der Anti-Terror-Einheit (ATU) dient. Der andere ist stellvertretender Polizeikommissar beim Rapid Action Battalion, auch bekannt als RAB 6. eine umstrittene paramilitärische Einheit dass die US-Regierung sanktioniert im Jahr 2021 wegen Vorwürfen, die Einheit sei mit Hunderten von Entführungen und außergerichtlichen Tötungen verbunden. Tech nennt die Namen der beiden Angeklagten nicht, da unklar ist, ob sie nach dem Rechtssystem des Landes angeklagt wurden.
Das NTMC ist ein staatlicher Geheimdienst, der dem bangladeschischen Innenministerium unterstellt ist. Die Hauptaufgabe des Dienstes besteht darin, den gesamten Telekommunikationsverkehr zu überwachen und Telefon- und Internetkommunikation abzufangen, um Bedrohungen der nationalen Sicherheit zu erkennen und zu verhindern.
Organisationen wie Menschenrechtsbeobachtung Und Haus der Freiheit kritisierten das NTMC wegen mangelnder Schutzmaßnahmen gegen Missbrauch, sowohl gegen die freie Meinungsäußerung als auch gegen die Privatsphäre. Im Laufe der Jahre beschaffte das NTMC hochentwickelte Technologie von Unternehmen in Israeldie Bangladesch nicht offiziell anerkennt, sowie andere westliche Länderum eine Massenüberwachung durchzuführen, bei der es vor allem um Mitglieder der Oppositionsparteien, Journalisten, Vertreter der Zivilgesellschaft und Aktivisten geht.
Als Teil seiner Mission betreibt das NTMC die National Intelligence Platform (NIP), ein internes Webportal der Regierung, das vertrauliche Bürgerinformationen wie nationale Identifikationsdetails, Handyregistrierungs- und Mobilfunkdatensätze, Kriminellenprofile und andere Informationen enthält.
Verschiedene Strafverfolgungs- und Geheimdienste verfügen über Benutzerkonten auf dem vom NTMC bereitgestellten NIP-Portal.
Die eigenen Untersuchungen des NTMC ergaben, dass die Agenten die NIP-Plattform häufiger als andere nutzten und auf Informationen zugriffen und diese sammelten, die für sie nicht relevant waren.
„In Anbetracht des Kontextes sollten solch irrelevante Zugriffe und die unrechtmäßige Weitergabe äußerst sensibler, geheimer Daten untersucht werden, um alle daran Beteiligten zu identifizieren. Außerdem fordern wir entsprechende Maßnahmen gegen alle identifizierten/beteiligten Personen“, heißt es in dem Brief.
Baker sagte gegenüber Tech, dass es „eine Reihe von Telegram-Kanälen“ gebe und fügte hinzu, dass einer davon BD CYBER GANG heiße.
Tech konnte den spezifischen Kanal auf Telegram nicht identifizieren.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem oder ähnlichen Vorfällen? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail erreichen. Sie können auch Zulkarnain Saer Khan über Signal unter +36707723819 oder über X erreichen. @ZulkarnainSaer. Sie können Tech auch über SecureDrop kontaktieren.
Baker sagte gegenüber Tech, es scheine, als hätten die beiden Agenten die Informationen an den Administrator von mindestens einer Telegram-Gruppe geschickt, der dann versucht habe, sie zu verkaufen.
Baker sagte, die beiden Agenten seien über die Ermittlungen informiert worden.
Aufgrund der Untersuchung wurde der Zugriff aller NIP-Benutzer von ATU und RAB 6 gesperrt, „bis die beteiligten Beamten identifiziert sind und geeignete Maßnahmen ergriffen werden“, heißt es in dem Brief.
Baker bestätigte die Sperrung des Zugriffs und sagte, dass die Agenten „Informationen, die sie zu Ermittlungszwecken benötigen, über die Polizei und das RAB-Hauptquartier einholen können“.
Sprecher des bangladeschischen Innenministeriums und der ATU antworteten nicht auf mehrere Anfragen um einen Kommentar. Eine Person, die sich lediglich als „Operations Officer“ bei RAB 6 ausgab, teilte Tech mit, dass die Agentur keinen Kommentar abgeben wolle.
Letztes Jahr stellte ein Sicherheitsforscher fest, dass die NTMC persönliche Informationen von Personen auf einem ungesicherten Server weitergab. Zu den durchgesickerten Daten gehörten echte Namen, Telefonnummern, E-Mail-Adressen, Standorte und Prüfungsergebnisse, laut Wired. Eine andere bangladeschische Regierungsbehörde, die Büro des Generalregistrators, Geburts- und Sterberegisterhat im vergangenen Jahr ebenfalls vertrauliche Daten von Bürgern weitergegeben, wie Tech damals berichtete.
In beiden Fällen wurden die Lecks von Viktor Markopoulos entdeckt, einem Forscher, der bei Bitcrack Cyber Security arbeitet.
Obwohl es sich dabei um erhebliche Fälle von Datenfreigabe handelte, ist dieser Vorfall, in den angeblich die Agenten der ATU und RAB 6 verwickelt waren, möglicherweise noch schädlicher, da die Agenten angeblich Informationen online verkauften, um von ihrem privilegierten Zugang zu vertraulichen persönlichen Informationen zu profitieren.
Obwohl der Vorfall untersucht wird, teilte eine gut informierte Quelle innerhalb der Regierung Tech mit, dass es immer noch Beamte gebe, die den Bürgern ihre Daten zum Verkauf anbieten.