End Any Arbitrary Surveillance Program, Investigate Privacy Violations

Lebanon’s general prosecutor should investigate reports of secret large-scale surveillance tied to a Lebanese intelligence agency, eight human rights and media organizations said today. Privacy and surveillance researchers on January 18, 2018, released a report alleging that a malware espionage campaign responsible for stealing hundreds of gigabytes worth of personal data was tied to a building owned by Lebanon’s General Security agency.

Researchers at Lookout and the Electronic Frontier Foundation, stated that an actor “believed to be administered out of a building belonging to the Lebanese General Security Directorate in Beirut” was responsible for stealing hundreds of gigabytes of private data. According to the report, the espionage campaign has been running since 2012 and was ongoing at the time of publication, affecting thousands of people in more than 20 countries, including activists, journalists, lawyers, and educational institutions.

“If these allegations are true, this intrusive surveillance makes a mockery of people’s right to privacy and jeopardizes free expression and opinion,” said Lama Fakih, deputy Middle East director at Human Rights Watch. “Lebanese authorities should immediately end any ongoing surveillance that violates the nation’s laws or human rights, and investigate the reports of egregious privacy violations.”

The report alleges that the espionage was primarily carried out through mobile devices that were compromised by fake messaging applications, allowing attackers to take photos, retrieve location information, and capture audio. The researchers said the mobile focus of the espionage campaign was one of the first they had seen on a global scale. The private data they said were captured includes SMS messages, call records, browsing histories and bookmarks, and audio recordings, and was available on the open internet because operators allowed public access to the data.

A 2015 report had identified General Security as one of two agencies in Lebanon using FinFisher, a sophisticated spyware system. In 2016, SMEX, a Beirut-based nongovernmental organization, published a report mapping the digital surveillance landscape in Lebanon.

In response to the report, Abbas Ibrahim, the director general of General Security, told Reuters: “General Security does not have these type of capabilities. We wish we had these capabilities.” On January 19, local media reported, Interior Minister Nohad Machnouk said that reports of Lebanon spying were exaggerated but not necessarily incorrect. On January 20, Ibrahim admitted in a media interview that General Security was conducting surveillance.

Lebanese law 140 of 1999 protects the confidentiality of communications from eavesdropping, monitoring, or disclosure, except in cases provided by law. However, it also authorizes the interior minister, who oversees General Security, and the defense minister, to order the interception of specific communications based on a written decision approved by the prime minister, for the purpose of combatting terrorism, crimes against state security, and organized crime.

International human rights law prohibits any arbitrary or unlawful interference with privacy, including private communications. And any government interference with privacy must be necessary to achieve a legitimate aim and must be carried out in accordance with both international and domestic law. Any law allowing secret surveillance must be “sufficiently clear in its terms to give citizens an adequate indication as to the circumstances” in which the monitoring may take place. Human rights law also provides that governments in most circumstances must notify people whose private information has been the object of surveillance. If an individual’s fair trial, privacy, or other rights are violated, the government must provide an effective remedy.

“Allegations that stolen data was left on the open web are particularly concerning, and would put people’s privacy at further risk,” Fakih said. “There is no justification for arbitrary large-scale surveillance, but leaving people’s private information exposed on the internet would be beyond the pale.”

Signatory Organizations:

Alef – Act for Human Rights

Alkarama Foundation

The Lebanese Center for Human Rights (CLDH)

Helem

Human Rights Watch

Media Association for Peace (MAP)

SKeyes Center for Media and Cultural Freedom

SMEX

يجب إنهاء أي برامج مراقبة تعسفية، والتحقيق في انتهاكات الخصوصية

قالت 8 منظمات حقوقية وإعلامية اليوم إن على النيابة العامة في لبنان التحقيق في التقارير التي تشير إلى وجود عملية تجسس سرية واسعة النطاق مرتبطة بـ "المديرية العامة للأمن العام اللبناني" (الأمن العام). أصدر باحثون مختصون بالخصوصية والمراقبة في 18 يناير/كانون الثاني 2018 تقريرا يزعم أن حملة تجسس باستخدام برمجيات خبيثة، مسؤولة عن سرقة مئات الجيغابايتات من البيانات الشخصية، كانت مرتبطة بمبنى يملكه الأمن العام.

قال باحثون في "لوك آوت" و"مؤسسة الحدود الإلكترونية" إن جهازا "يُعتقد أنه يدار من مبنى تابع لمديرية الأمن العام اللبناني في بيروت" كان مسؤولا عن سرقة بيانات خاصة حجمها مئات الجيغابايتات. بحسب التقرير، بدأت حملة التجسس منذ عام 2012 وكانت لا تزال مستمرة وقت النشر، وطالت آلاف الأشخاص في أكثر من 20 بلدا، منهم ناشطون، صحفيون، ومحامون، بالإضافة إلى مؤسسات تعليمية.

قالت لما فقيه، نائبة مديرة قسم الشرق الأوسط في هيومن رايتس ووتش: "إذا صحّت الادعاءات، فإن هذا التجسس يشكل استهزاء بحق الناس في الخصوصية ويهدد حرية التعبير والرأي. على السلطات اللبنانية أن تنهي فورا أي مراقبة مستمرة تنتهك قوانين البلاد أو حقوق الإنسان، وأن تحقق في التقارير عن الانتهاكات الجسيمة للخصوصية".

يدّعي التقرير أن التجسس نُفذ في المقام الأول من خلال أجهزة هاتف محمول، اختُرقت عبر تطبيقات مزيفة للتراسل، ما سمح للمهاجمين بالتقاط الصور، تحديد مواقع الأجهزة، وتسجيل الصوت. قال الباحثون إن تركيز حملة التجسس على الهواتف المحمولة كان الأول من نوعه الذي شهدوه على نطاق عالمي. البيانات الخاصة التي قالوا إنها تم اعتراضها تشمل رسائل نصية، سجلات المكالمات، تاريخ التصفح والصفحات المحفوظة، وتسجيلات صوتية. كانت البيانات متوفرة على شبكة الإنترنت المفتوحة، لأن المشغلين تركوها متاحة علنا.  

كان قد حدد تقرير في العام 2015 الأمن العام كأحد جهازين في لبنان يستخدمان "فينفيشر"، وهو نظام متطور للتجسس. عام 2016، نشرت "سمكس"، وهي منظمة غير حكومية مقرها بيروت، تقريرا يرسم خارطة للمراقبة الرقمية في لبنان.

ردا على تقرير لوك آوت ومؤسسة الحدود الإلكترونية، قال عباس إبراهيم، مدير عام الأمن العام، لـ "رويترز": "الأمن العام ليس لديه هذا النوع من القدرات. نحن نتمنى أن تكون لدينا هذه القدرات". في 19 يناير/كانون الثاني، نقلت وسائل إعلام محلية عن وزير الداخلية نهاد المشنوق قوله إن التقارير عن التجسس في لبنان مبالغ فيها، ولكنها ليست بالضرورة خاطئة. في 20 يناير/كانون الثاني، اعترف إبراهيم في مقابلة إعلامية بأن الأمن العام يمارس المراقبة.

يحمي القانون اللبناني رقم 140 لسنة 1999 سرية الاتصالات من التنصت، أو المراقبة، أو الإفصاح، إلا في الحالات التي ينص عليها القانون. ومع ذلك، فإنه يأذن أيضا لوزير الداخلية، الذي يشرف على جهاز الأمن العام، ووزير الدفاع بأن يأمرا باعتراض اتصالات محددة بناء على قرار مكتوب يوافق عليه رئيس الوزراء، لغرض مكافحة الإرهاب، الجرائم ضد أمن الدولة، الجريمة المنظمة.

يحظر القانون الدولي لحقوق الإنسان أي خرق تعسفي أو غير قانوني للخصوصية، بما يشمل الاتصالات الخاصة. وأي تدخل حكومي في الخصوصية يجب أن يكون ضروريا لتحقيق هدف مشروع، وأن يتم وفقا للقانون الدولي والمحلي. يجب أن يكون أي قانون يسمح بالمراقبة السرية "واضحا ودقيقا بما يكفي بحيث يمكن لأي فـرد أن ينظـر إلى القـانون ويتأكد ممن يُؤذن له القيام بمراقبة البيانات وفي أي ظروف". ينص قانون حقوق الإنسان أيضا على أنه، في معظم الحالات، يجب على الحكومات إخطار الأشخاص الذين تخضع معلوماتهم للمراقبة. إذا انتُهكت حقوق الفرد في المحاكمة العادلة، أو الخصوصية، أو حقوق أخرى، يتوجب على الحكومة توفير سبل فعالة للانتصاف.

قالت فقيه: "الادعاءات بأن البيانات المسروقة تُركت على شبكة الإنترنت المفتوحة أمر يثير القلق بشكل خاص؛ من شأن ذلك أن يعرض خصوصية الناس لمزيد من المخاطر. لا مبرر للمراقبة التعسفية على نطاق واسع، ولكن ما يزيد الطين بلّة هو ترك بيانات الناس الخاصة مكشوفة على الإنترنت".  

المنظمات الموقعة

ألف – تحرك من أجل حقوق الإنسان

حلم

سمِكس

مركز الدفاع عن الحريات الإعلامية والثقافية (سكايز)

المركز اللبناني لحقوق الإنسان

منظمة إعلام للسلام (ماب)

مؤسسة الكرامة

هيومن رايتس ووتش