Somali’nin yeni elektronik vize web sitesi, bireylerin pasaport bilgileri, tam adları ve doğum tarihleri de dahil olmak üzere hassas bilgiler içeren binlerce e-vizeyi indirmek isteyen hain aktörler tarafından istismar edilebilecek uygun güvenlik protokollerinden yoksundur.
Al Jazeera, web geliştirme geçmişi olan bir kaynaktan gelen ipucunun ardından bu hafta sistemdeki güvenlik açığını doğruladı.
Önerilen Hikayeler
3 öğenin listesilistenin sonu
Kaynak, Al Jazeera’ye risk altındaki verilerle ilgili bilgilerin yanı sıra endişelerini geçtiğimiz hafta Somalili yetkililere ileterek güvenlik açığı konusunda bilgi sahibi olduklarına dair kanıtlar sundu.
Kaynak, tüm çabalara rağmen yetkililerden herhangi bir yanıt gelmediğini ve sorunun çözülmediğini söyledi.
Dijital haklar grubu Access Now’ın kıdemli politika analisti Bridget Andere, Al Jazeera’ye şunları söyledi: “Hassas kişisel verileri içeren ihlaller, insanları kimlik hırsızlığı, dolandırıcılık ve kötü niyetli aktörler tarafından istihbarat toplanması da dahil olmak üzere çeşitli zararlara maruz bırakma riskiyle karşı karşıya bıraktığından özellikle tehlikelidir.”
Bu yeni güvenlik zayıflığı bir ay sonra ortaya çıkıyor yetkililer dedi Bilgisayar korsanlarının ülkenin e-vize platformunu ihlal etmesi üzerine bir soruşturma başlattılar.
Bu hafta Al Jazeera, kaynağımızın tespit ettiği güvenlik açığını tekrarlamayı başardı.
Onlarca kişiden hassas bilgiler içeren e-vizeleri kısa sürede indirmeyi başardık. Buna Somali, Portekiz, İsveç, ABD ve İsviçre’den gelen kişilerin kişisel bilgileri de dahildi.
El Cezire, Somali hükümetine sorular göndererek onları sistemdeki kusur konusunda uyardı ancak bir yanıt alamadı.
Andere, “Hükümetin potansiyel risklere karşı açıkça hazırlıksız olmasına rağmen e-vize sistemini uygulamaya koyma çabası, daha sonra ciddi bir veri ihlali sonrasında sistemi yeniden uygulamaya koyması, dijital altyapıları uygulamaya koyarken insanların endişelerini ve haklarını göz ardı etmenin kamunun güvenini nasıl aşındırabileceğinin ve önlenebilir güvenlik açıkları yaratabileceğinin açık bir örneğidir” dedi.
“Somali yetkililerinin bu konuda herhangi bir resmi bildirimde bulunmamış olması da endişe verici. [November] ciddi veri ihlali.”
Andere, “Böyle durumlarda, Somali’nin veri koruma yasası, veri kontrolörlerinin veri koruma yetkilisine bildirimde bulunmasını ve bu olay gibi yüksek riskli bağlamlarda etkilenen bireyleri de bilgilendirmesini zorunlu kılıyor” diye ekledi.
“Bu davada ekstra koruma uygulanmalı çünkü olay farklı milletlerden insanları ve dolayısıyla birden fazla yasal yargı yetkisini içeriyor.”
Al Jazeera, güvenlik açığı henüz düzeltilmediği için ihlalle ilgili teknik ayrıntıları açıklayamıyor; bu nedenle bunu yayınlamak, bilgisayar korsanlarına sızıntıyı tekrarlamak için yeterli bilgi sağlayabilir.
Al Jazeera’nin bu soruşturma kapsamında elde ettiği her türlü hassas bilgi, etkilenenlerin mahremiyetini sağlamak amacıyla yok edildi.
Önceki ihlal
Geçtiğimiz ay ABD ve İngiltere hükümetleri, Somali’ye e-vize başvurusunda bulunan 35.000’den fazla kişinin bilgilerinin sızdırılmasına yol açan bir veri ihlaline ilişkin uyarıda bulunmuştu.
ABD’nin Somali Büyükelçiliği o dönemde yaptığı açıklamada, “İhlalden sızdırılan veriler arasında vize başvurusu yapanların adları, fotoğrafları, doğum tarihleri ve yerleri, e-posta adresleri, medeni halleri ve ev adresleri yer alıyordu” dedi.
Bu veri ihlaline yanıt olarak Somali Göçmenlik ve Vatandaşlık Dairesi (ICA), güvenliği artırmak amacıyla e-vize web sitesini yeni bir alan adıyla değiştirdi.
Göçmenlik bürosu 16 Kasım’da konuyu “özel önemde” ele aldığını ve konuyla ilgili soruşturma başlattığını duyurdu.
Aynı haftanın başlarında Somali Savunma Bakanı Ahmed Muallim Fiqi, e-vize sistemini övdü ve kuzey bölgelerde grubun yerel bir koluna karşı aylarca süren bir savaş devam ederken, IŞİD savaşçılarının ülkeye girmesini başarıyla engellediğini iddia etti.
Access Now’dan Andere, hükümetlerin sıklıkla güvensiz durumlara yol açan e-vize sistemlerini uygulamaya koymak için acele ettiğini vurguladı.
İnsanların bu tür veri ihlallerine karşı kendilerini korumalarının zor olduğunu ekledi.
“Veri koruma ve siber güvenlik hususları genellikle göz ardı edilen ilk konulardır” dedi. “Verdikleri veriler belirli bir süreç için gerekli olduğundan yükü insanlara yüklemek zor.”