খবর প্রকাশিত: ১৭ ডিসেম্বর, ২০২৩, ০১:৫০ এএম
ঢাকা: দেশের সরকারি ওয়েবসাইটে থাকা বাংলাদেশি নাগরিকদের ব্যক্তিগত তথ্য গুগল সার্চে পাওয়া যাচ্ছে। এই তথ্য জানিয়ে দক্ষিণ আফ্রিকাভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান বিটক্রাক দাবি করেছে, বাংলাদেশের কয়েক লাখ নাগরিকের ব্যক্তিগত তথ্য ফাঁস হয়েছে। একই তথ্য জানিয়েছে প্রযুক্তি নিয়ে কাজ করা যুক্তরাষ্ট্রভিত্তিক অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ।
বংলাদেশ সরকারের সংশ্লিষ্ট কোনো মন্ত্রণালয় বা দপ্তর গতকাল শনিবার রাত পর্যন্ত এ বিষয়ে আনুষ্ঠানিক কোনো তথ্য জানায়নি।
যোগাযোগ করা হলে সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিমের (বিজিডি ই-গভ সার্ট) প্রকল্প পরিচালক মোহাম্মদ সাইফুল আলম খান বলেছেন, ‘এই বিষয়ে আমরা কাজ করছি। আশা করছি রবিবার (আজ) বিস্তারিত জানাতে পারব।’
সরকারের কোন ওয়েবসাইট থেকে তথ্য ফাঁস হয়েছে তা বলেনি বিটক্রাক বা টেকক্রাঞ্চ কেউই। তবে তথ্য ফাঁসের কথা জানাতে এবং এ ব্যাপারে প্রতিক্রিয়া জানতে দুই সংস্থা থেকেই বাংলাদেশের কয়েকটি সরকারি সংস্থাকে ই-মেইল পাঠানো হয়েছিল।
তবে তারা কোনো সংস্থার কাছ থেকেই জবাব পায়নি বলে জানায়। যদিও গতকাল বিজিডি ই-গভ সার্ট বলেছে, তারা এ ধরনের কোনো মেইল পায়নি।
ব্যক্তিগত তথ্য ফাঁস হওয়ায় সাধারণভাবে সন্দেহের তীর গেছে জাতীয় পরিচয়পত্র বা এনআইডি সার্ভারের দিকে। যদিও তারা বলেছে, ১৭১টি সরকারি-বেসরকারি সংস্থা এনআইডি সার্ভারের তথ্য ব্যবহার করে।
দেশের ১৮ কিংবা তার বেশি বয়সী নাগরিকদের জাতীয় পরিচয়পত্র দেওয়া হয়। তাতে নাগরিকের ব্যক্তিগত তথ্য থাকে। আবার শিশুদের জন্ম নিবন্ধনও হয় ডিজিটাল পদ্ধতিতে। গাড়ি চালানোর লাইসেন্স পাওয়া, পাসপোর্ট করা, জমি বেচাকেনা, ব্যাংক অ্যাকাউন্ট খোলাসহ বিভিন্ন সেবা নেওয়ার ক্ষেত্রে নাগরিকদের তথ্য দিতে হয়।
তাই তথ্য ফাঁসের ঘটনা এসব প্রতিষ্ঠানের সার্ভার থেকেও হতে পারে বলে ধারণা করা হচ্ছে। তবে এখন পর্যন্ত কোনো হ্যাকার গোষ্ঠী এই তথ্য চুরি করার দাবি করেনি। দেশের সংশ্লিষ্ট সার্ভারগুলোর নিয়ন্ত্রণ হারানোর কোনো তথ্যও এখন পর্যন্ত জানা যায়নি।
গত শুক্রবার প্রকাশিত টেকক্রাঞ্চের প্রতিবেদনে জানানো হয়, ফাঁস হওয়া তথ্যের মধ্যে রয়েছে বাংলাদেশি নাগরিকদের পূর্ণ নাম, ফোন নম্বর, ই-মেইল ঠিকানা ও জাতীয় পরিচয়পত্রের নম্বর। এই তথ্যগুলো ফাঁস হওয়া সংশ্লিষ্ট ব্যক্তির জন্য ঝুঁকি তৈরি করতে পারে। তিনি নানাভাবে ক্ষতিগ্রস্ত হতে পারেন।
ঈদের ছুটিতে ঘটনা : দক্ষিণ আফ্রিকাভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান বিটক্রাক সাইবার সিকিউরিটির গবেষক ভিক্টর মার্কোপোলোস টেকক্রাঞ্চকে জানান, গত ২৭ জুন আকস্মিকভাবে বাংলাদেশিদের তথ্য ফাঁস হওয়ার বিষয়টি জানতে পারেন তিনি। ওই দিন বাংলাদেশে ছিল ঈদের ছুটি। তিনি দাবি করেন, বিষয়টি জানার পরপরই বিজিডি ই-গভ সার্টের সঙ্গে যোগাযোগ করেন তিনি।
আর টেকক্রাঞ্চের দাবি, ডাটা ফাঁসের বিষয়ে জানতে বাংলাদেশের বিজিডি ই-গভ সার্ট, সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে বাংলাদেশ দূতাবাস এবং যুক্তরাষ্ট্রের নিউ ইয়র্ক সিটিতে কনস্যুলেটে যোগাযোগ করেও কোনো সাড়া পায়নি তারা।
মার্কোপোলোসের দাবি, সরকারি ওয়েবসাইট থেকে লাখ লাখ বাংলাদেশির তথ্য ফাঁস হয়েছে। আর ফাঁস হওয়া ডাটাগুলোর সত্যতা নিশ্চিত করতে পেরেছে বলে জানিয়েছে টেকক্রাঞ্চ। মার্কোপোলোসের বরাত দিয়ে সংবাদমাধ্যমটি বলেছে, ডাটাগুলো এখনো অনলাইনে থাকায় সরকারি ওয়েবসাইটটির নাম প্রকাশ করা হয়নি।
মার্কোপোলোস টেকক্রাঞ্চকে জানিয়েছেন, তিনি স্ট্রাকচারড কোয়েরি ল্যাঙ্গুয়েজের (এসকিউএল) ভুল নিয়ে গুগলে সার্চ দিয়েছিলেন। তখন ডাটা ফাঁসের বিষয়টি তার কাছে ধরা পড়ে। যেমন—নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম, কারো কারো মা-বাবার নাম পাওয়া গেছে। ১০টি ভিন্ন ধরনের ডাটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চও।
সন্দেহের তীর এনআইডি সার্ভারের দিকে : দেশের সরকারি-বেসরকারি ১৭১টি প্রতিষ্ঠান ও সংস্থা এনআইডি সার্ভারের সঙ্গে যুক্ত। বিভিন্ন সেবা দেওয়ার জন্য তথ্য যাচাই করতে তারা চুক্তিবদ্ধ হয়েছে। কিন্তু এদের সবার সাইট ও সার্ভারের নিরাপত্তাব্যবস্থা সমান নয়।
নির্বাচন কমিশনের জাতীয় পরিচয় (এনআইডি) নিবন্ধন অনুবিভাগের সংশ্লিষ্ট একজন কর্মকর্তা গতকালবলেন, নাগরিকদের ব্যক্তিগত তথ্য ফাঁসের যে অভিযোগ পাওয়া গেছে তার সঙ্গে এনআইডি অনুবিভাগের সম্পর্ক নেই। এক বছর আগেই তাঁরা এ বিষয়ে সতর্কতামূলক ব্যবস্থা নিয়েছেন।
তবে এই কর্মকর্তা জানান, এনআইডির তথ্য যাচাইয়ের জন্য চুক্তিবদ্ধ ১৭১টি সরকারি-বেসরকারি সংস্থার মধ্যে কয়েকটির প্রয়োজনীয় নিরাপত্তামূলক ব্যবস্থা যথাযথ ছিল না। তখন এনআইডি-সংক্রান্ত তাদের সফটওয়্যার আপডেট করার সময় কিছু ডাটা পাবলিক হয়ে যায়। সঙ্গে সঙ্গে ওই সব সংস্থার সঙ্গে এনআইডি সার্ভারের সংযোগ বন্ধ করে দেওয়া হয়। পরে সংশ্লিষ্ট সংস্থাগুলোর কর্মকর্তাদের ডেকে এনে নিরাপত্তা নিশ্চিত করে পুনরায় সংযোগ দেওয়া হয়েছিল।
বাংলাদেশ ইউনিভার্সিটি অব বিজনেস অ্যান্ড টেকনোলজির সহকারী অধ্যাপক ও সাইবার নিরাপত্তা বিশেষজ্ঞ তানভীর হাসান (জোহা) বলেন, কোথা থেকে তথ্য ফাঁস হয়েছে তা সরকারি সংস্থাকে বের করতে হবে। সাধারণত এনআইডি সার্ভারের ডাটাবেইসের প্যাচ আপডেট না হলে তাতে হ্যাকাররা প্রবেশ করতে পারে। ডাটাবেইসে দুর্বলতা আছে কি না তা এনআইডি সার্ভারের অ্যাডমিনিস্ট্রেটররা বলতে পারবেন।
তথ্য-প্রযুক্তি বিশেষজ্ঞরা যা বলছেন : বিজিডি ই-গভ সার্টের সাবেক প্রকল্প পরিচালক তারেক এম বরকতউল্লাহ গতকাল বলেন, সব ই-সেবার গাইড লাইন আছে, যা মেনে চলার নির্দেশনা দেওয়া আছে। বাংলাদেশ ন্যাশনাল ডিজিটাল আর্কিটেকচারের নির্দেশনা না মেনে চললে এমন ঘটনা ঘটার ঝুঁকি থাকে।
সাইবার ঝুঁকি মোকাবেলায় নেক্সট জেনারেশন ফায়ারওয়াল (এনজিএফডাব্লিউ) সফটওয়্যার স্থাপনসহ নানা প্রয়োজনীয় পদক্ষেপের বাস্তবায়নে নিয়মিত সাইবার সিকিউরিটি অডিট বাধ্যতামূলক করার পরামর্শ দিয়েছেন তথ্য-প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির। তিনি বলেন, ‘সাইবার হামলার ঝুঁকি প্রতিনিয়তই বাড়ছে। এটা মোকাবেলায় আমাদের যে প্রস্তুতি তাতে ঘাটতি ধরা পড়ে মাঝেমধ্যে। তা থেকে উত্তরণের চেষ্টা না করলে বড় ধরনের ক্ষতির আশঙ্কা থাকে।’
সাম্প্রতিক সাইবার হামলা : এর আগে সাইবার হামলায় তথ্য বেহাত হয়েছিল বিমান বাংলাদেশ এয়ারলাইনসের। ‘মানি মেসেজ’ নামের একটি র্যানসামওয়ার গ্রুপের মাধ্যমে সাইবার হামলার শিকার হয়েছিল বিমানের সার্ভার। এতে বিমানকর্মীদের ব্যক্তিগত তথ্যসহ নানা গুরুত্বপূর্ণ তথ্য বেহাত হয়। এসব তথ্যের জন্য ৫০ লাখ ডলার দাবি করেছিল ওই গ্রুপ। আক্রান্ত হওয়ার আগেই গত ১৪ মার্চ বিমান কর্তৃপক্ষকে সম্ভাব্য হামলার বিষয়ে সতর্ক করা হয়েছিল। কিন্তু তারা কোনো ব্যবস্থা নেয়নি।
২০১৬ সালের ৫ ফেব্রুয়ারি নিউ ইয়র্ক ফেডারেল ব্যাংকে থাকা বাংলাদেশ ব্যাংকের রিজার্ভ থেকে আট কোটি ১০ লাখ ডলার চুরি হয়। পরে তদন্তে জানা যায়, ওই অর্থ ফিলিপাইনের রিজাল ব্যাংকের একটি শাখায় চারটি ভুয়া হিসাবে জমা হয়। সেখান থেকে তা দ্রুত তুলে নেওয়া হয়। অর্থ আত্মসাতের লক্ষ্যে বিশ্বের বিভিন্ন দেশের ব্যাংকে হামলার চেষ্টা চালাচ্ছে উত্তর কোরীয় হ্যাকার গ্রুপ ‘বিগল বয়েজ’। ওই হামলার সময়ও বাংলাদেশের সরকারি ছুটি ছিল।
এর আগে-পরে ছোট-বড় বিভিন্ন সাইবার হামলার ঘটনা ঘটেছে দেশের সরকারি ওয়েবসাইটে।