আপনি এই ওয়েবসাইটের একটি টেক্সট(লিখিত) সংস্করণ দেখছেন, যা কম ডেটা ব্যবহার করছে। ছবি ও ভিডিওসহ মূল সংস্করণ দেখতে এখানে ক্লিক করুন
জন্ম ও মৃত্যু নিবন্ধন এবং ভূমি মন্ত্রণালয়ের সার্ভার থেকে তথ্য ফাঁস, বলছে নির্বাচন কমিশন
- Author, সানজানা চৌধুরী
- Role, বিবিসি নিউজ বাংলা
বাংলাদেশে কর্তৃপক্ষ বলছে, প্রাথমিকভাবে সরকারি দুটি সার্ভার থেকে নাগরিকদের গুরুত্বপূর্ণ ব্যক্তিগত তথ্য ‘ফাঁস’ হয়েছে বলে জানতে পেরেছে নির্বাচন কমিশন। এর আগে সরকারি ওয়েবসাইট থেকে কয়েক লাখ নাগরিকের নাম, ফোন নম্বর, ইমেইল ঠিকানা এবং জাতীয় পরিচয়পত্রের নম্বরসহ গুরুত্বপূর্ণ ব্যক্তিগত তথ্য ‘ফাঁস’ হওয়ার খবর প্রকাশিত হয়।
নির্বাচন কমিশনের অতিরিক্ত সচিব অশোক কুমার দেবনাথ বিবিসিকে বলেছেন, “প্রাথমিকভাবে দুইটা ওয়েবসাইটকে চিহ্নিত করা হয়েছে যেখান থেকে তথ্য ফাঁস হয়েছে। জন্ম ও মৃত্যু নিবন্ধন এবং আমাদের ভূমি মন্ত্রণালয়ের সার্ভার।”
তবে, নির্বাচন কমিশনসহ সরকারের একাধিক সংস্থা দাবি করেছে, এ ঘটনা হ্যাকিং নয়, এবং নির্বাচন কমিশনের ডাটাবেস সুরক্ষিত রয়েছে।
এদিকে, সরকারের সাইবার ইস্যু দেখভালকারী প্রতিষ্ঠান কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম - বিজিডি-ইগভ সিআইআরটি-সার্ট শনিবার আটই জুলাই সিচ্যুয়েশনাল অ্যালার্ট জারি করেছে।
বিষয়টি সমাধানের চেষ্টা চলছে বলে জানিয়েছে বিজিডি ই-গভ সার্ট।
তথ্য ফাঁসের খবর যেভাবে জানা গেল
যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চ শুক্রবার প্রকাশিত এক প্রতিবেদনে বাংলাদেশের সরকারি ওয়েবসাইটের তথ্য ফাঁস হওয়ার কথা জানায়।
সরকারি সংস্থার ওয়েবসাইটের মাধ্যমে তথ্য ফাঁসের ঘটনা ঘটেছে বলে জানালেও, সেটি কোন ওয়েবসাইট, তা তারা প্রকাশ করেনি ওই প্রতিবেদনে।
টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে, গত ২৭শে জুন প্রথম ফাঁস হওয়া তথ্যগুলো ইন্টারনেটে দেখতে পান দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস।
তিনি গুগল সার্চে এসকিউএল ত্রুটি নিয়ে তথ্য খোঁজার সময়, অনিচ্ছাকৃতভাবেই এই ফাঁসের বিষয়টি ধরতে পারেন।
বাংলাদেশের সরকারি এই ডেটাগুলো অর্থাৎ দেশটির লাখ লাখ নাগরিকদের ব্যক্তিগত তথ্য খুব সহজেই সার্চের ফলাফল হিসেবে তার সামনে চলে আসছিল।
এসকিউএল হল ডাটাবেজে ডেটা ব্যবস্থাপনার উদ্দেশ্যে তৈরি একটি প্রোগ্রামিং ভাষা।
এর পর তিনি বাংলাদেশ সরকারের কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম - বিজিডি ই-গভ সিআইআরটি, যারা মূলত সরকারি ওয়েবসাইটের নিরাপত্তার বিষয়টি দেখাশোনা করে, তাদের সঙ্গে যোগাযোগ করেন।
তথ্য ফাঁস হওয়ার ঘটনা সত্য কিনা তা পরবর্তীতে যাচাই করেছে টেকক্রাঞ্চ। এজন্য তারা ওই ওয়েব সাইটের পাবলিক সার্চ টুলসের মাধ্যমে দেখতে পায় যে, তারা সহজেই বাংলাদেশের আক্রান্ত সরকারি ওয়েবসাইটের ডাটাবেজে থাকা তথ্য বের করতে পারছে।
যেমন— নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম এমনকি কারও কারও বাবা-মায়ের নাম পাওয়া গিয়েছে। মোট ১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ, যা প্রতিবারই সঠিক তথ্য দেয়।
কী বলছে নির্বাচন কমিশন?
নির্বাচন কমিশনের অতিরিক্ত সচিব অশোক কুমার দেবনাথ বিবিসি বাংলাকে বলেছেন, প্রায় কয়েক কোটি ভোটারের নাগরিক তথ্য সংবলিত এনআইডি সার্ভার ‘অত্যন্ত সুরক্ষিত'।
"তবে এনআইডি’র ১৭১টি পার্টনার সার্ভিস আছে, যারা এনআইডি সার্ভারের অ্যাক্সেস পায়। এই পার্টনার সার্ভিস থেকে তথ্য ফাঁস হয়েছে," বলে তিনি জানিয়েছেন।
মি. দেবনাথ বলেন, “প্রাথমিকভাবে দুইটা ওয়েবসাইটকে চিহ্নিত করা হয়েছে যেখান থেকে তথ্য ফাঁস হয়েছে। জন্ম ও মৃত্যু নিবন্ধন এবং আমাদের ভূমি মন্ত্রণালয়ের সার্ভার। তারা তাদের তথ্যগুলো ‘ওপেন’ রাখার কারণেই এমনটা হয়েছে।”
তথ্য ওপেন রাখা বলতে এখানে তিনি বুঝিয়েছেন, সরকারি তথ্য ভার্চুয়াল প্রাইভেট নেটওয়ার্ক বা ভিপিএন সার্ভারে থাকে। যাদেরকে এসব তথ্যের অ্যাক্সেস দেয়া হয় তারা এই ভিপিএন কানেকশনের মাধ্যমে এনআইডি সার্ভার থেকে তথ্য নিতে পারে।
"এসব তথ্য তারা সরাসরি গুগল বা কোন ওপেন সোর্স থেকে পাবে না। এনআইডি সার্ভার থেকে তথ্য নেওয়ার পরে এই দুটো পার্টনার সার্ভিস, তাদের তথ্য তারা ওপেন রাখার কারণেই তথ্য ফাঁস হয়েছে। অর্থাৎ যে তথ্য গুগল সার্চে বা যেকোনো ওপেন প্ল্যাটফর্ম থেকে পাওয়া যাচ্ছিল," মি. দেবনাথ বলেন।
নির্বাচন কমিশনে ভোটারদের ছবি, আঙুলের ছাপসহ অন্তত ৪০টি তথ্য সম্বলিত তথ্যভাণ্ডার সংরক্ষিত রয়েছে।
বাংলাদেশে ১৮ কিংবা তার বেশি বয়সী নাগরিকদের জাতীয় পরিচয়পত্র দেওয়া হয়ে থাকে। পাশাপাশি শিশুদের জন্ম-নিবন্ধন করাতে হয়। এছাড়া ভূমি মন্ত্রণালয়ে নাগরিকদের ব্যক্তিগত জরুরি নানা তথ্য থাকে।
গাড়ি চালানোর লাইসেন্স পাওয়া, পাসপোর্ট করা, জমি বেচাকেনা, ব্যাংক অ্যাকাউন্ট খোলাসহ বিভিন্ন সেবা নেওয়ার ক্ষেত্রে এসব তথ্য দেখাতে হয়।
বাংলাদেশে নাগরিক সেবা দিতে অর্ধ শতাধিক সংস্থার সঙ্গে ইসির চুক্তি অনুযায়ী সুনির্দিষ্ট কয়েকটি তথ্যের ভেরিফিকেশন সার্ভিস চালু রয়েছে।
বিবিসিকে মি. দেবনাথ বলেছেন, তথ্য ফাঁসের বিষয়টিকে 'খুব গুরুত্ব সহকারে' তারা তদন্ত করছেন।
তবে জাতীয় পরিচয়পত্রের সার্ভার থেকে কোন তথ্য ফাঁস হয়নি বলে তিনি দাবি করেছেন।
একে পার্টনার সার্ভিসের নিরাপত্তা জনিত ত্রুটি বলে অভিহিত করেছেন তিনি।
মি. দেবনাথ বলেন, “আমরা আমাদের পার্টনার সার্ভিসের সাথে যখন চুক্তি করেছি তখন আমরা এই বিষয়গুলোকে অতটা গুরুত্ব দিয়ে দেখিনি। এই ঘটনা থেকে আমরা নতুন অভিজ্ঞতা নিলাম। তাদের কাছ থেকে তথ্য লিক হলে কী হবে এ বিষয়গুলো আমরা আবার নতুন করে তাদের সাথে আলোচনা করবো। এখন থেকে সব পার্টনার সার্ভিস যেন পর্যাপ্ত নিরাপত্তা দেয় সে বিষয়টি নিশ্চিত করা হবে।”
বৃহস্পতিবার ১৩ই জুলাই সব পার্টনার সার্ভিস সহযোগী সংস্থাকে নিয়ে জরুরী বৈঠক ডেকেছে নির্বাচন কমিশন।
এদিকে, জাতীয় পরিচয়পত্র নিবন্ধন অনুবিভাগের মহাপরিচালক এ কে এম হুমায়ুন কবীর রোববার নির্বাচন কমিশনে সাংবাদিকদের বলেছেন, তাদের ১৭১টি পার্টনারের কারও মাধ্যমে তথ্য ফাঁস হচ্ছে কি না, তা খতিয়ে দেখা হবে।
"যদি কারও মাধ্যমে তথ্য ফাঁসের প্রমাণ পাওয়া যায়, তাহলে তার কাছ থেকে সার্ভিস বন্ধ করে দেয়া হবে।"
দায়ভার এড়ানোর সুযোগ নেই: তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী
তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক রোববার ঢাকায় এক অনুষ্ঠানে স্বীকার করেছেন 'সিস্টেমের দুর্বলতার' কারণে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে।
তবে তিনি দাবি করেছেন, সরকারি কোনো ওয়েবসাইট হ্যাক হয়নি।
তিনি সাংবাদিকদের বলেছেন, “এটি টেকনিক্যাল ফল্ট (কারিগরি ত্রুটি)। যার ফলে ওয়েবসাইটের তথ্য খুব সহজে দেখা যাচ্ছিল, অর্থাৎ সব তথ্য উন্মুক্ত ছিল। একে ঠিক হ্যাকিং বলা মুশকিল। কারণ হ্যাকিং হচ্ছে কেউ যদি অবৈধভাবে কোন সিস্টেমে প্রবেশ করে।”
“যে ওয়েবসাইটের তথ্যগুলো পাবলিক হয়ে গেছে তাদের ন্যূনতম যে সিকিউরিটি সার্টিফিকেটটা নেয়ার দরকার ছিল সেটাও ছিল না। এপিআই যেটা ক্রিয়েট করা হয়েছে, সেখান থেকে ইচ্ছা করলেই যে কেউ তথ্য গুলো দেখতে পারছে। এটা দুঃখজনক। ভুল যারই হোক এতে ক্ষতি হয়েছে রাষ্ট্রের। এতে দেশের ভাবমূর্তি ক্ষুণ্ণ হয়েছে,” বলে মন্তব্য করেন প্রতিমন্ত্রী।
'এই দায়ভার এড়ানোর কোন সুযোগ নেই' উল্লেখ করে প্রতিমন্ত্রী বলেছেন, "নিরাপদ থাকার জন্য ন্যূনতম যে চেষ্টা থাকার কথা ছিল, প্রস্তুতি নেওয়ার কথা ছিল সেটা তো ছিল না, তাই দোষ এড়ানোর তো কোন সুযোগ নেই।"
তিনি ২০১৬ সালে বাংলাদেশ ব্যাংক থেকে রিজার্ভ চুরির প্রসঙ্গ টেনে বলেন, “সাইবার সিকিউরিটির গুরুত্ব উপলব্ধি করে আমরা জাতীয় পরিচয়পত্র, জন্ম নিবন্ধন, টিআইএনসহ ২৯টি ক্রিটিকাল ইনফরমেশন ইনফ্রাস্ট্রাকচার ঘোষণা করি। এরম ধ্যে একটি প্রতিষ্ঠান এই অবস্থার মধ্যে পড়লো।"
যারা এখানে দায়িত্ব অবহেলা করেছে তাদের বিরুদ্ধে সংশ্লিষ্ট মন্ত্রণালয় শক্ত ব্যবস্থা নেবে বলে তিনি সাংবাদিকদের জানান।
বিষয়টি নিয়ে সংশ্লিষ্ট সংস্থাগুলোকে নিয়ে আগামীকাল সোমবার জরুরী বৈঠক ডাকা হয়েছে।
এদিকে, দেশের নাগরিকের তথ্য ফাঁসের ঘটনায় কাউকে ছাড় দেওয়া হবে না বলে জানিয়েছেন স্বরাষ্ট্রমন্ত্রী আসাদুজ্জামান খান কামাল।
একইসঙ্গে নাগরিকের তথ্য ফাঁসের কাজে যদি কেউ সহায়তা করে তার বিরুদ্ধে আইনি ব্যবস্থা নেওয়া হবে বলেও জানান তিনি।
রোববার স্বরাষ্ট্র মন্ত্রণালয়ে সাংবাদিকদের তিনি বলেন, "আমাদের সাইবার ইউনিট এ বিষয়ে কাজ করছে। আমাদের আগে দেখতে হবে কী ফাঁস হয়েছে। সেগুলো উদ্ধার করে নিরাপত্তা ব্যবস্থা আরও জোরদার করা হবে।"
কী করছে কর্তৃপক্ষ?
শুক্রবার সাতই জুলাই টেকক্রাঞ্চের প্রতিবেদন প্রকাশ হওয়ার পর তথ্য ফাঁসের বিষয়ে প্রথম জানতে পারেন বিজিডি ই-গভ সার্টের প্রকল্প পরিচালক মোহাম্মদ সাইফুল আলম খান।
বিবিসি বাংলাকে তিনি বলেছেন, “এই তথ্য ফাঁস কিভাবে হয়েছে সেটা আমরা চিহ্নিত করেছি। এ নিয়ে ইতিমধ্যে প্রয়োজনীয় সব ব্যবস্থা নেয়া হয়েছে। আমরা রিপোর্ট পাঠিয়ে দিয়েছি, এখন সমস্যা হবে না আশা করি। যাদের দ্বারা এই ভুল হয়েছে তারা ইতিমধ্যে পদক্ষেপ নিয়েছে। সামনে আর কোন সমস্যা হবে না আশা করি।”
তিনিও সরকারি ওয়েবসাইটে তথ্য সংরক্ষণে 'নিরাপত্তা-জনিত দুর্বলতা'র কারণে এ ঘটনা ঘটেছে বলে জানান।
তবে টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে, তথ্য ফাঁসের কথা জানাতে এবং এ ব্যাপারে প্রতিক্রিয়া জানতে বার্তা সংস্থাটির পক্ষ থেকে বাংলাদেশের কয়েকটি সরকারি সংস্থা, বিজিডি ই-গভ সার্ট, ওয়াশিংটন ডিসিতে অবস্থিত বাংলাদেশ দূতাবাস এবং নিউইয়র্ক সিটিতে বাংলাদেশি কনস্যুলেটে ই–মেইল পাঠালেও সেখান থেকে কেউ সাড়া দেয়নি।
এদিকে, শুক্রবার রাতে তথ্য ফাঁসের খবর প্রকাশিত হওয়ার পর বিষয়টি নিয়ে চাঞ্চল্য সৃষ্টি হয়।
সে প্রেক্ষাপটে শনিবার রাতে বিজিডি ই-গভ সার্ট এক সংবাদ বিজ্ঞপ্তি দেয়, যাতে বলা হয়, একটি আন্তর্জাতিক সংবাদমাধ্যমে বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁসের খবর নজরে আসার পর 'এ বিষয়টি খতিয়ে দেখতে শুরু করেছে সার্ট টিম'।
এই তথ্য ফাঁসের প্রভাব কেমন হতে পারে, সেইসাথে ঘটনার সমাধানে উদ্যোগ নেয়া, সাইবার নিরাপত্তায় প্রয়োজনীয় ব্যবস্থা গ্রহণ এবং ভবিষ্যতে এ ধরনের ঘটনা প্রতিরোধে সংশ্লিষ্টদের প্রতি নানা পরামর্শ দেয়া হয়েছে ওই বিজ্ঞপ্তিতে।
এ ব্যাপারে মারকোপাওলোস টেকত্রাঞ্চকে জানিয়েছে যে, ওয়েব অ্যাপ্লিকেশনে ঢোকা, অ্যাপ্লিকেশনগুলো মডিফাই বা ডিলিট করাসহ জন্ম-নিবন্ধনের রেকর্ড যাচাই করতে ফাঁস হওয়া এ তথ্যগুলো ব্যবহারের ঝুঁকি রয়েছে।
