বাংলাদেশে অনেকের ব্যক্তিগত তথ্য বেহাত, অরক্ষিত আরও ওয়েবসাইট
১৪ জুলাই ২০২৩
বাংলাদেশ সরকারের স্থানীয় সরকার বিভাগের আওতায় থাকা জন্ম ও মৃত্যু নিবন্ধন ওয়েবসাইট থেকে পাঁচ কোটি মানুষের ব্যক্তিগত তথ্য ফাঁস হয়েছে বলে ডয়চে ভেলেকে জানিয়েছেন তথ্য নিরাপত্তা পরামর্শদাতা ভিক্টর মারকোপাওলোস৷ গতমাসে বিষয়টি তার নজরে আসে৷ এরপর তিনি তথ্য ফাঁসের বিষয়টি সংশ্লিষ্ট কর্তৃপক্ষের নজরে আনতে একাধিকবার চেষ্টা করেও ব্যর্থ হন৷
মার্কিন যুক্তরাষ্ট্রভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন সংবাদপত্র টেকক্রাঞ্চ গত ৭ জুলাই এই বিষয়ে একটি প্রতিবেদন প্রকাশ করলে আলোড়ন সৃষ্টি হয়৷ ইতিমধ্যে নিবন্ধনের সাইটটি থেকে সেসব তথ্য সরিয়ে নেয়া হয়েছে বলে জানিয়েছে সংশ্লিষ্ট কর্তৃপক্ষ৷
কীভাবে ফাঁস হলো এত তথ্য?
সাউথ আফ্রিকাভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটিতে চাকুরি করেন ভিক্টর মারকোপাওলোস৷ ডয়চে ভেলেকে তিনি জানান যে গুগলে কিছু খুঁজতে গিয়ে ঘটনাচক্রে বিষয়টি নজরে আসে তার৷ বাংলাদেশি নাগরিকদের গুরুত্বপূর্ণ এবং স্পর্শকাতর এসব ব্যক্তিগত তথ্য পেতে তার আলাদা করে কিছু করতে হয়নি৷
তিনি বলেন, ‘‘জন্ম ও মৃত্যু নিবন্ধনের ওয়েবসাইটটির সার্ভারে আমার প্রবেশ করতে হয়নি৷ আমি আসলে সেটিতে ব্যবহৃত ওয়েব অ্যাপ্লিকেশন কখনো যাচাইও করিনি৷ কিন্তু অ্যাপ্লিকেশনটিতে ব্যবহৃত এপিআই উন্মুক্ত ছিল৷ অর্থাৎ সেটির ওয়েব ঠিকানায় প্রবেশের জন্য আলাদা কোনো অথরাইজেশনের প্রয়োজন ছিল না৷ ফলে ওয়েব ঠিকানাটি জানা যে কেউ সরাসরি সেসব তথ্যে প্রবেশ করতে পারতেন৷''
অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস বা এপিআই ব্যবহার করে একটি অ্যাপ্লিকেশন থেকে অন্য অ্যাপ্লিকেশনে তথ্য শেয়ার করা যায়৷ মজবুত অথরাইজেশন ব্যবস্থা চালু করে এপিআই নিরাপদ করা যায়৷ মারকোপাওলোস জানান যে জন্ম ও মৃত্যু নিবন্ধন ওয়েবসাইটের এপিআই ইউআরএল বা ওয়েব ঠিকানাটি তিনি গুগলে খুঁজে পেয়েছিলেন৷
তিনি বলেন, ‘‘মোট ২৩ কোটি ২০ লাখ রেকর্ড ফাঁস হয়েছিল৷ এরমধ্যে প্রথম আঠারো কোটি ছিল শুধু পুরো নাম এবং জন্ম তারিখের মতো সাধারণ তথ্য৷ তবে আঠারো কোটিতম থেকে ২৩ কোটি ২০ লাখতম রেকর্ডে সংশ্লিষ্টদের বিস্তারিত ব্যক্তিগত তথ্য ছিল৷''
অনেক ব্যক্তির তথ্য একাধিকবার জমা করায় এবং লিগেসি কন্টাক্ট থাকায় রেকর্ডের তালিকা এত বড় বলে ধারণা করছেন তিনি৷ অনলাইন নিরাপত্তায় ত্রুটি খোঁজা এই গবেষক জানান যে সব তথ্য তারপক্ষে যাচাই করা সম্ভব হয়নি৷ তবে কিছু রেকর্ড পরীক্ষা করে দেখেছেন তিনি৷
যেসব বিস্তারিত তথ্য ফাঁস হয়েছে তার মধ্যে একজন ব্যক্তির পূর্ণাঙ্গ নাম এবং জন্মতারিখ ছাড়াও তার ইমেল ঠিকানা, ফোন নম্বর, জাতীয় পরিচয়পত্রের নম্বরসহ ব্যাংকে অর্থ আদান-প্রদানের মতো তথ্য রয়েছে৷
জার্মানিতে চাকুরিরত বাংলাদেশি অনলাইন নিরাপত্তা বিশেষজ্ঞ খালেদ মোশাররফ তথ্য ফাঁসের এই ঘটনাকে বেশ উদ্বেগজনক ব্যাপার মনে করছেন৷ তিনি বলেন, ‘‘ব্যক্তিগত তথ্যের সুরক্ষায় এবং নিরাপত্তায় সর্বাধিক গুরুত্ব দেয়া উচিত৷ এটা অত্যন্ত উদ্বেগের ব্যাপার যে বাংলাদেশের এত বিশাল সংখ্যক মানুষের ব্যক্তিগত তথ্য প্রকাশ হয়ে গেছে৷''
ব্যক্তিগত তথ্য ফাঁস হওয়া ব্যক্তিরা কী ধরনের ঝুঁকিতে পড়তে পারেন?
ডয়চে ভেলের সঙ্গে আলাপকালে দুই সাইবার সিকিউরিটি বিশেষজ্ঞই বলেছেন যে ফাঁস হওয়া তথ্য ব্যবহার করে নানারকম অপরাধমূলক কর্মকাণ্ড পরিচালনা করা সম্ভব৷ বিশেষ করে একজন ব্যক্তির পরিচয় চুরি করে প্রতারণামূলক কর্মকাণ্ডে তাকে যুক্ত করার সুযোগ রয়েছে৷
গ্রিসে অবস্থানরত গবেষক ভিক্টর মারকোপাওলোস বলেন, ‘‘জন্ম নিবন্ধন যাচাইয়ের রেকর্ড ঘাটতে ফাঁস হওয়া তথ্য ব্যবহার করা যেতে পারে৷ আমি বাংলাদেশের আমলাতান্ত্রিক কাঠামো সম্পর্কে জানি না, তবে পরিচয় প্রতারণা করা সম্ভব হতে পারে৷''
তিনি বলেন, ‘‘কোটি কোটি ইমেল ঠিকানা, ফোন নম্বর, টাকা লেনদেনে কোন ব্যাংক ব্যবহার করা হয়েছে সেসব তথ্য ব্যবহার করে অপরাধীরা ‘সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক' পরিচালনা করতে পারে৷ কারণ অপরাধীরা জানে এসব তথ্য কোন কাজে ব্যবহার করা হয়েছিল৷ ফলে জন্ম ও মৃত্যু নিবন্ধন কর্তৃপক্ষের কর্মকর্তার বেশ ধরেও কারো কারো অপরাধে জড়ানোর সুযোগ আছে৷''
এই গবেষক মন করেন, এসব ইমেল ঠিকানা ও সংশ্লিষ্ট তথ্য ব্যবহার করে ‘স্পেয়ার ফিশিং' এবং ফোন নম্বর ও অন্যান্য তথ্য ব্যবহার করে ‘ভিশিং অ্যাটাক' হতে পারে৷
অপর বিশেষজ্ঞ খালেদ মোশাররফ মনে করেন, ফাঁস হওয়া তথ্য ব্যবহার করে একজন মানুষকে হেনস্থা করার পাশাপাশি তার সম্মানহানী করাও সম্ভব৷ এমনকি একজন মানুষের অজান্তেই তার বেশ ধরে অন্য কেউ অপরাধে জড়াতে পারে৷
তিনি বলেন, ‘‘একজনের ফাঁস হওয়া তথ্য ব্যবহার করে অন্য কেউ ক্রেডিট কার্ড বা ব্যাংক থেকে ঋণ নিতে পারেন৷ তখন একজন ব্যক্তি নিজের অজান্তে ঋণের জালে জড়িয়ে যেতে পারেন৷ তাদের তথ্য ব্যবহার করে সামাজিক যোগাযোগ মাধ্যমে ভুয়া অ্যাকাউন্ট তৈরিসহ আরো অনেক অপকর্ম করার সুযোগ রয়েছে৷''
বাংলাদেশে অনলাইন নিরাপত্তার বেহাল দশা
বাংলাদেশে অনলাইন নিরাপত্তা ব্যবস্থা ভেঙ্গে পড়ার ঘটনা এটাই প্রথম নয়৷ গত মার্চে একদল হ্যাকার বাংলাদেশের রাষ্ট্রায়ত্ত্ব এয়ারলাইন বিমান বাংলাদেশের ১০০ গিগাবাইটের মতো তথ্য দখলে নেয় এবং সেগুলো ফেরত পেতে ৫০ কোটি টাকার মতো দাবি করে৷
এর আগে ২০১৬ সালে বাংলাদেশের কেন্দ্রীয় ব্যাংকের একাউন্ট থেকে কয়েকশো কোটি টাকা চুরি করে একদল হ্যাকার৷ সেই ঘটনা গোটা বিশ্বে আলোড়ন সৃষ্টি করেছিল৷
এছাড়া একজন ব্যক্তির নামে আরেকজন সামাজিক যোগাযোগ মাধ্যমে অ্যাকাউন্ট খুলে প্রতারণা কিংবা মোবাইলে অর্থ আদানপ্রদানের ক্ষেত্রে জোচ্চুরির ঘটনা হরহামেশাই ঘটছে৷
নাম প্রকাশে অনিচ্ছুক একজন বিশেষজ্ঞ বাংলাদেশ সরকারের প্রধানমন্ত্রীর কার্যালয়, নির্বাচন কমিশনসহ বেশ কয়েকটি সরকারি ওয়েবসাইট যাচাই করে ডয়চে ভেলেকে জানিয়েছেন যে এসব ওয়েবসাইটের নিরাপত্তা ব্যবস্থা নাজুক এবং এগুলো হ্যাকড হওয়ার ঝুঁকিতে রয়েছে৷ কোনো কোনো সাইটের এসএসএল সার্টিফিকেট নেই, এনক্রিপশন দুর্বল, ওয়েবসার্ভার সেকেলে এবং টিএলএস হালনাগাদ নয়৷
সাইবার সিকিউরিটি বিশেষজ্ঞরা মনে করেন, বাংলাদেশ সরকার সবকিছু অনলাইন করতে যতটা তৎপর অনলাইন নিরাপত্তা নিয়ে ততটা সচেতন নয়৷
ভিক্টর মারকোপাওলোস বলেন, ‘‘সাইবার সিকিউরিটি নিশ্চিত করতে ছয় মাস বা এক বছর পরপর সাইটগুলোতে অনুপ্রবেশযোগ্যতা পরীক্ষা, অ্যাপ্লিকেশন তৈরির সময় সেগুলোর নিরাপত্তা পরীক্ষা, সিকিউর কোড লেখা এবং সংশ্লিষ্ট কর্মীদেরকে নিরাপত্তা সচেতনতামূলক প্রশিক্ষণ দেয়ার মতো কার্যক্রম পরিচালনা করা যেতে পারে৷''
খালেদ মোশাররফ আশঙ্কা করছেন ভবিষ্যতেও তার দেশের সরকারি ওয়েবসাইটগুলোতে হামলা হতে পারে৷ বিশেষ করে সাম্প্রতিক বছরগুলোতে সাইবার হামলার পরিমাণ বেড়েছে৷ তিনি বলেন, ‘‘কয়েক স্তরের বলিষ্ঠ সাইবার সিকিউরিটি কার্যক্রম পরিচালনার মাধ্যমে সরকারি ওয়েবসাইটের নিরাপত্তা বাড়ানো সম্ভব৷''