ثغرة أمنية جديدة في التأشيرة الإلكترونية للصومال تعرض آلاف البيانات الشخصية للخطر أخبار استقصائية

يفتقر موقع التأشيرات الإلكترونية الجديد في الصومال إلى بروتوكولات الأمان المناسبة، والتي يمكن أن تستخدمها الجهات الخبيثة التي ترغب في تنزيل آلاف التأشيرات الإلكترونية التي تحتوي على معلومات حساسة، بما في ذلك تفاصيل جوازات سفر الأفراد والأسماء الكاملة وتواريخ الميلاد.

وأكدت الجزيرة ثغرة النظام هذا الأسبوع، بعد نصيحة من مصدر لديه خلفية في تطوير الويب.

وقدم المصدر للجزيرة معلومات حول البيانات الضعيفة بالإضافة إلى أدلة على أنهم نقلوا مخاوفهم إلى السلطات الصومالية الأسبوع الماضي لتوعيتهم بمدى ضعفهم.

وقال المصدر إنه رغم الجهود التي بذلوها، لم يكن هناك أي رد من السلطات ولم يتم حل المشكلة.

وقالت بريدجيت أنديري، كبيرة محللي السياسات في مجموعة الحقوق الرقمية Access Now، لقناة الجزيرة: “إن الانتهاكات التي تنطوي على بيانات شخصية حساسة خطيرة بشكل خاص لأنها تعرض الأشخاص لخطر مجموعة من الأضرار، بما في ذلك سرقة الهوية والاحتيال وجمع المعلومات الاستخبارية من قبل جهات ضارة”.

وجاءت الثغرة الأمنية الجديدة بعد شهر من إعلان المسؤولين أنهم بدأوا تحقيقًا بعد أن اخترق قراصنة منصة التأشيرة الإلكترونية في البلاد.

تمكنت قناة الجزيرة هذا الأسبوع من تكرار الثغرة الأمنية التي حددها مصدرنا.

تمكنا من تنزيل تأشيرات إلكترونية تحتوي على معلومات حساسة من عشرات الأشخاص في فترة زمنية قصيرة. وتضمنت بيانات شخصية لأشخاص من الصومال والبرتغال والسويد والولايات المتحدة وسويسرا.

وأرسلت الجزيرة أسئلة إلى الحكومة الصومالية ونبهتها إلى عيوب النظام، لكنها لم تتلق أي رد.

وقال أنديري: “إن دفع الحكومة لنشر نظام التأشيرة الإلكترونية في حين أنها غير مستعدة بشكل واضح للمخاطر المحتملة، ثم إعادة نشره بعد حدوث اختراق خطير للبيانات، هو مثال واضح على كيف أن تجاهل الاهتمامات والحقوق العامة عند نشر البنية التحتية الرقمية يمكن أن يؤدي إلى تآكل ثقة الجمهور وخلق نقاط ضعف يمكن تجنبها”.

“ومن المثير للقلق أيضًا أن السلطات الصومالية لم تصدر أي إخطار رسمي بشأن هذا الانتهاك الخطير للبيانات (نوفمبر/تشرين الثاني)”.

وأضاف أنديري: “في مثل هذه الحالات، يُلزم قانون حماية البيانات الصومالي مراقبي البيانات بإخطار سلطات حماية البيانات، وفي السياقات عالية المخاطر مثل هذا الحادث، بإخطار الأفراد المتضررين أيضًا”.

“يجب أن تنطبق حماية إضافية على هذه القضية لأنها تتعلق بأشخاص من جنسيات مختلفة وبالتالي ولايات قضائية متعددة.”

ولم تتمكن الجزيرة من نشر تفاصيل فنية حول الاختراق لأنه لم يتم إصلاح الثغرة الأمنية بعد، لذا فإن الكشف عنها يمكن أن يزود المتسللين بمعلومات كافية لتكرار التسريب.

وقد تم تدمير أي معلومات حساسة حصلت عليها الجزيرة كجزء من هذا التحقيق لضمان خصوصية الضحايا.

المخالفة السابقة

وفي الشهر الماضي، أرسلت حكومتا الولايات المتحدة والمملكة المتحدة تنبيهًا بشأن خرق البيانات الذي أدى إلى تسريب معلومات عن أكثر من 35 ألف شخص تقدموا بطلبات للحصول على تأشيرات إلكترونية في الصومال.

وقالت السفارة الأمريكية في الصومال في ذلك الوقت: “المعلومات المسربة من الاختراق شملت أسماء المتقدمين للحصول على التأشيرة وصورهم وتواريخ وأماكن ميلادهم وعناوين بريدهم الإلكتروني والحالة الاجتماعية وعناوين منازلهم”.

وردًا على هذا الاختراق للبيانات، قامت وكالة الهجرة والمواطنة الصومالية (ICA) بتحويل موقع التأشيرة الإلكترونية الخاص بها إلى نطاق جديد في محاولة لزيادة الأمان.

وقالت وكالة الهجرة في 16 نوفمبر/تشرين الثاني إنها تتعامل مع القضية “بأهمية خاصة” وأعلنت أنها فتحت تحقيقا في الأمر.

في وقت سابق من ذلك الأسبوع، أشاد وزير الدفاع الصومالي أحمد معلم الفقي بنظام التأشيرات الإلكترونية، مدعيًا أنه نجح في منع مقاتلي داعش من دخول البلاد، مع استمرار أشهر من القتال في الشمال ضد الجماعات المحلية التابعة للجماعة.

وشدد أنديري من Access Now على أن الحكومات غالبًا ما تسارع إلى تنفيذ أنظمة التأشيرات الإلكترونية، الأمر الذي يؤدي غالبًا إلى ظروف غير آمنة.

وأضاف أنه من الصعب على الأشخاص حماية أنفسهم من هذه الأنواع من خروقات البيانات.

وقال: “إن اعتبارات حماية البيانات والأمن السيبراني غالبا ما تكون أول ما يتم إهماله”. “من الصعب تحويل العبء إلى الأشخاص لأن البيانات التي يقدمونها ضرورية لعملية محددة.”