বিপুলসংখ্যক বাংলাদেশি নাগরিকের ব্যক্তিগত সংবেদনশীল তথ্য ফাঁস হয়েছে। কতসংখ্যক নাগরিকের তথ্য ফাঁস হয়েছে তার সঠিক সংখ্যা জানা যায়নি। তবে ওই সংখ্যা কয়েক লাখ থেকে কয়েক কোটি পর্যন্ত হতে পারে। বাংলাদেশ সরকারের ওয়েবসাইট থেকে এ তথ্য ফাঁস হয়েছে। এতে নাগরিকদের নাম, ফোন নম্বর, ই-মেইল, ঠিকানা, জাতীয় পরিচয়পত্র নম্বরসহ কয়েক ধরনের তথ্য রয়েছে। দক্ষিণ আফ্রিকাভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মার্কোপোলোস গত ২৭ জুন তথ্য ফাঁসের বিষয় দেখতে পান। তাকে উদ্ধৃত করে বিষয়টি সামনে নিয়ে আসে মার্কিন অনলাইন পোর্টাল টেকক্রাঞ্চ। যুক্তরাষ্ট্রের স্থানীয় সময় শুক্রবার চাঞ্চল্যকর এ তথ্য নিয়ে প্রতিবেদন প্রকাশ করে টেকক্রাঞ্চ। এদিকে এসব তথ্যের অপব্যবহার হলে ব্যক্তিগত নিরাপত্তা ঝুঁকিতে পড়বে বলে মনে করছেন বিশেষজ্ঞরা।
জানা গেছে, নির্বাচন কমিশনের আওতাধীন জাতীয় পরিচয়পত্রের তথ্যভান্ডার ব্যবহারকারী সরকারি প্রতিষ্ঠানের মাধ্যমে এসব তথ্য ফাঁস হয়েছে বলে ইসি ও আইনশৃঙ্খলা বাহিনীর প্রাথমিক অনুসন্ধানে উঠে এসেছে। জাতীয় পরিচয়পত্রের তথ্যভান্ডারে প্রায় ১১ কোটি ৯২ লাখ নাগরিকের ৩২ ধরনের ব্যক্তিগত তথ্য রয়েছে। সরকারি-বেসরকারি পর্যায়ের ১৭১টি প্রতিষ্ঠান চুক্তির ধরন অনুযায়ী ওই ভান্ডার থেকে বিভিন্ন ধরনের তথ্য ব্যবহার করে। চুক্তিবদ্ধ ওইসব প্রতিষ্ঠানের কোনো একটি বা একাধিক মাধ্যম থেকে তথ্য ফাঁস হয়েছে প্রাথমিকভাবে ধারণা করা হচ্ছে। তবে চুক্তিবদ্ধ প্রতিষ্ঠানগুলো থেকে এ বিষয়ে কোনো প্রতিক্রিয়া পাওয়া যায়নি। তথ্য ফাঁসের ঘটনা নির্বাচন কমিশন (ইসি), বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (বিজিডি ই-গভ সার্ট), সিআইডিসহ বিভিন্ন গোয়েন্দা সংস্থা খতিয়ে দেখছে।
ইসির ভান্ডার ব্যবহারকারী কোনো প্রতিষ্ঠানের মাধ্যমে তথ্য ফাঁস হতে পারে-এমন সন্দেহ করছেন জাতীয় পরিচয় নিবন্ধন অনুবিভাগের সিস্টেম ম্যানেজার (কারিগরি) মুহাম্মদ আশরাফ হোসেন। তিনি যুগান্তরকে বলেন, তথ্যভান্ডার ব্যবহারকারী প্রতিষ্ঠানগুলো থেকে তথ্য ফাঁস হতে পারে। যেসব প্রতিষ্ঠান ইসির তথ্যভান্ডার ব্যবহার করে, তাদের সফটওয়্যার নিরাপদ নাও হতে পারে। কেউ ওই সুযোগ নিতে পারে। তবে বিষয়টি এখনও স্পষ্ট নয়।
ইসি সূত্র জানায়, তথ্য ফাঁসের খবর প্রকাশের পরই সাপ্তাহিক বন্ধের দিন শনিবার জাতীয় পরিচয় নিবন্ধন অনুবিভাগের মহাপরিচালক একেএম হুমায়ুন কবীর, সিস্টেম ম্যানেজার (কারিগরি) মুহাম্মদ আশরাফ হোসেনসহ কারিগরি বিশেষজ্ঞরা অফিস করেন। এদিন ইসির তথ্যভান্ডার পরীক্ষা করেন। এতে ইসির তথ্যভান্ডার থেকে সরাসরি তথ্য ফাঁস হয়নি বলে তারা জানতে পেরেছেন। তবে কয়েকটি প্রতিষ্ঠানের সফটওয়্যার থেকে ইসির তথ্যভান্ডার থেকে বেশি প্রবেশের তথ্য পাওয়া গেছে। এর মধ্যে দুটি সরকারি প্রতিষ্ঠানও রয়েছে।
জানতে চাইলে নির্বাচন কমিশনের অতিরিক্ত সচিব অশোক কুমার দেবনাথ যুগান্তরকে বলেন, আমরা ইসির তথ্যভান্ডার চেক করে দেখিছি। সেখান থেকে তথ্য জায়নি আপাতত এটা বলতে পারি।
সূত্র আরও জানায়, এর আগেও তথ্য হাতিয়ে নিতে সাইবার হামলার ঘটনা ঘটে। তখন তথ্য ফাঁস হয়নি। করোনা টিকা দেওয়ার প্ল্যাটফর্ম ডিজিটাল নিবন্ধন ব্যবস্থা সুরক্ষা অ্যাপ ও ওয়েব পোর্টালে সাইবার হামলা হয়। ১০টি দেশের হ্যাকাররা একযোগে এ হামলা করে। সুরক্ষা অ্যাপও ইসির ভান্ডার থেকে তথ্য ব্যবহার করত। এবারও ইসির তথ্যভান্ডার ব্যবহারকারী প্রতিষ্ঠানগুলোর প্রযুক্তির দুর্বলতা ব্যবহার করে তথ্য নেওয়া হয়েছে বলে ধারণা তাদের।
সরকারের কোনো প্রতিষ্ঠানের ওয়েবসাইট থেকে ফাঁস হয়েছে জানতে চাইলে বিজিডি ই-গভ সার্টের প্রকল্প পরিচালক প্রকৌশলী মোহাম্মদ সাইফুল আলম খান যুগান্তরকে বলেন, সেটি এখনও বলতে পারব না। আমরা বের করার চেষ্টা করছি।
বাংলাদেশ সরকারের কোন ওয়েবসাইট থেকে তথ্য ফাঁস হয়েছে, তার নাম উল্লেখ করেনি টেকক্রাঞ্চ। কারণ মারকোপাওলোস বলেছেন, তথ্যগুলো এখনো অনলাইনে সহজেই পাওয়া যাচ্ছে। তথ্য ফাঁসের কথা জানাতে এবং এ ব্যাপারে প্রতিক্রিয়া জানতে টেকক্রাঞ্চের পক্ষ থেকে বাংলাদেশের কয়েকটি সরকারি সংস্থাকে ই-মেইল পাঠানো হয়েছিল। তবে কোনো সংস্থার কাছ থেকেই জবাব পাওয়া যায়নি।
বাংলাদেশে ১৮ কিংবা তার বেশি বয়সি নাগরিকদের জাতীয় পরিচয়পত্র দেওয়া হয়ে থাকে। পাশাপাশি শিশুদের জন্মনিবন্ধন করাতে হয়। গাড়ি চালানোর লাইসেন্স পাওয়া, পাসপোর্ট করা, জমি বেচাকেনা, ব্যাংক অ্যাকাউন্ট খোলাসহ বিভিন্ন সেবা নেওয়ার ক্ষেত্রে পরিচয়পত্র দেখাতে হয়।
সংবাদমাধ্যম টেকক্রাঞ্চ জানায়, ফাঁস হওয়া তথ্যের মধ্যে রয়েছে বাংলাদেশি নাগরিকদের পূর্ণ নাম, ফোন নম্বর, ইমেইল ঠিকানা ও জাতীয় পরিচয়পত্রের নম্বর। টেকক্রাঞ্চকে মার্কোপোলোস আরও জানান, ফাঁস হওয়ার বিষয়টি জানার পরপরই বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম তথা সিইআরটির সঙ্গে যোগাযোগ করেন তিনি। এ গবেষকের ভাষ্য, সরকারি ওয়েবসাইট থেকে কয়েক মিলিয়ন বাংলাদেশির তথ্য ফাঁস হয়েছে। ফাঁস হওয়া ডেটাগুলোর সত্যতা নিশ্চিত করতে পেরেছে বলে জানিয়েছে টেকক্রাঞ্চ।
মার্কোপোলোসের বরাত দিয়ে সংবাদমাধ্যমটি বলেছে, ডেটাগুলো এখনও অনলাইনে থাকায় সরকারি ওয়েবসাইটটির নাম প্রকাশ করা হয়নি। টেকক্রাঞ্চের ভাষ্য, ডেটা ফাঁসের বিষয়ে জানতে বাংলাদেশের সিইআরটি, সরকারের প্রেস অফিস, ওয়াশিংটন ডিসিতে বাংলাদেশ দূতাবাস এবং যুক্তরাষ্ট্রের নিউইয়র্ক সিটিতে কনস্যুলেটে যোগাযোগ করেও কোনো সাড়া পাওয়া যায়নি। মার্কোপোলোস টেকক্রাঞ্চকে জানিয়েছেন, ফাঁস হওয়া ডেটা পাওয়া খুবই সহজ ছিল। তিনি আরও বলেন, ‘আমি উদ্দেশ্যমূলকভাবে এটি নিয়ে অনুসন্ধান করিনি। এসকিউএল’র নিয়ে আমি গুগলে সার্চ করছিলাম, তখন এটি চোখের সামনে চলে আসে।’ অর্থাৎ গুগলে তিনি আরেকটি বিষয় নিয়ে অনুসন্ধান করতে গিয়ে এই লাখ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁস হওয়ার ঘটনা জানতে পারেন। এসকিউএল হলো ডেটাবেজে ডেটা ব্যবস্থাপনার উদ্দেশ্যে তৈরি একটি প্রোগ্রামিং ভাষা।
এদিকে তথ্য ফাঁসের সঙ্গে কারা জড়িত, তাদের উদ্দেশ্য কী-তা নিয়ে কাজ করছে গোয়েন্দা সংস্থা সিআইডি। সিআইডির সাইবার ইনভেস্টিগেশন অ্যান্ড অপারেশনসের বিশেষ পুলিশ সুপার মো. তৌহিদুল ইসলাম যুগান্তরকে বলেন, আমরা সার্বক্ষণিক সাইবার মনিটরিং করে থাকি। তথ্য ফাঁস হওয়ার বিষয়টি আমাদের নজরে এসেছে। এটি কীভাবে হলো এবং এই প্রক্রিয়ায় কোন কোন পর্যায়ে কারা কীভাবে যুক্ত তা শনাক্তে কাজ করছি।
খতিয়ে দেখছে কম্পিউটার ইনসিডেন্ট রেসপন্স টিম : তথ্য ফাঁসের ঘটনা খতিয়ে দেখতে তদন্তে নেমেছে সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (বিজিডি ই-গভ. সার্ট)। শনিবার সন্ধ্যায় সংবাদ বিজ্ঞপ্তিতে বলা হয়েছে, তথ্য ফাঁসের মাত্রা ও প্রভাব বোঝার সব রকম চেষ্টা করা হবে। সাইবার স্পেসে তথ্যের নিরাপত্তা নিশ্চিত করতে কিছু ব্যবস্থা নেওয়ার কথা বিজ্ঞপ্তিতে উল্লেখ করেছে সার্ট। এর মধ্যে রয়েছে-সাইবার হুমকি মোকাবিলায় নিজেদের সক্ষমতা বাড়ানো। ডিএনএস, এনটিপির মতো গুরুত্বপূর্ণ সেবা এবং নেটওয়ার্ক মিডলবক্সের নিরাপত্তা নিশ্চিত করা এবং সেগুলো ইন্টারনেটে উন্মুক্ত না থাকা নিশ্চিত করা। সাইবার নিরাপত্তার বিষয়ে কর্মী, গ্রাহক ও সেবাগ্রহীতাদের প্রশিক্ষণের আওতায় আনা। নেটওয়ার্ক ও ব্যবহারকারীদের ওপর ২৪ ঘণ্টা নজরদারি নিশ্চিত করা। সব সিস্টেমে নিয়মিত ‘ভালনেরাবিলিটি অ্যাসেসমেন্ট ও পেনিট্রেশন টেস্টিং’ (ভিএপিটি) করানো। কোনো রকম সন্দেহজনক কার্যক্রম চোখে পড়লে তা সার্ট টিমকে রিপোর্ট করা।
