前情回顾·大数据超能力

安全内参11月24日消息,遭泄露的数据列表很长,包括姓名、职业、血型、父母姓名、电话号码、通话时长、车辆登记信息、护照详情、指纹照片。但这是一起罕见的非典型数据库泄露事件,各类被泄信息都与一家情报机构持有的数据库相关。

孟加拉国国家电信监测中心(NTMC)是一家情报机构,参与收集人们的手机和互联网活动。几个月来,该中心通过一个与其系统相关联的不安全数据库公开了大量个人信息。就在本月上旬,匿名黑客袭击了暴露的数据库,删除了系统中的各类详细信息,并声称已窃取这些信息。

《连线》杂志从数据中抽取部分样本,确认姓名、电话号码、电子邮箱地址、地点和考试成绩属实。然而,尚不清楚这些信息的确切性质和收集目的。一些条目是测试信息,或是不完整/不正确数据。NTMC和其他官员未对置评请求做出回应。

这一意外泄漏事件让我们有机会一窥高度机密的信号情报领域,了解通信可能的拦截方式。CloudDefense.AI的安全研究员Viktor Markopoulos发现了这个不安全的数据库。他表示,“即使事件并不是特别敏感,我也不希望任何情报机构出现这种情况。虽然很多数据都是测试数据,它们依然体现了正在使用的架构,以及当下或将来计划拦截的目标。”

暴露数据的类型非常广泛

Markopoulos发现暴露的数据库后,一路追溯到了NTMC以及孟加拉国国家情报平台的登录页面。Markopoulos认为,这个数据库很可能是由于配置错误而遭到暴露。数据库中,有120多个数据索引,每个索引存储不同的日志。这些索引包括“卫星电话”、“短信”、“出生登记”、“罪犯名单搜索”、“临时驾照”和“推特”等项目。其中一些文件包含条目较少,而其他文件条目多达数万条。

NTMC数据库暴露的数据绝大多数是十分重要的元数据,详细记录了每个人的通信“参与者、内容、方式和时间”。电话通话音频没有被暴露,但元数据展示了有拨出行为的电话号码,以及每次通话的时长。这种类型的元数据可以大规模利用,研究人们的行为模式和互动对象。

例如,《连线》审查的数据样本中,“出生登记”日志包括姓名(英文、孟加拉文)、生日、性别、出生地点,以及母父姓名和国籍。另一个名为“个人详细财务信息”的日志还包括人们的姓名、手机号码和银行账户详情,并列出了每一类账户的“金额”。数据结构中经常包括国民身份证号码、手机号码以及孟加拉国移动运营商名称。此外,还有基站列表,这是手机网络的一部分。记录中还提到了“cdr”,可能代表详细记录。

部分泄漏数据似乎是测试信息,或是不完整/不正确数据。一些条目包括类似“123456789”的通用数字字符串,而其他条目则在数据库中多次重复。泄漏信息也包含真实数据。

《连线》联系到一位知情人士,证实自己的电子邮箱、手机号码和账单地址遭到泄漏。他表示自己是孟加拉电信有限公司(BTCL)用户。这家公司是国营企业,拥有用户的部分个人信息。当然,目前尚不清楚BTCL是不是泄露数据来源。

Markopoulos在泄漏数据中还找到了考试成绩,包括一些在上世纪90年代末的考试成绩。这些成绩与孟加拉国教育部网站上列出的内容相匹配。他给数据库中多个号码发送短信,已经收到送达提醒,尽管有人回复说他们并不是数据库中列出的人。另一个公开列出的电话号码属于孟加拉国的一家企业。此外,一张加密的护照照片与可能所有者的公开信息相符(《连线》未能联系到他们)。

无法确定泄露数据的收集来源,服务器遭擦除勒索

对暴露信息样本加以分析之后,仍然不清楚这些数据的收集目的、获取源头、使用目的。没有迹象表明数据收集与任何不端行为有关。

数据泄露发现公司Security Discovery联合创始人兼安全顾问Jeremiah Fowler审查了暴露的数据库,确认它与NTMC有关联。虽然Fowler经常发现在线暴露的服务器和数据库,他表示,“这是我第一次遇到”泄漏数据与情报机构有关的情况。

他说,“我发现最危险的是一堆IMEI号码(即给每部手机分配的识别码)。有了这些号码,你完全可以追踪设备或克隆设备。”

NTMC尚未承认或回应《连线》对泄露信息提出的问题。问题涉及数据收集目的,以及已收集信息数量。孟加拉国政府新闻办公室和孟加拉国驻伦敦高级专员办公室也未回应置评请求。Markopoulos于11月8日向孟加拉国计算机事件响应团队(CIRT)报告了暴露的信息。CIRT认可他提供的消息,感谢他披露了这个“敏感的暴露事件”。CIRT在给《连线》的一封电子邮件中表示,已经向NTMC“通知这一问题”。

本文发表之前,该数据库似乎已经脱机。然而,Markopoulos表示, 11月12日,数据库被抹除,取而代之的是一名未知攻击者或一组攻击者留下的勒索通知。通知要求支付0.01比特币(按当前汇率约合360美元),否则“数据将被公开披露并删除”。

Markopoulos和Fowler都认为,这种类型的暴露数据库遭到勒索攻击十分常见。此外,Markopoulos说,被抹去的数据库中已经开始出现新的条目,包括“搜索日志”索引,这可能说明系统仍在使用。

孟加拉国国家电信监测中心权力不断扩大

2013年,孟加拉国在既有监测机构的基础上组建NTMC。根据NTMC自己的定义,他们是一家向拥有1.67亿人口的孟加拉国其他机构提供“合法通信拦截设施”的组织。NTMC网站表示,该组织职责包括建立和开发“拦截平台”,并确保其全天候不间断运作。

根据最近的报道,有30家机构通过API与NTMC关联;该组织整合了来自移动运营商、护照和移民服务局以及其他机构的记录。据悉,NTMC在今年1月从以色列公司购买了监视技术。孟加拉国政府部长们已讨论NTMC拦截社交媒体数据的事宜。

一位在孟加拉国工作的电信专家因担心政府对其家人报复而要求匿名。他声称,作为一个“合法拦截中心”,NTMC可以收集大量数据。“他们不仅从移动公司收集通话数据记录,还从互联网提供商那里收集日志和详细记录、会话历史。”他补充说,“他们非常强大,他们的监视活动比欧洲国家的还要强大。”他认为孟加拉国缺少像欧洲一样严格的数据保护法。

孟加拉国将在2024年举行下一轮大选,政府在加大对反对派的打压力度。最近几周,针对目前政府的抗议活动不断,震动全国。一位要求匿名的驻孟加拉国研究员表示,“预计在明年选举之前,我们会看到更多监视活动和对个人的定向打击。”

谈到数字权利,这位研究员表示,“我认为首要任务是让个人,尤其是活动人士……意识到监视系统的存在,了解如何在网上保持安全。当一个国家的人民还在为基本权利作斗争,比如确保日常生计、争取政治权利,数字权利就远没有那么重要。”

参考资料:https://www.wired.com/story/ntmc-bangladesh-database-leak/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。