تم تسريب معلومات شخصية لآلاف من مسؤولي إنفاذ القانون والأشخاص الذين يتقدمون للعمل كضباط شرطة في الهند عبر الإنترنت، بما في ذلك بصمات الأصابع، وصور مسح الوجه، والتوقيعات، وتفاصيل الوشم والندبات على أجسادهم. إذا لم يكن ذلك مثيرًا للقلق بدرجة كافية، ففي نفس الوقت تقريبًا، بدأ مجرمو الإنترنت في الإعلان عن بيع بيانات بيومترية مماثلة للشرطة من الهند على تطبيق المراسلة Telegram.
وفي الشهر الماضي، اكتشف الباحث الأمني جيريميا فاولر الملفات الحساسة على خادم ويب مكشوف مرتبط بشركة ThoughtGreen Technologies، وهي شركة لتطوير تكنولوجيا المعلومات والاستعانة بمصادر خارجية ولها مكاتب في الهند وأستراليا والولايات المتحدة. ضمن إجمالي ما يقرب من 500 غيغابايت من البيانات التي تغطي 1.6 مليون وثيقة، يعود تاريخها إلى عام 2021 حتى اكتشفها فاولر في أوائل أبريل، كان هناك منجم للمعلومات الشخصية الحساسة حول المعلمين وعمال السكك الحديدية والمسؤولين عن إنفاذ القانون. تم تضمين شهادات الميلاد والدبلومات وشهادات التعليم وطلبات العمل.
يقول فاولر، الذي شارك النتائج التي توصل إليها حصريًا مع WIRED، إنه ضمن أكوام المعلومات، كانت الأكثر إثارة للقلق هي تلك التي بدت وكأنها وثائق تحقق مرتبطة بأفراد إنفاذ القانون أو العسكريين الهنود. وبينما تم الآن إغلاق الخادم الذي تم تكوينه بشكل خاطئ، فإن الحادث يسلط الضوء على مخاطر قيام الشركات بجمع وتخزين البيانات البيومترية، مثل بصمات الأصابع وصور الوجه، وكيف يمكن إساءة استخدامها إذا تم تسريب البيانات عن طريق الخطأ.
يقول فاولر: “يمكنك تغيير اسمك، ويمكنك تغيير معلوماتك المصرفية، ولكن لا يمكنك تغيير القياسات الحيوية الفعلية الخاصة بك”. يقول الباحث، الذي نشر النتائج أيضًا نيابة عن موقع Website Planet، إن هذا النوع من البيانات يمكن أن يستخدمه مجرمو الإنترنت أو المحتالون لاستهداف الأشخاص في المستقبل، وهو خطر يتزايد بالنسبة لمواقع إنفاذ القانون الحساسة.
ضمن قاعدة البيانات التي فحصها فاولر، كان هناك العديد من تطبيقات الهاتف المحمول وملفات التثبيت. أحدهما كان بعنوان “تثبيت برنامج الوجه”، ويحتوي مجلد منفصل على 8 جيجابايت من بيانات الوجه. تضمنت صور وجوه الأشخاص مستطيلات تم إنشاؤها بواسطة الكمبيوتر والتي تُستخدم غالبًا لقياس المسافة بين نقاط الوجه في أنظمة التعرف على الوجوه.
يقول فاولر إن هناك 284.535 وثيقة مصنفة على أنها اختبارات الكفاءة البدنية المتعلقة بموظفي الشرطة. وتضمنت الملفات الأخرى نماذج طلبات التوظيف لمسؤولي إنفاذ القانون، وصور الملفات الشخصية، ووثائق الهوية التي تحتوي على تفاصيل مثل “شامة في الأنف” و”جرح في الذقن”. تُظهر صورة واحدة على الأقل شخصًا يحمل مستندًا يتضمن صورة مقابلة له. يقول فاولر: “أول شيء رأيته هو الآلاف والآلاف من بصمات الأصابع”.
يقول براتيك واغر، المدير التنفيذي لمنظمة الحقوق الرقمية الهندية مؤسسة حرية الإنترنت، إن هناك عمليات جمع “واسعة” للبيانات البيومترية في جميع أنحاء الهند، ولكن هناك مخاطر أمنية إضافية للأشخاص المشاركين في إنفاذ القانون. يقول واغري: “في كثير من الأحيان، يعتمد التحقق الذي يستخدمه موظفو الحكومة أو المسؤولون أيضًا على أنظمة القياسات الحيوية”. “إذا كان من المحتمل أن يتم اختراق ذلك، فأنت في وضع يسمح لشخص ما بإساءة الاستخدام ومن ثم الوصول إلى المعلومات التي لا ينبغي له الوصول إليها.”
يبدو أن بعض المعلومات البيومترية الخاصة بالمسؤولين عن إنفاذ القانون قد تكون تمت مشاركتها بالفعل عبر الإنترنت. يقول فاولر إنه بعد إغلاق قاعدة البيانات المكشوفة، اكتشف أيضًا قناة Telegram، التي تحتوي على بضع مئات من الأعضاء، والتي كانت تدعي بيع بيانات الشرطة الهندية، بما في ذلك بيانات أفراد محددين. يقول فاولر، الذي لم يقم بشراء البيانات التي يبيعها المجرمون لأسباب أخلاقية، لذلك لم يتمكن من التحقق بشكل كامل من أنها نفس البيانات تمامًا: “البنية ولقطات الشاشة واثنين من أسماء المجلدات تتطابق مع ما رأيته”.