Hollandalı Siber Güvenlik Araştırmacısı, Sincan’daki Uygur Müslüman nüfusunu izlemek için kullanılan veritabanlarından birini buldu.
Hollandalı bir güvenlik araştırmacısı ZDNet’e verdiği demeçte, Çin hükümetinin Sincan bölgesindeki Uygur Müslüman nüfusunu izlemek için kullandığı yüz tanıma veritabanlarından birinin internet ortamında aylarca açık kaldığını söyledi.
Veritabanı, web sitesine göre video tabanlı kalabalık analizi ve yüz tanıma teknolojisi sağlayan SenseNets adlı bir Çinli şirkete ait.
Geçtiğimiz günlerde, sızan MongoDB veritabanlarını bularak, son birkaç yılda adından çokça söz ettiren Hollandalı Siber Güvenlik Araştırmacısı Victor Gevers, en doğrusunu yaptığını belirterek, SenseNets’in MongoDB veritabanlarından birine kolayca erişip ve kimlik doğrulama olmadan çevrimiçi olarak bu güvenlik zafiyetini bulduğunu duyurdu.
Gevers, ZDNet’e konu hakkında bilgiler verdi ve Sense Nets isimli Çinli Şirketin veri tabanında 2.565.724 kullanıcıya ait ve hızlı bir şekilde gelen bir GPS koordinat akışı hakkında bilgilerin bulunduğunu söyledi.
Gevers, kullanıcı verisinin sadece kullanıcı adı olarak kullanılmadığını, aynı zamanda bir kişinin bir kimlik kartında bulabileceği oldukça ayrıntılı ve hassas bilgilerin olduğunu söyledi. Araştırmacı isim, kimlik kartı numarası, kimlik kartı çıkış tarihi, kimlik kartı son kullanma tarihi, cinsiyet, uyruk, ev adresi, doğum tarihi, fotoğraf ve işveren gibi bilgileri içeren kullanıcı profillerini gördü.
Her kullanıcı için, o kullanıcının görüldüğü yerler olan GPS koordinatlarının bir listesi de var.
Veri tabanı ayrıca bir “izleyici” listesi ve ilgili GPS koordinatlarını da içeriyordu. Şirketin web sitesine göre bu izleyiciler, videoların çekildiği ve analiz edildiği kameraların bulunduğu yerler gibi görünüyor.
“İzleyici” ile ilişkili tanımlayıcı isimlerden bazıları “cami”, “otel”, “polis karakolu”, “internet kafe”, “restoran” ve genel kameraların bulunduğu diğer yerler gibi terimler içeriyordu.
Gevers, ZDNet’e bu koordinatların hepsinin Çin’in Uygur Müslüman azınlık nüfusunun evi olan Çin’in Sincan eyaletinde bulunduğunu söyledi.
Sincan’daki Çinli otoriteler tarafından Uygur Müslüman nüfusun telefonlarına casus yazılım kurmaya zorlamak ya da yurt dışında yaşayan Uygur Müslümanlarının “yeniden eğitim” kamplarına (çalışma kampı ) gitmelerini zorlamak gibi sayısız insan hakları ihlali bildirimi zaten var.
Gevers’in bulduğu veritabanı, eski verilerden oluşan ölü bir sunucu değildi. Araştırmacı, son 24 saatte yaklaşık 6.7 milyon GPS koordinatının kaydedildiğini söyledi; bu da veritabanının, Uygur Müslümanlarının hareket halindeyken aktif olarak takip edildiği anlamına geliyor.
O sırada ne bulduğunu bilmeyen Gevers, açığa çıkan veritabanını ve güvenlik duvarı kuralı kullanarak Çinli olmayan IP adreslerinin erişimini engellemeye çalışan Çinli şirketin sahiplerine bildirimde bulunarak güvenlik açıkları hakkında bilgi verdi.
Şirket bu makalenin yayınlanmasından önce yorum talebine cevap vermedi.
En yaygın sonuç ise, SenseNets’in, ürünlerini özel kuruluşlara satan özel bir şirket yerine, Müslüman azınlığın izlenmesine yardımcı olan bir devlet firması olduğu yönündedir. Aksi halde, SenseNets’in kimlik kartı bilgilerine nasıl erişebildiğini ve kameranın polis merkezlerinden ve diğer devlet binalarından beslendiğini açıklamak zor olacaktır. ( Buraya bir ek olarak, Çin’de üretilen bir çok CCTV ve DVR kayıt sistemlerinin hiçbir teknik denetimden geçmeden ülkemizde de kullanıldığını ve hatta kullanıcı arayüzü için kullanılan EagleEye benzeri mobil uygulamalar ile IP adresi vermeden cihaz seri numarası ile IP adresi gibi bilgilerin cihaz üzerinden bulunduğunu da belirtmekte fayda var)
Gevers, şu anda şirketin bu deşifre nedeniyle Uygur Türklerinin baskı altına alınmasına yardım ettiği için pişman olduğunu da söyledi.
Makale, 17 Şubat’ta izleyicilerin konumlarının bir haritası ile güncellendi.
Haksızlık karşısında sessiz kalmayıp haksızlığı dile getiren Gevers kardeşime de bu vesile ile teşekkürlerimi iletmek isterim Darısı içimizde bulunan ve haksızlığa göz yumanlara diyelim.
Kaynak: https://www.zdnet.com/article/chinese-company-leaves-muslim-tracking-facial-recognition-database-exposed-online/