শুরু থেকে অনিরাপদ ছিল ওয়েবসাইট : ভিক্টর মারকোপাওলোস

বাংলাদেশে সরকারি ওয়েবসাইট থেকে তথ্য ফাঁস উদঘাটনকারী গবেষক ভিক্টর মারকোপাওলোস বিবিসিকে বলেছেন, অরক্ষিত ঐ ওয়েবসাইটগুলোতে শুরু থেকেই নিরাপত্তা ব্যবস্থায় গুরুত্ব দেয়া হয়নি।তিনি বলেন, বিষয়টি শনাক্ত করার পর তিনি একাধিকবার বাংলাদেশের সংশ্লিষ্ট কর্তৃপক্ষের যোগাযোগ করেও কোন সাড়া পাননি। এমনকি এখনো পর্যন্ত কর্তৃপক্ষের কেউ তার সাথে যোগাযোগ করেনি।

প্রায় পাঁচ কোটি বাংলাদেশি নাগরিকের ব্যক্তিগত তথ্য ফাঁস হওয়ার তথ্য প্রথম প্রচার করে যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চ। গত ৭ই জুলাই প্রকাশিত টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে, গত ২৭শে জুন প্রথম ফাঁস হওয়া তথ্যগুলো ইন্টারনেটে দেখতে পান দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস।

বিবিসির পক্ষ থেকে সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোসের সাথে যোগাযোগ করা হলে তিনি জানান, নিজের একটি প্রজেক্টের কাজ করতে গিয়ে ঘটনাক্রমে তথ্যগুলো আমার সামনে চলে আসে।

“আমি ঘটনাক্রমে এটি খুঁজে পেয়েছি, আসলে আমি অন্য প্রকল্পের কাজ করছিলাম, আমি আসলে একটি ত্রুটিপূর্ণ ওয়েবসাইটের জন্য গুগলিং করছিলাম, যাতে আমি সেটা পরীক্ষা করতে পারি। তখন এটি (বাংলাদেশ সরকারের ওয়েবসাইটটি)আমার Google অনুসন্ধানে দ্বিতীয় ফলাফলে চলে আসে এবং এটির URL-এ একটু ব্যতিক্রম ছিল এবং কিছু গরমিল ছিল” বলেন মি. মারকোপাওলোস।গ্রিক নাগরিক ভিক্টর মারকোপাওলোস মূলত গ্রিসের এথেন্স থেকে দক্ষিণ আফ্রিকার একটি সাইবার সিকিউরিটি প্রতিষ্ঠানের জন্য কাজ করেন। তার কাজ হলো বিভিন্ন ওয়েবসাইট ও মোবাইল অ্যাপের নিরাপত্তা ঝুঁকি খুঁজে বের করা এবং তা দূর করা।

কী ধরণের গরমিল ছিলো সরকারি ওয়েবসাইটে?

ভিক্টর মারকোপাওলোস জানান একটি দেশের সরকারি ওয়েবসাইট কেন এভাবে অরক্ষিত অবস্থায় পড়ে আছে তা জানতে কৌতূহলী হয়ে উঠেন তিনি এবং দেখতে পান এই ওয়েবসাইটের URL-এ বেশ কিছু অসংগতি রয়েছে।

“URL-এ একটি নম্বরের পরিবর্তে একটি শব্দ ছিল ‘নিবন্ধন করুন’ কিন্তু এখানে থাকার কথা ছিলো একটি নাম্বার। তখন আমি শব্দটি নম্বরে পরিবর্তন করেছিলাম এবং দেখলাম এটি আসলে বাংলাদেশের একজন ব্যক্তির রেকর্ড ছিল। আমি ওই নাম্বারে সংখ্যা বৃদ্ধি করার সাথে সাথে আরও তথ্য প্রকাশ হতে থাকে।“

কী কী ব্যক্তিগত তথ্য দেখা গেছে অনলাইনে?

ভিক্টর মারকোপাওলোস জানান, তিনি অনেকগুলো স্পর্শকাতর তথ্য অরক্ষিত অবস্থায় দেখতে পেয়েছেন। এবং প্রতিটি ব্যাক্তির বেশ খুঁটিনাটি তথ্য বেশ বড় ফাইল আকারে সংযুক্ত আছে ওখানে।

এমনকি ওই সব সরকারি ওয়েবসাইট থেকে যেসব ব্যক্তি সেবা গ্রহণ করেছেন তাদের ব্যাংক লেনদেনের তথ্য, কত টাকা লেনদেন করেছেন, অ্যাকাউন্ট নাম্বারের মতো গুরুত্বপূর্ণ তথ্য দেখতে পেয়েছেন।

ভিক্টর জানান “এটি ছিল বেশ বড় একটি ফাইল, যেখানে একজন ব্যক্তির নাম, তার বাবা-মা এমনকি দাদা-দাদীর নামসহ দেখা যাচ্ছে। অনেকগুলি সংবেদনশীল তথ্য যেমন জাতীয় পরিচয়পত্রের নম্বর, ওই সব ওয়েবসাইট থেকে সেবা নিতে যে সব ব্যাংক থেকে টাকা পরিশোধ করেছে তার নাম, কত টাকা দিয়েছেন সব দেখা যাচ্ছিলো”।

কতদিন ধরে অরক্ষিত ছিলো এসব ব্যক্তিগত তথ্য?

যেহেতু এই ওয়েবসাইটগুলো কেউ হ্যাক করেনি তাই ঠিক কতদিন ধরে এই তথ্য ভাণ্ডার অরক্ষিত ছিল তা নির্দিষ্ট করে জানা যায়নি। তবে জুন মাসের ২৭ তারিখ প্রথম এসব ওয়েবসাইট অরক্ষিত রয়েছে বলে জানতে পারেন সাইবার সিকিউরিটি গবেষক ভিক্টর মারকোপাওলোস।

API (Application programming interface)- তে দেখা যায় ওয়েব অ্যাপ্লিকেশনগুলি ২০২১ সালের। তবে ২০২২ সালের শেষের দিকে বা ২০২৩ সালের শুরুর দিকে কোন এক সময়ে ওয়েব অ্যাপ্লিকেশনগুলির সিস্টেম মাইগ্রেশন হয়েছিলো। ওই সময়ে এই তথ্যগুলো উন্মুক্ত হয়ে যেতে পারে বলে ধারণা করছেন ভিক্টর।

“API-এ যে ডেটা ছিল, সেগুলো ২০২১ সাল থেকে বর্তমান সময় অর্থাৎ ২৭শে জুন ২০২৩ পর্যন্ত। এতো লম্বা সময়ে এই তথ্য ফাঁস সম্পর্কে জানার জন্য যে কেউ যথেষ্ট সময় পেয়েছে। যদি কেউ ফাঁস হওয়া এই উন্মুক্ত তথ্য সম্পর্কে জানে, তারা সেগুলি ডাউনলোড করতে পারে এবং ব্যবহার করারও সম্ভাবনা আছে।”

নিরাপত্তা ঘাটতি ছিলো ওই সরকারি ওয়েবসাইটে?

মি. মারকোপাওলোস বলেন. এসব ওয়েবসাইটের প্রধান দুর্বলতা হলো এর ‘অথোরাইজেশন ম্যকানিজম’ বা অনুমোদন ব্যবস্থা। অর্থাৎ যারা এই ওয়েবসাইটের ব্যবস্থাপনার করতেন তাদের ওয়েবসাইটে লগইন বা লগআউটের জন্য কোন সুরক্ষিত ব্যবস্থা ছিলো না। এ ছাড়া সাদা চোখে আরও কিছু নিরাপত্তা ঘাটতি চোখে পড়েছে ভিক্টর মারকোপাওলোসের।

“আমি নিজে ওয়েব অ্যাপ্লিকেশনটি পরীক্ষা করিনি কারণ এটা করার জন্য আমি অনুমোদিত ব্যক্তি নই। এটির সবচেয়ে বড় দুর্বলতা হলো- এই ওয়েবসাইটের অনুমোদন ব্যবস্থা। কোন ধরণের টোকেন ছাড়াই ব্যবস্থাপকদের যে কেউ এই সাইটের তথ্য দেখতে পারতো। ব্যবহারকারীদের জন্য যে OTP-র ব্যবস্থা রয়েছে সেটার নিরাপত্তাও দুর্বল। OTP-র জন্য যে ফোন নাম্বার ব্যবহার করা হয়, API-তে সেটি অনেক দেরিতে আসে। ফলে অপরাধীদের ওটিপি বাইপাস করার সুযোগ আছে এখানে।”

শুরু থেকেই নিরাপত্তার বিষয়ে গুরুত্ব দেয়া হয়নি

যেকোন ওয়েবসাইটে API খুবই গুরুত্বপূর্ণ কারণ এর মাধ্যমে প্রচুর ডেটা স্থানান্তর করা হয় । যেহেতু এসব সরকারি তথ্যভাণ্ডারে লাখ-লাখ লোকের তথ্য সংরক্ষণ করা আছে তাই এখানে নিরাপত্তা ব্যবস্থাও বেশ সুরক্ষিত করতে হয়। যারা এই ধরণের ওয়েবসাইট ডেভেলপ বা তৈরি করেন তাদেরকে শুরু থেকেই এই বিষয়টি মাথায় রাখতে হয়।

বাংলাদেশের এসব সরকারি ওয়েবসাইটে শুরু থেকেই এই নিরাপত্তার বিষয়টি এড়িয়ে যাওয়া হয়েছে বলে মনে করেন ভিক্টর মারকোপাওলোস।“এসব ওয়েবসাইটের শুরু থেকেই নিরাপত্তার বিষয়টি গুরুত্ব দেয়া হয়নি""এটা আসলে ডেভেলপারের দায়িত্ব এমন মেকানিজম প্রয়োগ করা যা তথ্য ফাঁস এবং অনুপ্রবেশ ঠেকাবে।এই ওয়েবসাইটটি তৈরির সময় নিরাপত্তা নিয়ে খুব বেশি ভাবা হয়নি ফলে শুরু থেকেই এটি ত্রুটিপূর্ণ ছিল বলে আমার মনে হচ্ছে”।

সাড়া মেলেনি বাংলাদেশের

বাংলাদেশের লাখ-লাখ মানুষের ব্যক্তিগত তথ্য অরক্ষিত হয়ে পড়েছে দেখার পর বাংলাদেশ সরকারের কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম - বিজিডি ই-গভ সিআইআরটি, যারা মূলত সরকারি ওয়েবসাইটের নিরাপত্তার বিষয়টি দেখাশোনা করে, তাদের সঙ্গে যোগাযোগ করেন ভিক্টর মারকোপাওলোস।

তিনি জানান প্রথমে ২৭ ও ২৮ জুন, এবং এরপর ৪,৫ ও ৭ই জুলাই তিনি বিজিডি ই-গভ সিআইআরটিসহ সংশ্লিষ্ট কতৃপক্ষের কাছে ইমেইল করেন, কিন্তু কোন সাড়া পাওয়া যায়নি। পরে ভিক্টর যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চের রিপোর্টারকে এই বিষয়টি জানান।

তথ্য ফাঁস হওয়ার ঘটনা সত্য কিনা তা পরবর্তীতে যাচাই করেছে টেকক্রাঞ্চ। এজন্য তারা ওই ওয়েব সাইটের পাবলিক সার্চ টুলসের মাধ্যমে দেখতে পায় যে, তারা সহজেই বাংলাদেশের আক্রান্ত সরকারি ওয়েবসাইটের ডাটাবেজে থাকা তথ্য বের করতে পারছে।যেমন— নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম এমনকি কারও কারও বাবা-মায়ের নাম পাওয়া গিয়েছে। মোট ১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ, যা প্রতিবারই সঠিক তথ্য দেয়।

ভিক্টর জানান- “আমি প্রায় প্রতিদিন ইমেইল পাঠিয়েছি, কিন্তু তারা সাড়া দেওয়ার প্রয়োজন মনে করেনি। তারপর আমি টেকক্রাঞ্চ রিপোর্টারের সাথে কথা বলি। ঘটনাটি ফাঁস হওয়ার পরে এখন পর্যন্ত কোন সরকারি পর্যায়ের কারো সাথে আমার যোগাযোগ হয়নি"।"যদিও তারা ইতিমধ্যে সমস্যার সমাধান করেছে, কিন্তু আমি কীভাবে এটি বের করলাম সে বিষয়ে তারা জানতে আগ্রহী নয় বলে মনে হয়েছে। তারা আমার এই অনুসন্ধান কোন ভাবে জেনেছে এবং নিজেরাই ঠিক করে নিয়েছে”।

ব্যক্তিগত তথ্য ফাঁস নিয়ে বাংলাদেশ সরকারের বক্তব্য কী?

তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক রোববার ঢাকায় এক অনুষ্ঠানে স্বীকার করেছেন 'সিস্টেমের দুর্বলতার' কারণে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে।তবে তিনি দাবি করেছেন, সরকারি কোনো ওয়েবসাইট হ্যাক হয়নি।

তিনি সাংবাদিকদের বলেছেন, “এটি টেকনিক্যাল ফল্ট (কারিগরি ত্রুটি)। যার ফলে ওয়েবসাইটের তথ্য খুব সহজে দেখা যাচ্ছিল, অর্থাৎ সব তথ্য উন্মুক্ত ছিল। একে ঠিক হ্যাকিং বলা মুশকিল। কারণ হ্যাকিং হচ্ছে কেউ যদি অবৈধভাবে কোন সিস্টেমে প্রবেশ করে।”

“যে ওয়েবসাইটের তথ্যগুলো পাবলিক হয়ে গেছে তাদের ন্যূনতম যে সিকিউরিটি সার্টিফিকেটটা নেয়ার দরকার ছিল সেটাও ছিল না। এপিআই যেটা ক্রিয়েট করা হয়েছে, সেখান থেকে ইচ্ছা করলেই যে কেউ তথ্য গুলো দেখতে পারছে। এটা দুঃখজনক। ভুল যারই হোক এতে ক্ষতি হয়েছে রাষ্ট্রের। এতে দেশের ভাবমূর্তি ক্ষুণ্ণ হয়েছে,” বলে মন্তব্য করেন প্রতিমন্ত্রী।

'এই দায়ভার এড়ানোর কোন সুযোগ নেই' উল্লেখ করে প্রতিমন্ত্রী বলেছেন, "নিরাপদ থাকার জন্য ন্যূনতম যে চেষ্টা থাকার কথা ছিল, প্রস্তুতি নেওয়ার কথা ছিল সেটা তো ছিল না, তাই দোষ এড়ানোর তো কোন সুযোগ নেই।"

তবে এতোদিন ধরে তথ্যভাণ্ডার অরক্ষিত থাকার বিষয়টি কেন তাদের নজরে আসেনি এবং তথ্য ফাঁসের বিষয়টি জানিয়ে এক সপ্তাহ ধরে ইমেইল করার পরেও কেন সাড়া দেওয়া হয়নি এসব প্রশ্ন নিয়ে মঙ্গলবার তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলকের সাথে যোগাযোগ করা হলে তার ব্যক্তিগত সহকারী জানান প্রতিমন্ত্রী এই বিষয়ে কথা বলবেন না।

সূত্র : বিবিসি