موقع التأشيرة الإلكترونية الصومالي يفتقر إلى بروتوكلات أمنية كافية، ما يتيح فرصة استغلاله من قِبَل فاعلين خبيثين لتحميل آلاف التأشيرات الإلكترونية التي تحتوي على بيانات حسّاسة، بينها بيانات جوازات السفر، الأسماء الكاملة وتواريخ الميلاد.
مراسلات الجزيرة أكدت هذه الثغرة هذا الأسبوع بعد تلقيها تلميحاً من مصدر يمتلك خلفية في تطوير الويب.
المصدر زوّد الجزيرة بمعلومات عن البيانات المعرضة للخطر ودلائل تفيد بأنه أبلغوها للسلطات الصومالية الأسبوع الماضي لتنبيهها إلى الضعف الأمني، غير أن السلطات لم تردّ والمشكلة لم تُعالج.
«التسريبات التي تشمل بيانات شخصية حساسة تشكل خطراً خاصاً لأنها تعرض الأشخاص لمخاطر متعددة، منها سرقة الهوية والاحتيال وجمع معلومات استخباراتية من قبل جهات خبيثة»، قالت بريدجيت أندري، كبيرة المحلّلين في منظمة حقوق الرقمية Access Now، للجزيرة.
هذا الضعف الأمني الجديد يأتي بعد شهر من إعلان مسؤولين فتح تحقيق إثر اختراق منصّة التأشيرات الإلكترونية للبلاد من قبل قراصنة.
الجزيرة كانت قادرة هذا الأسبوع على تكرار الثغرة التي حدّدها مصدرنا.
تمكّنا من تنزيل تأشيرات إلكترونية تحمل معلومات حسّاسة لعشرات الأفراد في وقت قصير، وشملت البيانات أشخاصاً من الصومال والبرتغال والسويد والولايات المتحدة وسويسرا.
أرسلت الجزيرة تساؤلات إلى الحكومة الصومالية ونبهت السلطات إلى خلل النظام، لكنها لم تتلقَّ رداً.
«دفع الحكومة لنشر نظام التأشيرة الإلكترونية رغم الواضح أنها لم تكن مستعدة للمخاطر المحتملة، ثم إعادة نشره بعد اختراق خطير، مثال واضح على كيف يمكن لتجاهل مخاوف وحقوق الناس عند طرح بنى رقمية أن يقوّض الثقة العامة ويولّد ثغرات كان يمكن تجنّبها»، قالت أندري.
«من المقلق أيضاً أن السلطات الصومالية لم تصدر أي إشعار رسمي بشأن هذا الخرق الخطير في نوفمبر.»
«قانون حماية البيانات في الصومال يلزم متحكّمي البيانات بإخطار هيئة حماية البيانات، وفي سياقات عالية المخاطر مثل هذه الحالة، يلزم أيضاً إخطار الأفراد المتأثرين»، أضافت أندري.
«ينبغي تطبيق حماية إضافية هنا لأن الملف يضم أشخاصاً من جنسيات متعددة وبالتالي يخضع لولايات قانونية متعدّدة.»
الجزيرة لا تستطيع الكشف عن التفاصيل الفنية المتعلقة بالاختراق لأن الثغرة لم تُصلَح بعد، ونشرها قد يزوّد القراصنة بمعلومات تكفي لإعادة تكرار التسريب.
أية معلومات حسّاسة حصلت عليها الجزيرة خلال هذا التحقيق تم تدميرها حفاظاً على حصوصية المتأثرين.
خرق سابق
في الشهر الماضي أصدرت حكومتا الولايات المتحدة والمملكة المتحدة تحذيراً بشأن خرق بيانات سرّب معلومات أكثر من 35,000 متقدّم للحصول على تأشيرة إلكترونية للصومال.
«البيانات المسروقة شملت أسماء المتقدمين وصورهم وتواريخ وأماكن الميلاد وعناوين البريد الإلكتروني والحالة الاجتماعية والعناوين المنزلية»، قال بيان السفارة الأمريكية في الصومال آنذاك.
ردّاً على ذلك الخرق، غيّرت وكالة الهجرة والجنسية الصومالية موقع التأشيرة الإلكترونية إلى دومين جديد في محاولة لتعزيز الأمن.
وأكدت وكالة الهجرة في 16 نوفمبر أنها تعامل المسألة بـ«أهمية خاصة» وأنها فتحت تحقيقاً في الأمر.
في وقت سابق من ذلك الأسبوع، أشاد وزير الدفاع أحمد معلم فيقي بنظام التأشيرة الإلكترونية، زاعماً أنه منع دخول عناصر تنظيم الدولة إلى البلاد، بينما استمرت المواجهات لشهور في المناطق الشمالية ضد فرع محلي للتنظيم.
أندري من Access Now أشارت إلى أن الحكومات كثيراً ما تتسرّع في تطبيق أنظمة التأشيرات الإلكترونية، ما يؤدي في كثير من الأحيان إلى مواقف غير آمنة.
وأضافت أنه من الصعب على الأفراد حماية أنفسهم من هذا النوع من اختراقات البيانات.
«الاعتبارات المتعلقة بحماية البيانات والأمن السيبراني غالباً ما تكون أول ما يُهمَل»، قالت. «ومن الصعب نقل العبء إلى الأفراد لأن البيانات التي طُلبت منهم ضرورية لعملية معينة.»