সুরক্ষা সিস্টেমে সংরক্ষিত ৫ কোটি নাগরিকের তথ্য ডার্ক ওয়েবে ফাঁস?

ছবি : বণিক বার্তা

সরকারের কভিড-১৯-এর টিকা ব্যবস্থাপনা সিস্টেম ‘সুরক্ষায়’ সংরক্ষিত পাঁচ কোটি নাগরিকের ডাটা ডার্ক ওয়েবে ফাঁস হওয়ার আশঙ্কা করা হচ্ছে। সম্প্রতি এসব ডাটা বিক্রির জন্য একটি সাইটে বিজ্ঞাপনও দেয়া হয়। ফাঁস হওয়া এসব তথ্যের মধ্যে রয়েছে নাগরিকের নাম, পিতার নাম, মাতার নাম, জন্ম তারিখ, মোবাইল নম্বর ইত্যাদি। এ বিষয়ে সরকারের আইসিটি বিভাগের কর্মকর্তাদের বক্তব্য হলো সুরক্ষা সার্ভারটি হ্যাকারদের মাধ্যমে হ্যাক হওয়ার সুযোগ নেই। এর পরও এসব তথ্য ডার্ক ওয়েবে ফাঁস হওয়ার বিষয়ে এখনই স্পষ্ট করে কোনো কিছু বলা সম্ভব নয়।

তথ্য ও যোগাযোগ প্রযুক্তি বিভাগ সূত্রে জানা গেছে, দুই সপ্তাহ ধরে ডার্ক ওয়েবে ঘুরে বেড়াচ্ছে সুরক্ষা সিস্টেমের তথ্য। এসব তথ্যের মূল্য ধরা হয়েছে ১ হাজার ৩০২ ডলার। ম্যাক অ্যান্থনি নামের একটি আইডি থেকে এক ডার্ক ওয়েব মার্কেট সাইটে পাঁচ কোটি বাংলাদেশী নাগরিকের এ তথ্য বিক্রির জন্য উন্মুক্ত করা হয়। এ-সংক্রান্ত একটি ভিডিও বণিক বার্তার হাতে এসেছে।

তথ্য ও যোগাযোগ প্রযুক্তি অধিদপ্তরের দুজন কর্মকর্তা জানান, সুরক্ষা সিস্টেম ব্যবস্থাপনার দায়িত্বে রয়েছে বেসরকারি প্রযুক্তি প্রতিষ্ঠান তীর্যক প্রাইভেট লিমিটেড। তথ্য ও যোগাযোগ প্রযুক্তি অধিদপ্তর সুরক্ষা সিস্টেমের দায়িত্বে থাকলেও ভেন্ডর হিসেবে তীর্যকই সুরক্ষা সিস্টেমের রক্ষণাবেক্ষণের দায়িত্ব পালন করে থাকে। বর্তমানে অধিদপ্তরে শুধু চারজনের কাছে ওই সার্ভারের অ্যাকসেস রয়েছে।

তারা হলেন অধিদপ্তরের সিস্টেম ম্যানেজার মো. মাসুম বিল্লাহ, প্রোগ্রামার মো. হারুন অর রশিদ, আব্দুল্লাহ আল রহমান ও গোলাম মাহবুব। বিষয়টি নিয়ে জানতে চাইলে প্রোগ্রামার হারুন অর রশিদ বণিক বার্তাকে বলেন, ‘আমরা কভিডের সময় এ কার্যক্রম শুরু করি। এর মধ্যে প্রায় তিন বছর হয়ে গেছে। এখন তো আর সুরক্ষার কোনো কাজ নেই। অলস পড়ে আছে সিস্টেমটি। তবে কিছুদিন আগে আমরা সিকিউরিটি ব্যবস্থা পরীক্ষা করেছি, তাতে হ্যাক হওয়ার কোনো ঘটনা আমরা পাইনি।’

হ্যাক হওয়া ছাড়া অন্য কোনোভাবে ডাটা নেয়া সম্ভব কিনা এমন প্রশ্নে তিনি বলেন, ‘হ্যাক হওয়া ছাড়া ডাটা পাওয়ার অন্য কোনো উপায় আছে কিনা জানি না। আমাদের এখানে মহামারীর সময় হাঙ্গেরি থেকে সাইবার অ্যাটাক হয়েছিল, তখন তো সার্ভারের কার্যক্রম নিয়মিত পরিচালিত হতো। তখনো ডাটা চুরি সম্ভব হয়নি।’

সরকারের সাইবার থ্রেট ইন্টেলিজেন্স ইউনিটটি পরিচালিত হচ্ছে বাংলাদেশ ই-গভর্নমেন্ট কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (বিজিডি ই-গভ সার্ট) নামে। নাম অপ্রকাশিত রাখার শর্তে ইউনিটটির এক কর্মকর্তা সোমবার রাতে বণিক বার্তাকে হোয়াটসঅ্যাপ মারফত বলেন, ‘কভিডের টিকাদান কার্যক্রম শুরুর পর থেকে সুরক্ষা সিস্টেমের ডোমেইনের সঙ্গে মিল রেখে হ্যাকাররা কিছু ডোমেইন সৃষ্টি করে। সে সময় সুরক্ষা লিখে সার্চ দিলে গুগলে এসব ডোমেইন চলে আসত। নাগরিকরা না জেনে এসব ডোমেইনে ঢুকে তথ্য দিত এবং তা হ্যাকারদের কাছে চলে যেত। এসব ডোমেইনে তথ্য পূরণ করেও কোনো কাজ হতো না। এসব তথ্য এখন তারা ডার্ক ওয়েবে ছাড়তে পারে। এছাড়া সার্ভারের অ্যাকসেস আছে এমন কেউ তথ্য ডাউনলোড করেও বিক্রি করার সম্ভাবনা আছে। তবে এতে ডাউনলোডের ফুটপ্রিন্ট থেকে যাবে। কেউ যদি ডাউনলোড হিস্ট্রি ডিলিটও করে দেয় ফরেনসিক অনুসন্ধানের মাধ্যমে তার পরিচয় বের করা সম্ভব হবে।’

সুরক্ষা সিস্টেমের ভেন্ডর প্রতিষ্ঠান তীর্যক প্রাইভেট লিমিটেডের কর্মকর্তাদের দাবি, তাদের সিস্টেম বেশকিছু ধাপে সুরক্ষিত। চাইলেই কারো পক্ষে এটি হ্যাক করার বা কারো প্রবেশাধিকার পাওয়ার কথা নয়। এ বিষয়ে সরকারের সাইবার সুরক্ষা ইউনিটের সঙ্গে যোগাযোগ করা হবে। এ বিষয়ে তারাই পরবর্তী পদক্ষেপ গ্রহণ করবে।

জানতে চাইলে তীর্যকের মুখ্য নির্বাহী কর্মকর্তা (সিইও) রিফাত রহমান বলেন, ‘আমাদের সিস্টেম ভিপিএনসহ (ভার্চুয়াল প্রাইভেট নেটওয়ার্ক) বেশকিছু ধাপে সুরক্ষিত। চাইলে যে কেউ এখানে অ্যাকসেস নিতে পারবে না। এত বড় ঘটনা যদি ঘটে থাকে তাহলে অবশ্যই আমাদের জানার কথা। আমাদের সুরক্ষা সিস্টেম এখন পর্যন্ত হ্যাক হয়নি। সার্ভার খুব সুরক্ষিত আছে। হ্যাক না হয়ে দায়িত্বপ্রাপ্ত কেউ যদি ডাটা নামিয়ে থাকেন তাহলে তারও ফুটপ্রিন্ট এখানে থাকবে। সরকারের সাইবার থ্রেট ইন্টেলিজেন্স ইউনিট বিজিডি ই-গভ সার্ট আছে, আমরা তাদের সঙ্গে যোগাযোগ করব। তারা পরীক্ষা করে পরবর্তী পদক্ষেপ গ্রহণ করবে।’

নাম অপ্রকাশিত রাখার শর্তে বাংলাদেশ কম্পিউটার কাউন্সিলের (বিসিসি) এক কর্মকর্তা জানান, সুরক্ষার মূল সার্ভার তীর্যক প্রাইভেট লিমিটেডের ভিপিএন নেটওয়ার্কের মাধ্যমে এটি ‍সুরক্ষিত অবস্থায় আছে। এর সঙ্গে সরাসরি কোনো ইন্টারনেট সংযোগ না থাকায় এখানে চাইলেও কোনো হ্যাকারের পক্ষে প্রবেশ করা সম্ভব নয়।

এ বিষয়ে জানতে যোগাযোগ করা হলে বিজিডি ই-গভ সার্টের পরিচালক প্রকৌশলী মোহাম্মদ সাইফুল আলম খান বলেন, ‘ডার্ক ওয়েবে এমন অনেক বিজ্ঞাপন পাওয়া যায়। এটি ভুয়া।’ এর বেশি কোনো বক্তব্য তার কাছ থেকে পাওয়া সম্ভব হয়নি।