সরকারি বিভিন্ন সংস্থার সংবেদনশীল নানা তথ্য ইন্টারনেট জগতে ফাঁস হয়েছে। এর মধ্যে রয়েছে পুলিশের এক লাখের বেশি সদস্যের ব্যক্তিগত তথ্য। আরও রয়েছে পুলিশের একটি তথ্যভান্ডারে প্রবেশের আইডি (পরিচয়) ও গোপন নম্বর (পাসওয়ার্ড)।
তথ্য ফাঁস হওয়া প্রতিষ্ঠানের মধ্যে রয়েছে সরকারের সেবা সংস্থা, কয়েকটি ব্যাংক ও আর্থিক প্রতিষ্ঠান, পরিবহনসংশ্লিষ্ট সরকারি সংস্থা, কয়েকটি নিয়ন্ত্রক সংস্থা ও শিক্ষাপ্রতিষ্ঠান। এর আগেও একাধিক দফায় সরকারি তথ্য ফাঁস হয়েছিল।
সাইবার নিরাপত্তা নিয়ে কাজ করা একটি স্বেচ্ছাসেবী দল এই প্রতিবেদককে জানান, সরকারি বিভিন্ন সংস্থার ওয়েবসাইট ও তথ্যভান্ডারের ‘অ্যাডমিন প্যানেলে’ (নিয়ন্ত্রণব্যবস্থা) প্রবেশের ৪ হাজার ৭১৭টি আইডি ও পাসওয়ার্ড ফাঁস হয়েছে। বিগত এক বছরের মধ্যে এসব ফাঁস হয়। ফাঁস হওয়া তথ্য ইন্টারনেটের অপরাধজগৎ ডার্ক ওয়েব ও ইন্টারনেটভিত্তিক যোগাযোগমাধ্যম টেলিগ্রামের বিভিন্ন চ্যানেলে বিক্রির বিজ্ঞাপন দেওয়া হচ্ছে। কোনো কোনো ক্ষেত্রে ফাঁস হওয়া আইডি ও পাসওয়ার্ড ‘ব্লক’ (বাতিল বা আটকে দেওয়া) করেছে সংশ্লিষ্ট সংস্থা।
এত বড়সংখ্যক লগইন ও অ্যাডমিন প্যানেলের তথ্য ফাঁস হওয়া কয়েক গুণ ঝুঁকির। এর কারণ, অ্যাডমিন প্যানেলের একটি ডেটা দিয়ে ঢুকে তথ্যভান্ডারে থাকা সব তথ্য পাওয়া সম্ভব।
বাংলাদেশ সাইবার অ্যান্ড লিগ্যাল সেন্টারের আইন উপদেষ্টা গাজী মাহফুজ উল কবির
সংশ্লিষ্ট ব্যক্তিরা বলছেন, তথ্য ফাঁসের ফলে নানা ধরনের অপরাধের ঝুঁকি তৈরি হয়। বিশ্বজুড়ে পরিচয় চুরি বা আইডেনটিটি থেফটের মাধ্যমে আর্থিক অপরাধ করা হয়। বাংলাদেশেও এ ধরনের অপরাধ বাড়ছে। এমনকি ব্যক্তির অজান্তে তাঁর নামে ব্যাংকঋণ নেওয়ার ঘটনাও ঘটেছে।
ফাঁস হওয়া বেশির ভাগ তথ্য মূলত সরকারি সংস্থার তথ্যভান্ডারে প্রবেশের ঠিকানা (ইউআরএল), আইডি ও পাসওয়ার্ড, যাকে বলা হয় ‘লগইন ডেটা’। এ ধরনের তথ্যের সংখ্যা প্রায় সাত লাখ। এ তথ্য ব্যবহার করে যেকোনো ব্যক্তি সংশ্লিষ্ট তথ্যভান্ডারে প্রবেশ করতে পারেন (সচল থাকলে)। আবার ফাঁস হওয়া তথ্যের মধ্যে ব্যক্তির ব্যক্তিগত তথ্যও রয়েছে।
বাংলাদেশ সাইবার অ্যান্ড লিগ্যাল সেন্টারের আইন উপদেষ্টা গাজী মাহফুজ উল কবির প্রথম আলোকে বলেন, এত বড়সংখ্যক লগইন ও অ্যাডমিন প্যানেলের তথ্য ফাঁস হওয়া কয়েক গুণ ঝুঁকির। এর কারণ, অ্যাডমিন প্যানেলের একটি ডেটা দিয়ে ঢুকে তথ্যভান্ডারে থাকা সব তথ্য পাওয়া সম্ভব। তিনি বলেন, এগুলো সুরক্ষিত করা না গেলে দেশের তথ্য ব্যবস্থাপনায় যেকোনো সময় বড় বিপদ তৈরি হতে পারে।
পুলিশের তথ্য ‘ফাঁস’
পুলিশের তথ্যভান্ডারের একটি ক্রাইম ডেটা ম্যানেজমেন্ট সিস্টেম (সিডিএমএস)। এতে একটি মামলার শুরু থেকে শেষ পর্যন্ত অন্তত ৫০ ধরনের তথ্য থাকতে পারে। পুলিশ সদর দপ্তরের সিডিএমএস নিয়ন্ত্রণকারী শাখার বাইরে মামলার তদন্ত কর্মকর্তারা সেখানে প্রবেশ করতে পারেন। এ জন্য সুনির্দিষ্ট একটি আইডি ও পাসওয়ার্ড দেওয়া হয়। একটি আইডিতে তদন্ত কর্মকর্তার কাছে থাকা মামলাগুলোর তথ্য থাকে।
সাইবার নিরাপত্তা নিয়ে কাজ করা স্বেচ্ছাসেবী দলটি এই প্রতিবেদককে দেখিয়েছে, বিগত ছয় থেকে আট মাসে পুলিশের সিডিএমএসের লগইন করার ইউআরএল, বিপি আইডি বা ইউজার নেম ও পাসওয়ার্ড ফাঁস হয়েছে দুই হাজারের বেশি। এ তথ্যগুলো একত্রে ফাঁস হওয়াকে ‘ক্রিডেনশিয়াল কম্প্রোমাইজ’ বলা হয়। সিডিএমএসের এসব তথ্য ও পুলিশের কাছে থাকা অপরাধের তথ্যসহ বিভিন্ন ধরনের ৩১ হাজার ৪১৫টি তথ্য ফাঁস হয়েছে।
টেলিগ্রামের একাধিক চ্যানেলে পুলিশের তথ্যভান্ডারের তথ্য বিক্রির বিজ্ঞাপন দেওয়া হচ্ছে। গত ২৪ নভেম্বর একটি চ্যানেলে যোগাযোগ করা হলে বলা হয়, সামান্য টাকার বিনিময়ে কোনো ব্যক্তির নামে থাকা মামলার তথ্য তাঁরা বের করে দিতে পারবে। প্রমাণ হিসেবে তারা কয়েকজন ব্যক্তির তথ্য দেখায়।
পুলিশের ব্যক্তিগত তথ্য ফাঁস হয়েছে আওয়ামী লীগ সরকারের পতনের আগে, গত জুলাই মাসে। ফাঁস হওয়া তথ্যে দেখা যায়, অন্তত ১ লাখ ৮ হাজার ৪১৬ পুলিশ সদস্যের বিভিন্ন ধরনের তথ্য সেখানে রয়েছে। এসব তথ্যের মধ্যে রয়েছে শনাক্তকরণ (বিপি) নম্বর, বর্তমান পদমর্যাদা, কর্মস্থল এবং সেখানে যোগদানের তারিখ, মুঠোফোন নম্বর, সরকারি ফোন নম্বর, বাবা-মা, স্বামী-স্ত্রীর নাম, জাতীয় পরিচয়পত্র, জন্মদিন, স্থানীয় ও বর্তমান ঠিকানা, উচ্চতা, ওজন ও বিশেষ চিহ্নিতকরণ চিহ্ন।
তথ্যগুলো আসলেই পুলিশের কি না, তা জানতে কয়েকটি নম্বরে ফোন করা হয়। তথ্যগুলো জানানো হয়। তাঁরা নিশ্চিত করেন, তাঁরা পুলিশ সদস্য এবং এসব তাঁদেরই তথ্য। ফাঁস হওয়া তথ্য নিয়ে তাঁরা উদ্বেগও প্রকাশ করেন। প্রথম আলো যাঁদের কাছে ফোন করেছে, তাঁদের একজন জানিয়েছেন, তিনি এখন অবসরে রয়েছেন।
সংশ্লিষ্ট ব্যক্তিরা ধারণা করছেন, এ তথ্যগুলো পুলিশের পার্সোনাল ইনফরমেশন ম্যানেজমেন্ট সিস্টেমের (পিআইএমএস) ব্যক্তিগত তথ্য বিবরণী থেকে ফাঁস হয়েছে।
বিষয়টি নিয়ে জানতে পুলিশের সংশ্লিষ্ট বিভাগে যোগাযোগ করে আনুষ্ঠানিক বক্তব্য পাওয়া যায়নি। তবে নাম প্রকাশ না করার শর্তে সংশ্লিষ্ট একজন কর্মকর্তা প্রথম আলোকে বলেন, ব্যবহারকারী পর্যায়ে দুর্বলতা ও অজ্ঞতার কারণে দু–একটি ঘটনা ঘটতে পারে। পুলিশের মূল তথ্যভান্ডার খুবই সুরক্ষিত। তিনি বলেন, যখনই যে আইডির তথ্য ফাঁস হয়েছে বলে তারা ধরতে পেরেছেন, সেটি ব্লক করা হয়েছে।
ফাঁস হওয়া তথ্যে দেখা যায়, অন্তত ১ লাখ ৮ হাজার ৪১৬ পুলিশ সদস্যের বিভিন্ন ধরনের তথ্য সেখানে রয়েছে। এসব তথ্যের মধ্যে রয়েছে শনাক্তকরণ (বিপি) নম্বর, বর্তমান পদমর্যাদা, কর্মস্থল এবং সেখানে যোগদানের তারিখ, মুঠোফোন নম্বর, সরকারি ফোন নম্বর, বাবা-মা, স্বামী-স্ত্রীর নাম, জাতীয় পরিচয়পত্র, জন্মদিন, স্থানীয় ও বর্তমান ঠিকানা, উচ্চতা, ওজন ও বিশেষ চিহ্নিতকরণ চিহ্ন।
আরও তথ্য ফাঁস
বিগত ছয় মাসে বিভিন্ন শিক্ষাপ্রতিষ্ঠানের দুই লাখের বেশি তথ্য ফাঁস হয়েছে। শিক্ষাপ্রতিষ্ঠানগুলোর নাম তথ্য ঘাঁটলেই পাওয়া যায়। এর মধ্যে অ্যাডমিন প্যানেলের লগইন করার তথ্যই ফাঁস হয়েছে ২ হাজার ২৬৮টি। সাইবার নিরাপত্তা নিয়ে কাজ করা স্বেচ্ছাসেবী দলটি বলছে, দুর্বলতার কারণে দেশের একাধিক শিক্ষা বোর্ডের তথ্যভান্ডারে প্রবেশ করা সম্ভব।
এদিকে টেলিগ্রাম চ্যানেলে একটি মুঠোফোন অপারেটরের গ্রাহকদের অবস্থান সম্পর্কে তথ্য সরবরাহের বিজ্ঞাপন দেওয়া হচ্ছে। এমন একটি বটও (স্বয়ংক্রিয়ভাবে তথ্য দেয়) চালু হয়েছে। বিষয়টি যাচাইয়ের জন্য সম্প্রতি ওই বটটিতে একটি নম্বর দিয়ে দেখা যায়, এই সিমের ব্যবহারকারী ৯ বছর ধরে থাকেন ঢাকার এমন একটি এলাকার ঠিকানা এসেছে। যদিও পরে ওই ব্যক্তির সঙ্গে যোগাযোগ করে জানা যায়, যখন অবস্থানের তথ্য বা ‘লোকেশন’ দিয়েছেন, তখন তিনি সেখানে ছিলেন না। তবে এই লোকেশনে তিনি থাকতেন। অর্থাৎ পুরোনো তথ্য কোনো তথ্যভান্ডার থেকে হাতিয়ে নিয়েছে একটি চক্র।
সাইবার নিরাপত্তা নিয়ে কাজ করা স্বেচ্ছাসেবী দলটি বলছে, নিরাপত্তা দুর্বলতায় একাধিক ব্যাংকের তথ্যভান্ডারে প্রবেশ করা যায়।
যতগুলো তথ্য চুরির ‘ম্যালওয়্যার’ রয়েছে, তার মধ্যে একটি বেশি ব্যবহার করা হয়। দেশের সাইবার জগৎ সুরক্ষিত রাখতে নজরদারি করা প্রতিষ্ঠান বিজিডি ই-গভ সার্ট গত ৮ অক্টোবর লুমাসহ এ ধরনের ম্যালওয়্যারের আক্রমণ নিয়ে একটি সতর্কতামূলক প্রতিবেদনও প্রকাশ করে।
তথ্য ফাঁস বাড়ছে যে কারণে
সাইবার নিরাপত্তা বিশেষজ্ঞরা তথ্য ফাঁসের জন্য রাশিয়ার তৈরি একটি ম্যালওয়্যারসহ বিভিন্ন ম্যালওয়ারকে দায়ী করছেন। নাম প্রকাশ না করার শর্তে একজন সাইবার নিরাপত্তা বিশেষজ্ঞ বলেন, রাশিয়ার তৈরি ওই ম্যালওয়্যার কোনো কম্পিউটারে একবার প্রবেশ করলে ধারাবাহিকভাবে তথ্য নিতেই থাকে। মূলত ই-মেইল ও বিভিন্ন পাইরেটেড (নকল) সফটওয়্যারের মাধ্যমে এটি বেশি ছড়াচ্ছে। কিন্তু ব্যবহারকারী সেটি কোনোভাবেই বুঝতে পারেন না।
বেসরকারিভাবে দেশের সাইবার নিরাপত্তায় নজরদারি করে এমন একটি দলের সঙ্গে ম্যালওয়্যারটি নিয়ে কথা হয় এই প্রতিবেদকের। তারা বলছে, ম্যালওয়্যারটি দিয়ে কম্পিউটারের নিয়ন্ত্রণ নিচ্ছে দেশি-বিদেশি হ্যাকার চক্র।
যতগুলো তথ্য চুরির ‘ম্যালওয়্যার’ রয়েছে, তার মধ্যে একটি বেশি ব্যবহার করা হয়। দেশের সাইবার জগৎ সুরক্ষিত রাখতে নজরদারি করা প্রতিষ্ঠান বিজিডি ই-গভ সার্ট গত ৮ অক্টোবর লুমাসহ এ ধরনের ম্যালওয়্যারের আক্রমণ নিয়ে একটি সতর্কতামূলক প্রতিবেদনও প্রকাশ করে।
তথ্য ফাঁসের লক্ষ্যবস্তু যারা
তথ্য সুরক্ষা নিয়ে কাজ করেন এমন ব্যক্তিরা বলছেন, বাংলাদেশ, ইন্দোনেশিয়া, ভারত, শ্রীলঙ্কা, পাকিস্তানসহ অনুন্নত ও উন্নয়নশীল দেশগুলো মূলত তথ্য হাতিয়ে নেওয়া গোষ্ঠীগুলোর প্রধান লক্ষ্যবস্তু। এর কারণ, এসব দেশে বেশির ভাগ কম্পিউটার চালানো হয় বিনা মূল্যের, পাইরেটেড অথবা পুরোনো সংস্করণের অপারেটিং সিস্টেম দিয়ে। অনেক ক্ষেত্রে নিরাপত্তার ন্যূনতম ব্যবস্থা থাকে না। এ কারণে বিভিন্ন দেশে তথ্য ফাঁসের ঘটনা ঘটেছে।
বাংলাদেশে এর আগেও তথ্য ফাঁসের ঘটনা ঘটেছে। গত বছরের জুলাইয়ে রেজিস্ট্রার জেনারেলের কার্যালয়, জন্ম ও মৃত্যুনিবন্ধন থেকে এভাবেই ‘লাখ লাখ’ মানুষের তথ্য ফাঁসের ঘটনা ঘটেছিল। ২০২৩ সালের ৫ অক্টোবর প্রথম আলো ‘স্মার্ট কার্ডের তথ্য বেহাত, পাওয়া যায় টেলিগ্রাম চ্যানেলে’ শিরোনামে একটি প্রতিবেদন প্রকাশ করে। এতে বলা হয়, বাংলাদেশের মানুষের স্মার্ট জাতীয় পরিচয়পত্রের (এনআইডি) তথ্য পাওয়া যাচ্ছে একটি টেলিগ্রাম চ্যানেলে। সেখানে এনআইডি নম্বর ও জন্মতারিখ দিলেই বেরিয়ে আসছে একজন মানুষের ব্যক্তিগত সব তথ্য।
প্রতিষ্ঠানগুলোকে আমরা সাইবার নিরাপত্তাব্যবস্থা জোরদার করার জন্য বারবার তাগাদা দিয়েছি; কিন্তু দুঃখের বিষয়, বেশির ভাগই সাইবার নিরাপত্তার বিষয়টিকে গুরুত্বই দিতে চায় না।
জাতীয় সাইবার নিরাপত্তা এজেন্সির মহাপরিচালক আবু সাঈদ মো. কামরুজ্জামান
দেশের সরকারি বিভিন্ন প্রতিষ্ঠান ও দপ্তরের কাছে নাগরিকদের অন্তত ৪০ ধরনের তথ্য আছে। আর বেসরকারি প্রতিষ্ঠানগুলো মিলিয়ে এ তথ্যের সংখ্যা অর্ধশত। এনআইডি তথ্যভান্ডারে ১২ কোটির বেশি নাগরিকের ৩২ ধরনের ব্যক্তিগত তথ্য রয়েছে।
দেশের সাইবার নিরাপত্তা ঝুঁকি নিয়ে নজরদারি করে বিজিডি ই-গভ সার্ট। প্রতিষ্ঠানটির একটি সূত্র জানিয়েছে, আইনশৃঙ্খলা রক্ষাকারী বাহিনীসহ রাষ্ট্রের স্পর্শকাতর অনেক প্রতিষ্ঠান সাইবার নিরাপত্তা ঝুঁকিতে আছে। এগুলো নজরে আসার সঙ্গে সঙ্গে তারা বিষয়গুলো সংশ্লিষ্ট প্রতিষ্ঠানকে জানিয়েছে। কোনো কোনো প্রতিষ্ঠান তাৎক্ষণিকভাবে ব্যবস্থা নিলেও অনেকেই নির্বিকার থাকছে। সব জায়গায় আবার প্রশিক্ষিত জনবলও নেই। ফলে ঝুঁকি বেড়েই চলছে। দেশে তথ্য সুরক্ষা ও প্রকাশের ক্ষেত্রে কার্যকর আইন ও শাস্তির নজির না থাকায় পরিস্থিতি আরও খারাপ হচ্ছে।
জাতীয় সাইবার নিরাপত্তা এজেন্সির মহাপরিচালক আবু সাঈদ মো. কামরুজ্জামান প্রথম আলোকে বলেন, ‘প্রতিষ্ঠানগুলোকে আমরা সাইবার নিরাপত্তাব্যবস্থা জোরদার করার জন্য বারবার তাগাদা দিয়েছি; কিন্তু দুঃখের বিষয়, বেশির ভাগই সাইবার নিরাপত্তার বিষয়টিকে গুরুত্বই দিতে চায় না।’ তিনি বলেন, এ অবস্থা থেকে উত্তরণে প্রতিষ্ঠান ও ব্যক্তি—দুই পর্যায়েই সাইবার নিরাপত্তা নিয়ে উদাসীনতা থেকে বের হয়ে আসতে হবে। নিজস্ব সাইবার নিরাপত্তা নীতি ঠিক করে সংশ্লিষ্ট ব্যক্তি ও প্রতিষ্ঠানকে তা মানতে বাধ্য করতে হবে।
