কয়েক লাখ বাংলাদেশি নাগরিকের ব্যক্তিগত তথ্য ফাঁস

ঈদের ছুটিতে ঘটনা : দক্ষিণ আফ্রিকাভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান বিটক্রাক সাইবার সিকিউরিটির গবেষক ভিক্টর মার্কোপোলোস টেকক্রাঞ্চকে জানান, গত ২৭ জুন আকস্মিকভাবে বাংলাদেশিদের তথ্য ফাঁস হওয়ার বিষয়টি জানতে পারেন তিনি। ওই দিন বাংলাদেশে ছিল ঈদের ছুটি। তিনি দাবি করেন, বিষয়টি জানার পরপরই বিজিডি ই-গভ সার্টের সঙ্গে যোগাযোগ করেন তিনি।

আর টেকক্রাঞ্চের দাবি, ডাটা ফাঁসের বিষয়ে জানতে বাংলাদেশের বিজিডি ই-গভ সার্ট, সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে বাংলাদেশ দূতাবাস এবং যুক্তরাষ্ট্রের নিউ ইয়র্ক সিটিতে কনস্যুলেটে যোগাযোগ করেও কোনো সাড়া পায়নি তারা।

মার্কোপোলোসের দাবি, সরকারি ওয়েবসাইট থেকে লাখ লাখ বাংলাদেশির তথ্য ফাঁস হয়েছে। আর ফাঁস হওয়া ডাটাগুলোর সত্যতা নিশ্চিত করতে পেরেছে বলে জানিয়েছে টেকক্রাঞ্চ। মার্কোপোলোসের বরাত দিয়ে সংবাদমাধ্যমটি বলেছে, ডাটাগুলো এখনো অনলাইনে থাকায় সরকারি ওয়েবসাইটটির নাম প্রকাশ করা হয়নি।

মার্কোপোলোস টেকক্রাঞ্চকে জানিয়েছেন, তিনি স্ট্রাকচারড কোয়েরি ল্যাঙ্গুয়েজের (এসকিউএল) ভুল নিয়ে গুগলে সার্চ দিয়েছিলেন। তখন ডাটা ফাঁসের বিষয়টি তার কাছে ধরা পড়ে। যেমন—নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম, কারো কারো মা-বাবার নাম পাওয়া গেছে। ১০টি ভিন্ন ধরনের ডাটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চও।

সন্দেহের তীর এনআইডি সার্ভারের দিকে : দেশের সরকারি-বেসরকারি ১৭১টি প্রতিষ্ঠান ও সংস্থা এনআইডি সার্ভারের সঙ্গে যুক্ত। বিভিন্ন সেবা দেওয়ার জন্য তথ্য যাচাই করতে তারা চুক্তিবদ্ধ হয়েছে। কিন্তু এদের সবার সাইট ও সার্ভারের নিরাপত্তাব্যবস্থা সমান নয়।

নির্বাচন কমিশনের জাতীয় পরিচয় (এনআইডি) নিবন্ধন অনুবিভাগের সংশ্লিষ্ট একজন কর্মকর্তা গতকাল বলেন, নাগরিকদের ব্যক্তিগত তথ্য ফাঁসের যে অভিযোগ পাওয়া গেছে তার সঙ্গে এনআইডি অনুবিভাগের সম্পর্ক নেই। এক বছর আগেই তাঁরা এ বিষয়ে সতর্কতামূলক ব্যবস্থা নিয়েছেন।

তবে এই কর্মকর্তা জানান, এনআইডির তথ্য যাচাইয়ের জন্য চুক্তিবদ্ধ ১৭১টি সরকারি-বেসরকারি সংস্থার মধ্যে কয়েকটির প্রয়োজনীয় নিরাপত্তামূলক ব্যবস্থা যথাযথ ছিল না। তখন এনআইডি-সংক্রান্ত তাদের সফটওয়্যার আপডেট করার সময় কিছু ডাটা পাবলিক হয়ে যায়। সঙ্গে সঙ্গে ওই সব সংস্থার সঙ্গে এনআইডি সার্ভারের সংযোগ বন্ধ করে দেওয়া হয়। পরে সংশ্লিষ্ট সংস্থাগুলোর কর্মকর্তাদের ডেকে এনে নিরাপত্তা নিশ্চিত করে পুনরায় সংযোগ দেওয়া হয়েছিল।

বাংলাদেশ ইউনিভার্সিটি অব বিজনেস অ্যান্ড টেকনোলজির সহকারী অধ্যাপক ও সাইবার নিরাপত্তা বিশেষজ্ঞ তানভীর হাসান (জোহা) বলেন, কোথা থেকে তথ্য ফাঁস হয়েছে তা সরকারি সংস্থাকে বের করতে হবে। সাধারণত এনআইডি সার্ভারের ডাটাবেইসের প্যাচ আপডেট না হলে তাতে হ্যাকাররা প্রবেশ করতে পারে। ডাটাবেইসে দুর্বলতা আছে কি না তা এনআইডি সার্ভারের অ্যাডমিনিস্ট্রেটররা বলতে পারবেন।

তথ্য-প্রযুক্তি বিশেষজ্ঞরা যা বলছেন : বিজিডি ই-গভ সার্টের সাবেক প্রকল্প পরিচালক তারেক এম বরকতউল্লাহ গতকাল  বলেন, সব ই-সেবার গাইড লাইন আছে, যা মেনে চলার নির্দেশনা দেওয়া আছে। বাংলাদেশ ন্যাশনাল ডিজিটাল আর্কিটেকচারের নির্দেশনা না মেনে চললে এমন ঘটনা ঘটার ঝুঁকি থাকে।

সাইবার ঝুঁকি মোকাবেলায় নেক্সট জেনারেশন ফায়ারওয়াল (এনজিএফডাব্লিউ) সফটওয়্যার স্থাপনসহ নানা প্রয়োজনীয় পদক্ষেপের বাস্তবায়নে নিয়মিত সাইবার সিকিউরিটি অডিট বাধ্যতামূলক করার পরামর্শ দিয়েছেন তথ্য-প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির। তিনি বলেন, ‘সাইবার হামলার ঝুঁকি প্রতিনিয়তই বাড়ছে। এটা মোকাবেলায় আমাদের যে প্রস্তুতি তাতে ঘাটতি ধরা পড়ে মাঝেমধ্যে। তা থেকে উত্তরণের চেষ্টা না করলে বড় ধরনের ক্ষতির আশঙ্কা থাকে।’

সাম্প্রতিক সাইবার হামলা : এর আগে সাইবার হামলায় তথ্য বেহাত হয়েছিল বিমান বাংলাদেশ এয়ারলাইনসের। ‘মানি মেসেজ’ নামের একটি র‌্যানসামওয়ার গ্রুপের মাধ্যমে সাইবার হামলার শিকার হয়েছিল বিমানের সার্ভার। এতে বিমানকর্মীদের ব্যক্তিগত তথ্যসহ নানা গুরুত্বপূর্ণ তথ্য বেহাত হয়। এসব তথ্যের জন্য ৫০ লাখ ডলার দাবি করেছিল ওই গ্রুপ। আক্রান্ত হওয়ার আগেই গত ১৪ মার্চ বিমান কর্তৃপক্ষকে সম্ভাব্য হামলার বিষয়ে সতর্ক করা হয়েছিল। কিন্তু তারা কোনো ব্যবস্থা নেয়নি।

২০১৬ সালের ৫ ফেব্রুয়ারি নিউ ইয়র্ক ফেডারেল ব্যাংকে থাকা বাংলাদেশ ব্যাংকের রিজার্ভ থেকে আট কোটি ১০ লাখ ডলার চুরি হয়। পরে তদন্তে জানা যায়, ওই অর্থ ফিলিপাইনের রিজাল ব্যাংকের একটি শাখায় চারটি ভুয়া হিসাবে জমা হয়। সেখান থেকে তা দ্রুত তুলে নেওয়া হয়। অর্থ আত্মসাতের লক্ষ্যে বিশ্বের বিভিন্ন দেশের ব্যাংকে হামলার চেষ্টা চালাচ্ছে উত্তর কোরীয় হ্যাকার গ্রুপ ‘বিগল বয়েজ’। ওই হামলার সময়ও বাংলাদেশের সরকারি ছুটি ছিল।

এর আগে-পরে ছোট-বড় বিভিন্ন সাইবার হামলার ঘটনা ঘটেছে দেশের সরকারি ওয়েবসাইটে।