Bangladeschische Polizeiagenten werden beschuldigt, Bürgerinformationen auf Telegram zu verkaufen

Zwei leitende Beamte der Anti-Terror-Polizei in Bangladesch sollen vertrauliche und persönliche Informationen von Bürgern an Kriminelle auf Telegram verkauft haben, wie TechCrunch erfahren hat.

Die angeblich verkauften Daten umfassen nationale Identitätsdetails von Bürgern, Handy-Anrufprotokolle und andere "geheime klassifizierte Informationen", wie aus einem von TechCrunch eingesehenen Schreiben eines leitenden bangladeschischen Geheimdienstbeamten hervorgeht.

Das Schreiben, datiert auf den 28. April, stammt von Brigadegeneral Mohammad Baker, der als Direktor des Nationalen Telekommunikationsüberwachungszentrums Bangladeschs (NTMC) tätig ist, der elektronischen Abhörbehörde des Landes. Baker bestätigte die Echtheit des Schreibens und dessen Inhalt in einem Interview mit TechCrunch.

"Die Abteilungsuntersuchung läuft für beide Fälle noch", sagte Baker in einem Online-Chat und fügte hinzu, dass das bangladeschische Innenministerium den betroffenen Polizeiorganisationen die Anweisung erteilt habe, "erforderliche Maßnahmen gegen diese Beamten zu ergreifen".

Das Schreiben, das ursprünglich auf Bengali verfasst und an den leitenden Sekretär der Abteilung für öffentliche Sicherheit im Innenministerium gerichtet war, wirft den beiden Polizeiagenten vor, "äußerst sensitive Informationen" von Privatpersonen auf Telegram zugegriffen und weitergegeben zu haben, und das im Austausch gegen Geld.

Laut dem Schreiben wurden die Polizeibeamten erwischt, nachdem Ermittler die Protokolle der Systeme des NTMC analysiert hatten und wie häufig die beiden darauf zugegriffen hatten.

Das Schreiben enthüllt die Identität der Beamten. Einer der Beschuldigten ist ein Polizeioberst, der beim Anti-Terrorismus-Einheit (ATU) tätig ist. Der andere ist ein stellvertretender Polizeioberstleutnant bei der Rapid Action Battalion, auch bekannt als RAB 6, einer umstrittenen paramilitärischen Einheit, die 2021 von der US-Regierung wegen Vorwürfen, die Einheit sei mit Hunderten von Verschwindenlassen und außergerichtlichen Tötungen verbunden, sanktioniert wurde. TechCrunch nennt die beiden beschuldigten Personen nicht, da unklar ist, ob sie nach dem Rechtssystem des Landes angeklagt wurden.

Das NTMC ist eine Regierungsgeheimdienstagentur, die im Rahmen des Innenministeriums von Bangladesch etabliert wurde. Die Hauptaufgabe der Agentur besteht darin, den gesamten Telekommunikationsverkehr zu überwachen und Telefon- und Webkommunikationen abzufangen, um Bedrohungen der nationalen Sicherheit zu erkennen und zu verhindern.

Organisationen wie Human Rights Watch und Freedom House haben das NTMC dafür kritisiert, dass es keine Schutzmaßnahmen gegen Missbräuche, sowohl gegen die Meinungsfreiheit als auch gegen die Privatsphäre, gibt. Im Laufe der Jahre hat das NTMC von Unternehmen in Israel und anderen westlichen Ländern eine fortschrittliche Technologie beschafft, um weitgehend Oppositionspolitiker, Journalisten, Mitglieder der Zivilgesellschaft und Aktivisten zu massiv zu überwachen.

Im Rahmen seiner mission betreibt das NTMC die Nationale Informationsplattform (NIP), ein internes Regierungs-Webportal, das klassifizierte Bürgerinformationen wie nationale Identifikationsdetails, Handyregistrierung und Handydatensätze, Profiling von Straftätern und andere Informationen enthält.

Verschiedene Strafverfolgungs- und Geheimdienstbehörden haben Benutzerkonten auf dem durch das NTMC bereitgestellten NIP-Portal.

Die eigene Untersuchung des NTMC ergab, dass die Beamten die NIP-Plattform häufiger als andere nutzten und auf Informationen zugriffen und sie sammelten, die für sie nicht relevant waren.

"Angesichts des Kontexts sollten solche irrelevanten Zugriffe und rechtswidrige Weitergabe äußerst sensibler klassifizierter Daten untersucht werden, um alle daran Beteiligten zu identifizieren, und wir fordern auch entsprechende Maßnahmen gegen alle identifizierten/Beteiligten", heißt es in dem Schreiben.

Baker teilte TechCrunch mit, dass es "eine Reihe von Telegram-Kanälen" gebe, und fügte hinzu, dass einer von ihnen BD CYBER GANG genannt wurde.

TechCrunch konnte den spezifischen Kanal auf Telegram nicht identifizieren.

Baker teilte TechCrunch mit, dass es so aussieht, als ob die beiden Beamten die Informationen an den Administrator von mindestens einer Telegram-Gruppe geschickt hätten, der versuchte, sie zu verkaufen.

Baker sagte, dass den beiden Beamten die Untersuchung mitgeteilt wurde.

Aufgrund der Untersuchung wurde allen NIP-Benutzern vom ATU und RAB 6 der Zugang "ausgesetzt, bis die beteiligten Beamten identifiziert und angemessene Maßnahmen ergriffen wurden", so das Schreiben.

Baker bestätigte den ausgesetzten Zugang und sagte, dass die Beamten "bei Bedarf Informationen für Ermittlungszwecke über die Polizei- und RAB-Zentrale einholen können".

Sprecher des bangladeschischen Innenministeriums und des ATU reagierten nicht auf mehrere Anfragen nach einer Stellungnahme. Eine Person, die sich nur als "Betriebsbeamter" bei RAB 6 identifizierte, sagte TechCrunch, dass die Behörde keinen Kommentar abgeben wollte.

Im vergangenen Jahr fand ein Sicherheitsforscher heraus, dass das NTMC persönliche Informationen von Menschen auf einem ungesicherten Server veröffentlichte. Die geleakten Daten enthielten echte Namen, Telefonnummern, E-Mail-Adressen, Standorte und Prüfungsergebnisse, wie Wired berichtete. Eine weitere bangladeschische Regierungsbehörde, das Amt des Generalregistrars, für Geburts- und Todesmeldungen, veröffentlichte letztes Jahr ebenfalls sensible Daten von Bürgern, wie TechCrunch damals berichtete.

Obwohl es sich dabei um bedeutende Fälle von Datenexposition handelte, ist dieser Vorfall, der angeblich die ATU- und RAB-6-Beamten betrifft, potenziell schädlicher, da die Beamten angeblich versuchten, Informationen online zu verkaufen, um von ihrem privilegierten Zugang zu klassifizierten persönlichen Informationen zu profitieren.

Obwohl der Vorfall untersucht wird, teilte eine gut informierte Quelle innerhalb der Regierung TechCrunch mit, dass es immer noch Beamte gibt, die bereit sind, Bürgerdaten zu verkaufen.