৫ কোটি নাগরিকের তথ্য ফাঁস, কারণ জানালেন সেই গবেষক
কাগজ প্রতিবেদক
প্রকাশ: ১১ জুলাই ২০২৩, ০৭:৩৯ পিএম
প্রায় পাঁচ কোটি বাংলাদেশি নাগরিকের ব্যক্তিগত তথ্য ফাঁস হয়ে গেছে। এই প্রসঙ্গে বাংলাদেশে সরকারি ওয়েবসাইট থেকে তথ্য ফাঁস উদঘাটনকারী গবেষক ভিক্টর মারকোপাওলোস বলেছেন, ওয়েবসাইটগুলো শুরু থেকেই নিরাপত্তা ব্যবস্থায় গুরুত্ব না দেয়ার কারণে এমনটা হয়েছে। অরক্ষিত ঐ ওয়েবসাইটগুলোতে শুরু থেকেই নিরাপত্তা ব্যবস্থায় গুরুত্ব দিলে পাঁচ কোটি বাংলাদেশি নাগরিকের ব্যক্তিগত তথ্য ফাঁস হতো না।
সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস জানান, নিজের একটি প্রজেক্টের কাজ করতে গিয়ে ঘটনাক্রমে তথ্যগুলো আমার সামনে চলে আসে। আমি ঘটনাক্রমে এটি খুঁজে পেয়েছি, আসলে আমি অন্য প্রকল্পের কাজ করছিলাম, আমি আসলে একটি ত্রুটিপূর্ণ ওয়েবসাইটের জন্য গুগলিং করছিলাম, যাতে আমি সেটা পরীক্ষা করতে পারি। তখন এটি (বাংলাদেশ সরকারের ওয়েবসাইটটি) আমার Google অনুসন্ধানে দ্বিতীয় ফলাফলে চলে আসে এবং এটির URL-এ একটু ব্যতিক্রম ছিল এবং কিছু গরমিল ছিল”।
তিনি আরও বলেন, বিষয়টি শনাক্ত করার পর তিনি একাধিকবার বাংলাদেশের সংশ্লিষ্ট কর্তৃপক্ষের যোগাযোগ করেও কোনো সাড়া পাননি। এমনকি এখনো পর্যন্ত কর্তৃপক্ষের কেউ তার সাথে যোগাযোগ করেনি।
গ্রিক নাগরিক ভিক্টর মারকোপাওলোস মূলত গ্রিসের এথেন্স থেকে দক্ষিণ আফ্রিকার একটি সাইবার সিকিউরিটি প্রতিষ্ঠানের জন্য কাজ করেন। তার কাজ হলো বিভিন্ন ওয়েবসাইট ও মোবাইল অ্যাপের নিরাপত্তা ঝুঁকি খুঁজে বের করা এবং তা দূর করা।
প্রায় পাঁচ কোটি বাংলাদেশি নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার তথ্য প্রথম প্রচার করে যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চ। গত ৭ই জুলাই প্রকাশিত টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে, গত ২৭শে জুন প্রথম ফাঁস হওয়া তথ্যগুলো ইন্টারনেটে দেখতে পান দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস।
মারকোপাওলোস আরও বলেন, এসব ওয়েবসাইটের প্রধান দুর্বলতা হলো এর ‘অথোরাইজেশন ম্যকানিজম’ বা অনুমোদন ব্যবস্থা। অর্থাৎ যারা এই ওয়েবসাইটের ব্যবস্থাপনার করতেন তাদের ওয়েবসাইটে লগইন বা লগআউটের জন্য কোন সুরক্ষিত ব্যবস্থা ছিলো না। এছাড়া সাদা চোখে আরও কিছু নিরাপত্তা ঘাটতি চোখে পড়েছে ভিক্টর মারকোপাওলোসের।
আমি নিজে ওয়েব অ্যাপ্লিকেশনটি পরীক্ষা করিনি কারণ এটা করার জন্য আমি অনুমোদিত ব্যক্তি নই। এটির সবচেয়ে বড় দুর্বলতা হলো- এই ওয়েবসাইটের অনুমোদন ব্যবস্থা। কোন ধরণের টোকেন ছাড়াই ব্যবস্থাপকদের যে কেউ এই সাইটের তথ্য দেখতে পারতো। ব্যবহারকারীদের জন্য যে OTP-র ব্যবস্থা রয়েছে সেটার নিরাপত্তাও দুর্বল। OTP-র জন্য যে ফোন নাম্বার ব্যবহার করা হয়, API-তে সেটি অনেক দেরিতে আসে। ফলে অপরাধীদের ওটিপি বাইপাস করার সুযোগ আছে এখানে।
ভিক্টর মারকোপাওলোস জানান-একটি দেশের সরকারি ওয়েবসাইট কেন এভাবে অরক্ষিত অবস্থায় পড়ে আছে তা জানতে কৌতূহলী হয়ে উঠেন তিনি এবং দেখতে পান এই ওয়েবসাইটের URL-এ বেশ কিছু অসংগতি রয়েছে। “URL-এ একটি নম্বরের পরিবর্তে একটি শব্দ ছিল ‘নিবন্ধন করুন’ কিন্তু এখানে থাকার কথা ছিলো একটি নাম্বার। তখন আমি শব্দটি নম্বরে পরিবর্তন করেছিলাম এবং দেখলাম এটি আসলে বাংলাদেশের একজন ব্যক্তির রেকর্ড ছিল। আমি ওই নাম্বারে সংখ্যা বৃদ্ধি করার সাথে সাথে আরও তথ্য প্রকাশ হতে থাকে।“
ভিক্টর মারকোপাওলোস জানান, তিনি অনেকগুলো স্পর্শকাতর তথ্য অরক্ষিত অবস্থায় দেখতে পেয়েছেন। এবং প্রতিটি ব্যাক্তির বেশ খুঁটিনাটি তথ্য বেশ বড় ফাইল আকারে সংযুক্ত আছে ওখানে। এমনকি ওই সব সরকারি ওয়েবসাইট থেকে যেসব ব্যক্তি সেবা গ্রহণ করেছেন তাদের ব্যাংক লেনদেনের তথ্য, কত টাকা লেনদেন করেছেন, অ্যাকাউন্ট নাম্বারের মতো গুরুত্বপূর্ণ তথ্য দেখতে পেয়েছেন।
ভিক্টর জানান-এটি ছিল বেশ বড় একটি ফাইল, যেখানে একজন ব্যক্তির নাম, তার বাবা-মা এমনকি দাদা-দাদীর নামসহ দেখা যাচ্ছে। অনেকগুলি সংবেদনশীল তথ্য যেমন জাতীয় পরিচয়পত্রের নম্বর, ওই সব ওয়েবসাইট থেকে সেবা নিতে যে সব ব্যাংক থেকে টাকা পরিশোধ করেছে তার নাম, কত টাকা দিয়েছেন সব দেখা যাচ্ছিলো”।
কতদিন ধরে অরক্ষিত ছিলো এসব ব্যক্তিগত তথ্য?
যেহেতু এই ওয়েবসাইটগুলো কেউ হ্যাক করেনি তাই ঠিক কতদিন ধরে এই তথ্য ভাণ্ডার অরক্ষিত ছিল তা নির্দিষ্ট করে জানা যায়নি। তবে জুন মাসের ২৭ তারিখ প্রথম এসব ওয়েবসাইট অরক্ষিত রয়েছে বলে জানতে পারেন সাইবার সিকিউরিটি গবেষক ভিক্টর মারকোপাওলোস।
API (Application programming interface)- তে দেখা যায় ওয়েব অ্যাপ্লিকেশনগুলি ২০২১ সালের। তবে ২০২২ সালের শেষের দিকে বা ২০২৩ সালের শুরুর দিকে কোন এক সময়ে ওয়েব অ্যাপ্লিকেশনগুলির সিস্টেম মাইগ্রেশন হয়েছিলো। ওই সময়ে এই তথ্যগুলো উন্মুক্ত হয়ে যেতে পারে বলে ধারণা করছেন ভিক্টর।
“API-এ যে ডেটা ছিল, সেগুলো ২০২১ সাল থেকে বর্তমান সময় অর্থাৎ ২৭শে জুন ২০২৩ পর্যন্ত। এতো লম্বা সময়ে এই তথ্য ফাঁস সম্পর্কে জানার জন্য যে কেউ যথেষ্ট সময় পেয়েছে। যদি কেউ ফাঁস হওয়া এই উন্মুক্ত তথ্য সম্পর্কে জানে, তারা সেগুলি ডাউনলোড করতে পারে এবং ব্যবহার করারও সম্ভাবনা আছে।”
ব্যক্তিগত তথ্য ফাঁস নিয়ে বাংলাদেশ সরকারের বক্তব্য কী?
তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক রোববার ঢাকায় এক অনুষ্ঠানে স্বীকার করেছেন 'সিস্টেমের দুর্বলতার' কারণে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে। তবে তিনি দাবি করেছেন, সরকারি কোনো ওয়েবসাইট হ্যাক হয়নি।
তিনি সাংবাদিকদের বলেছেন, “এটি টেকনিক্যাল ফল্ট (কারিগরি ত্রুটি)। যার ফলে ওয়েবসাইটের তথ্য খুব সহজে দেখা যাচ্ছিল, অর্থাৎ সব তথ্য উন্মুক্ত ছিল। একে ঠিক হ্যাকিং বলা মুশকিল। কারণ হ্যাকিং হচ্ছে কেউ যদি অবৈধভাবে কোন সিস্টেমে প্রবেশ করে।”
ভিক্টর জানান-এটি ছিল বেশ বড় একটি ফাইল, যেখানে একজন ব্যক্তির নাম, তার বাবা-মা এমনকি দাদা-দাদীর নামসহ দেখা যাচ্ছে। অনেকগুলি সংবেদনশীল তথ্য যেমন জাতীয় পরিচয়পত্রের নম্বর, ওই সব ওয়েবসাইট থেকে সেবা নিতে যে সব ব্যাংক থেকে টাকা পরিশোধ করেছে তার নাম, কত টাকা দিয়েছেন সব দেখা যাচ্ছিলো”।
কতদিন ধরে অরক্ষিত ছিলো এসব ব্যক্তিগত তথ্য?
যেহেতু এই ওয়েবসাইটগুলো কেউ হ্যাক করেনি তাই ঠিক কতদিন ধরে এই তথ্য ভাণ্ডার অরক্ষিত ছিল তা নির্দিষ্ট করে জানা যায়নি। তবে জুন মাসের ২৭ তারিখ প্রথম এসব ওয়েবসাইট অরক্ষিত রয়েছে বলে জানতে পারেন সাইবার সিকিউরিটি গবেষক ভিক্টর মারকোপাওলোস।
API (Application programming interface)- তে দেখা যায় ওয়েব অ্যাপ্লিকেশনগুলি ২০২১ সালের। তবে ২০২২ সালের শেষের দিকে বা ২০২৩ সালের শুরুর দিকে কোন এক সময়ে ওয়েব অ্যাপ্লিকেশনগুলির সিস্টেম মাইগ্রেশন হয়েছিলো। ওই সময়ে এই তথ্যগুলো উন্মুক্ত হয়ে যেতে পারে বলে ধারণা করছেন ভিক্টর।
“API-এ যে ডেটা ছিল, সেগুলো ২০২১ সাল থেকে বর্তমান সময় অর্থাৎ ২৭শে জুন ২০২৩ পর্যন্ত। এতো লম্বা সময়ে এই তথ্য ফাঁস সম্পর্কে জানার জন্য যে কেউ যথেষ্ট সময় পেয়েছে। যদি কেউ ফাঁস হওয়া এই উন্মুক্ত তথ্য সম্পর্কে জানে, তারা সেগুলি ডাউনলোড করতে পারে এবং ব্যবহার করারও সম্ভাবনা আছে।”
ব্যক্তিগত তথ্য ফাঁস নিয়ে বাংলাদেশ সরকারের বক্তব্য কী?
তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক রোববার ঢাকায় এক অনুষ্ঠানে স্বীকার করেছেন 'সিস্টেমের দুর্বলতার' কারণে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে। তবে তিনি দাবি করেছেন, সরকারি কোনো ওয়েবসাইট হ্যাক হয়নি।
তিনি সাংবাদিকদের বলেছেন, “এটি টেকনিক্যাল ফল্ট (কারিগরি ত্রুটি)। যার ফলে ওয়েবসাইটের তথ্য খুব সহজে দেখা যাচ্ছিল, অর্থাৎ সব তথ্য উন্মুক্ত ছিল। একে ঠিক হ্যাকিং বলা মুশকিল। কারণ হ্যাকিং হচ্ছে কেউ যদি অবৈধভাবে কোন সিস্টেমে প্রবেশ করে।”
