বাংলাদেশে সরকারি ওয়েবসাইট থেকে তথ্য ফাঁস উদঘাটনকারী গবেষক ভিক্টর মারকোপাওলোস বিবিসিকে বলেছেন, অরক্ষিত ওই ওয়েবসাইটগুলোতে শুরু থেকেই নিরাপত্তা ব্যবস্থায় গুরুত্ব দেয়া হয়নি।

তিনি বলেন, বিষয়টি শনাক্ত করার পর তিনি একাধিকবার বাংলাদেশের সংশ্লিষ্ট কর্তৃপক্ষের যোগাযোগ করেও কোনো সাড়া পাননি। এমনকি এখনে পর্যন্ত কর্তৃপক্ষের কেউ তার সাথে যোগাযোগ করেনি।

প্রায় পাঁচ কোটি বাংলাদেশী নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার তথ্য প্রথম প্রচার করে যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তিবিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চ। গত ৭ জুলাই প্রকাশিত টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে, গত ২৭ জুন প্রথম ফাঁস হওয়া তথ্যগুলো ইন্টারনেটে দেখতে পান দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস।

বিবিসির পক্ষ থেকে সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোসের সাথে যোগাযোগ করা হলে তিনি জানান, নিজের একটি প্রজেক্টের কাজ করতে গিয়ে ঘটনাক্রমে তথ্যগুলো আমার সামনে চলে আসে।

মারকোপাওলোস বলেন, ‘আমি ঘটনাক্রমে এটি খুঁজে পেয়েছি, আসলে আমি অন্য প্রকল্পের কাজ করছিলাম, আমি আসলে একটি ত্রুটিপূর্ণ ওয়েবসাইটের জন্য গুগলিং করছিলাম, যাতে আমি সেটা পরীক্ষা করতে পারি। তখন এটি (বাংলাদেশ সরকারের ওয়েবসাইটটি)আমার Google অনুসন্ধানে দ্বিতীয় ফলাফলে চলে আসে এবং এটির URL-এ একটু ব্যতিক্রম ছিল এবং কিছু গরমিল ছিল।’

গ্রিক নাগরিক ভিক্টর মারকোপাওলোস মূলত গ্রিসের এথেন্স থেকে দক্ষিণ আফ্রিকার একটি সাইবার সিকিউরিটি প্রতিষ্ঠানের জন্য কাজ করেন। তার কাজ হলো বিভিন্ন ওয়েবসাইট ও মোবাইল অ্যাপের নিরাপত্তা ঝুঁকি খুঁজে বের করা এবং তা দূর করা।

কী ধরণের গরমিল ছিল সরকারি ওয়েবসাইটে?
ভিক্টর মারকোপাওলোস জানান, একটি দেশের সরকারি ওয়েবসাইট কেন এভাবে অরক্ষিত অবস্থায় পড়ে আছে তা জানতে কৌতূহলী হয়ে উঠেন তিনি এবং দেখতে পান এই ওয়েবসাইটের URL-এ বেশ কিছু অসংগতি রয়েছে।

তিনি বলেন, “URL-এ একটি নম্বরের পরিবর্তে একটি শব্দ ছিল ‘নিবন্ধন করুন’ কিন্তু এখানে থাকার কথা ছিল একটি নাম্বার। তখন আমি শব্দটি নম্বরে পরিবর্তন করেছিলাম এবং দেখলাম এটি আসলে বাংলাদেশের একজন ব্যক্তির রেকর্ড ছিল। আমি ওই নম্বরে সংখ্যা বৃদ্ধি করার সাথে সাথে আরো তথ্য প্রকাশ হতে থাকে।”

কী কী ব্যক্তিগত তথ্য দেখা গেছে অনলাইনে?
ভিক্টর মারকোপাওলোস জানান, তিনি অনেক স্পর্শকাতর তথ্য অরক্ষিত অবস্থায় দেখতে পেয়েছেন। এবং প্রতিটি ব্যাক্তির বেশ খুঁটিনাটি তথ্য বেশ বড় ফাইল আকারে সংযুক্ত আছে ওখানে।

এমনকি ওই সব সরকারি ওয়েবসাইট থেকে যেসব ব্যক্তি সেবা গ্রহণ করেছেন তাদের ব্যাংক লেনদেনের তথ্য, কত টাকা লেনদেন করেছেন, অ্যাকাউন্ট নাম্বারের মতো গুরুত্বপূর্ণ তথ্য দেখতে পেয়েছেন।

ভিক্টর জানান, ‘এটি ছিল বেশ বড় একটি ফাইল, যেখানে একজন ব্যক্তির নাম, তার বাবা-মা এমনকি দাদা-দাদির নামসহ দেখা যাচ্ছে। অনেক সংবেদনশীল তথ্য যেমন জাতীয় পরিচয়পত্রের নম্বর, ওই সব ওয়েবসাইট থেকে সেবা নিতে যে সব ব্যাংক থেকে টাকা পরিশোধ করেছে তার নাম, কত টাকা দিয়েছেন সব দেখা যাচ্ছিলো।’

কত দিন ধরে অরক্ষিত ছিল এসব ব্যক্তিগত তথ্য?
যেহেতু এই ওয়েবসাইটগুলো কেউ হ্যাক করেনি তাই ঠিক কত দিন ধরে এই তথ্য ভাণ্ডার অরক্ষিত ছিল তা নির্দিষ্ট করে জানা যায়নি। তবে জুন মাসের ২৭ তারিখ প্রথম এসব ওয়েবসাইট অরক্ষিত রয়েছে বলে জানতে পারেন সাইবার সিকিউরিটি গবেষক ভিক্টর মারকোপাওলোস।

API (Application programming interface)-এ দেখা যায় ওয়েব অ্যাপ্লিকেশনগুলি ২০২১ সালের। তবে ২০২২ সালের শেষের দিকে বা ২০২৩ সালের শুরুর দিকে কোনো একসময়ে ওয়েব অ্যাপ্লিকেশনগুলোর সিস্টেম মাইগ্রেশন হয়েছিলো। ওই সময়ে এই তথ্যগুলো উন্মুক্ত হয়ে যেতে পারে বলে ধারণা করছেন ভিক্টর।

তিনি বলেন, ‘API-এ যে ডেটা ছিল, সেগুলো ২০২১ সাল থেকে বর্তমান সময় অর্থাৎ ২৭ জুন ২০২৩ পর্যন্ত। এতো লম্বা সময়ে এই তথ্য ফাঁস সম্পর্কে জানার জন্য যে কেউ যথেষ্ট সময় পেয়েছে। যদি কেউ ফাঁস হওয়া এই উন্মুক্ত তথ্য সম্পর্কে জানে, তারা সেগুলি ডাউনলোড করতে পারে এবং ব্যবহার করারও সম্ভাবনা আছে।’

নিরাপত্তা ঘাটতি ছিল ওই সরকারি ওয়েবসাইটে?
মারকোপাওলোস বলেন, এসব ওয়েবসাইটের প্রধান দুর্বলতা হলো এর ‘অথোরাইজেশন ম্যকানিজম’ বা অনুমোদন ব্যবস্থা। অর্থাৎ যারা এই ওয়েবসাইটের ব্যবস্থাপনার করতেন তাদের ওয়েবসাইটে লগইন বা লগআউটের জন্য কোন সুরক্ষিত ব্যবস্থা ছিলো না। এ ছাড়া সাদা চোখে আরো কিছু নিরাপত্তা ঘাটতি চোখে পড়েছে ভিক্টর মারকোপাওলোসের।

তিনি জানান, ‘আমি নিজে ওয়েব অ্যাপ্লিকেশনটি পরীক্ষা করিনি। কারণ এটা করার জন্য আমি অনুমোদিত ব্যক্তি নই। এটির সবচেয়ে বড় দুর্বলতা হলো- এই ওয়েবসাইটের অনুমোদন ব্যবস্থা। কোনো ধরণের টোকেন ছাড়াই ব্যবস্থাপকদের যে কেউ এই সাইটের তথ্য দেখতে পারত। ব্যবহারকারীদের জন্য যে OTP-র ব্যবস্থা রয়েছে সেটার নিরাপত্তাও দুর্বল। OTP-র জন্য যে ফোন নাম্বার ব্যবহার করা হয়, API-তে সেটি অনেক দেরিতে আসে। ফলে অপরাধীদের ওটিপি বাইপাস করার সুযোগ আছে এখানে।’

শুরু থেকেই নিরাপত্তার বিষয়ে গুরুত্ব দেয়া হয়নি
যেকোনো ওয়েবসাইটে API খুবই গুরুত্বপূর্ণ। কারণ এর মাধ্যমে প্রচুর ডেটা স্থানান্তর করা হয় । যেহেতু এসব সরকারি তথ্যভাণ্ডারে লাখ-লাখ লোকের তথ্য সংরক্ষণ করা আছে তাই এখানে নিরাপত্তা ব্যবস্থাও বেশ সুরক্ষিত করতে হয়। যারা এই ধরণের ওয়েবসাইট ডেভেলপ বা তৈরি করেন তাদেরকে শুরু থেকেই এই বিষয়টি মাথায় রাখতে হয়।

বাংলাদেশের এসব সরকারি ওয়েবসাইটে শুরু থেকেই এই নিরাপত্তার বিষয়টি এড়িয়ে যাওয়া হয়েছে বলে মনে করেন ভিক্টর মারকোপাওলোস।

তিনি বলেন, ‘এসব ওয়েবসাইটের শুরু থেকেই নিরাপত্তার বিষয়টি গুরুত্ব দেয়া হয়নি।’

তার মতে, ‘এটা আসলে ডেভেলপারের দায়িত্ব এমন মেকানিজম প্রয়োগ করা যা তথ্য ফাঁস এবং অনুপ্রবেশ ঠেকাবে।এই ওয়েবসাইটটি তৈরির সময় নিরাপত্তা নিয়ে খুব বেশি ভাবা হয়নি ফলে শুরু থেকেই এটি ত্রুটিপূর্ণ ছিল বলে আমার মনে হচ্ছে।’

সাড়া মেলেনি বাংলাদেশের
বাংলাদেশের লাখ-লাখ মানুষের ব্যক্তিগত তথ্য অরক্ষিত হয়ে পড়েছে দেখার পর বাংলাদেশ সরকারের কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম- বিজিডি ই-গভ সিআইআরটি, যারা মূলত সরকারি ওয়েবসাইটের নিরাপত্তার বিষয়টি দেখাশোনা করে, তাদের সাথে যোগাযোগ করেন ভিক্টর মারকোপাওলোস।

তিনি জানান, প্রথমে ২৭ ও ২৮ জুন, এবং এরপর ৪,৫ ও ৭ জুলাই তিনি বিজিডি ই-গভ সিআইআরটিসহ সংশ্লিষ্ট কর্তৃপক্ষের কাছে ইমেইল করেন, কিন্তু কোনো সাড়া পাওয়া যায়নি। পরে ভিক্টর যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চের রিপোর্টারকে এই বিষয়টি জানান।

তথ্য ফাঁস হওয়ার ঘটনা সত্য কিনা তা পরে যাচাই করেছে টেকক্রাঞ্চ। এজন্য তারা ওই ওয়েব সাইটের পাবলিক সার্চ টুলসের মাধ্যমে দেখতে পায় যে তারা সহজেই বাংলাদেশের আক্রান্ত সরকারি ওয়েবসাইটের ডাটাবেজে থাকা তথ্য বের করতে পারছে।

যেমন- নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম এমনকি কারো কারো বাবা-মায়ের নাম পাওয়া গেছে। মোট ১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ, যা প্রতিবারই সঠিক তথ্য দেয়।

ভিক্টর জানান, ‘আমি প্রায় প্রতিদিন ইমেইল পাঠিয়েছি, কিন্তু তারা সাড়া দেওয়ার প্রয়োজন মনে করেনি। তারপর আমি টেকক্রাঞ্চ রিপোর্টারের সাথে কথা বলি। ঘটনাটি ফাঁস হওয়ার পরে এখন পর্যন্ত কোনো সরকারি পর্যায়ের কারো সাথে আমার যোগাযোগ হয়নি।’

তিনি বলেন, ‘যদিও তারা ইতিমধ্যে সমস্যার সমাধান করেছে, কিন্তু আমি কিভাবে এটি বের করলাম সে বিষয়ে তারা জানতে আগ্রহী নয় বলে মনে হয়েছে। তারা আমার এই অনুসন্ধান কোনোভাবে জেনেছে এবং নিজেরাই ঠিক করে নিয়েছে।’

ব্যক্তিগত তথ্য ফাঁস নিয়ে বাংলাদেশ সরকারের বক্তব্য কী?
তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক রোববার ঢাকায় এক অনুষ্ঠানে স্বীকার করেছেন যে ‘সিস্টেমের দুর্বলতার’ কারণে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে।

তবে তিনি দাবি করেছেন, সরকারি কোনো ওয়েবসাইট হ্যাক হয়নি।

তিনি সাংবাদিকদের বলেছেন, ‘এটি টেকনিক্যাল ফল্ট (কারিগরি ত্রুটি)। যার ফলে ওয়েবসাইটের তথ্য খুব সহজে দেখা যাচ্ছিল, অর্থাৎ সব তথ্য উন্মুক্ত ছিল। একে ঠিক হ্যাকিং বলা মুশকিল। কারণ হ্যাকিং হচ্ছে কেউ যদি অবৈধভাবে কোনো সিস্টেমে প্রবেশ করে।’

প্রতিমন্ত্রী বলেন, ‘যে ওয়েবসাইটের তথ্যগুলো পাবলিক হয়ে গেছে তাদের ন্যূনতম যে সিকিউরিটি সার্টিফিকেটটা নেয়ার দরকার ছিল সেটাও ছিল না। এপিআই যেটা ক্রিয়েট করা হয়েছে, সেখান থেকে ইচ্ছা করলেই যে কেউ তথ্যগুলো দেখতে পারছে। এটা দুঃখজনক। ভুল যারই হোক এতে ক্ষতি হয়েছে রাষ্ট্রের। এতে দেশের ভাবমূর্তি ক্ষুণ্ণ হয়েছে।’

‘এই দায়ভার এড়ানোর কোন সুযোগ নেই’ উল্লেখ করে প্রতিমন্ত্রী বলেছেন, ‘নিরাপদ থাকার জন্য ন্যূনতম যে চেষ্টা থাকার কথা ছিল, প্রস্তুতি নেওয়ার কথা ছিল সেটা তো ছিল না, তাই দোষ এড়ানোর তো কোন সুযোগ নেই।’

তবে এত দিন ধরে তথ্যভাণ্ডার অরক্ষিত থাকার বিষয়টি কেন তাদের নজরে আসেনি এবং তথ্য ফাঁসের বিষয়টি জানিয়ে এক সপ্তাহ ধরে ইমেইল করার পরেও কেন সাড়া দেয়া হয়নি- এসব প্রশ্ন নিয়ে মঙ্গলবার তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলকের সাথে যোগাযোগ করা হলে তার ব্যক্তিগত সহকারী জানান, প্রতিমন্ত্রী এই বিষয়ে কথা বলবেন না।
সূত্র : বিবিসি