Due alti funzionari della polizia anti-terrorismo in Bangladesh avrebbero raccolto e venduto informazioni riservate e personali dei cittadini a criminali su Telegram, è emerso da quanto riportato da TechCrunch. I dati presumibilmente venduti includevano dettagli dell'identità nazionale dei cittadini, registrazioni delle chiamate telefoniche e altre 'informazioni segrete classificate', secondo una lettera firmata da un alto funzionario dell'intelligence del Bangladesh, vista da TechCrunch.

La lettera, datata 28 aprile, è stata scritta dal Brigadier Generale Mohammad Baker, che serve come direttore del National Telecommunications Monitoring Center del Bangladesh, o NTMC, l'agenzia di spionaggio elettronico del paese. Baker ha confermato la legittimità della lettera e dei suoi contenuti in un'intervista con TechCrunch.

'L'inchiesta dipartimentale è in corso per entrambi i casi', ha detto Baker in una chat online, aggiungendo che il Ministero degli Interni del Bangladesh ha ordinato agli organi di polizia interessati di prendere 'le azioni necessarie nei confronti di quegli ufficiali'.

La lettera, originariamente scritta in bengalese e indirizzata al segretario generale del Dipartimento della Sicurezza Pubblica del Ministero degli Interni, afferma che i due agenti di polizia hanno accesso e passato 'informazioni estremamente sensibili' dei cittadini privati su Telegram in cambio di denaro.

Secondo la lettera, gli agenti di polizia sono stati scoperti dopo che gli investigatori hanno analizzato i log dei sistemi del NTMC e con quale frequenza i due vi hanno acceduto. La lettera rivela l'identità degli ufficiali. Uno degli accusati è un sovrintendente della polizia in servizio presso l'Unità Anti-Terrorismo (ATU). L'altro è un assistente sovrintendente della polizia al plotone d'azione rapida, noto anche come RAB 6, un'unità paramilitare controversa che il governo degli Stati Uniti ha sanzionato nel 2021 per le accuse di essere legata a centinaia di sparizioni ed omicidi extragiudiziali. TechCrunch non sta nominando le due persone accusate in quanto non è chiaro se siano state incriminate nel sistema legale del paese.

Il NTMC è un'agenzia di intelligence governativa istituita sotto il Ministero degli Interni del Bangladesh. Il compito principale dell'agenzia è monitorare tutto il traffico delle telecomunicazioni e intercettare le comunicazioni telefoniche e web per individuare e prevenire minacce alla sicurezza nazionale.

Organizzazioni come Human Rights Watch e Freedom House hanno criticato il NTMC per la mancanza di salvaguardie contro gli abusi, sia contro la libertà di parola che contro la privacy. Nel corso degli anni, il NTMC ha ottenuto tecnologie sofisticate da aziende in Israele, che il Bangladesh non riconosce ufficialmente, così come da altri paesi occidentali, per condurre massicce operazioni di sorveglianza principalmente su membri dell'opposizione, giornalisti, membri della società civile e attivisti.

Come parte della sua missione, il NTMC gestisce la Piattaforma di Intelligence Nazionale, o NIP, un portale interno del governo che contiene informazioni riservate sui cittadini, come dettagli dell'identificazione nazionale, registrazione del telefono cellulare, record dei dati cellulari, profili criminali e altre informazioni.

Diverse agenzie di applicazione della legge e di intelligence hanno account utente sul portale NIP fornito dal NTMC. L'indagine interna del NTMC ha concluso che gli agenti utilizzavano la piattaforma NIP con maggiore frequenza degli altri, e accedevano e raccoglievano informazioni non pertinenti a loro.

'Considerando il contesto, un tale accesso non pertinente e la consegna illecita di dati classificati estremamente sensibili dovrebbero essere investigati per identificare tutti coloro coinvolti in questo e chiediamo anche azioni appropriate contro tutti quelli identificati/coinvolti', recitava la lettera.

Baker ha detto a TechCrunch che c'erano 'diversi canali Telegram', aggiungendo che uno di essi si chiamava BD CYBER GANG.

TechCrunch non è riuscito a identificare il canale specifico su Telegram.

Baker ha detto a TechCrunch che sembra che i due agenti abbiano inviato le informazioni all'amministratore di almeno un gruppo Telegram, che ha poi cercato di venderle. Baker ha detto che i due agenti sono stati informati dell'indagine.

A causa dell'indagine, tutti gli utenti NIP di ATU e RAB 6 hanno avuto sospeso l'accesso 'fino a quando gli ufficiali coinvolti non saranno identificati, e saranno prese adeguate misure', secondo la lettera.

Baker ha confermato la sospensione dell'accesso, dicendo che se gli agenti 'hanno bisogno di informazioni per fini investigativi possono raccoglierle attraverso la Polizia e l'HQ RAB'.

Portavoce del Ministero degli Interni del Bangladesh e di ATU non hanno risposto a molteplici richieste di commento. Una persona identificatasi solo come 'ufficiale operativo' presso il RAB 6 ha detto a TechCrunch che l'agenzia non aveva commenti. L'anno scorso, un ricercatore di sicurezza ha scoperto che il NTMC stava divulgando informazioni personali delle persone su un server non protetto. I dati divulgati includevano nomi reali, numeri di telefono, indirizzi email, posizioni e risultati degli esami, secondo Wired. Un'altra agenzia governativa del Bangladesh, l'Ufficio del Registratore Generale, Registrazione nascita e morte, ha anche divulgato dati sensibili dei cittadini l'anno scorso, come ha riferito in precedenza TechCrunch. In entrambi i casi, le fughe sono state scoperte da Viktor Markopoulos, un ricercatore che lavora presso Bitcrack Cyber Security.

Anche se quei casi rappresentavano casi significativi di esposizione dei dati, questo incidente che coinvolge presuntamente gli agenti ATU e RAB 6 è potenzialmente più dannoso, considerando che gli agenti avrebbero venduto informazioni online nel tentativo di trarre profitto dal loro accesso privilegiato a informazioni personali classificate. Sebbene l'incidente sia sotto indagine, una fonte ben informata all'interno del governo ha detto a TechCrunch che ci sono ancora funzionari che offrono di vendere i dati dei cittadini.