পাসওয়ার্ড সুরক্ষায়ও উদাসীন সরকারি অনেক কর্মকর্তা

জন্ম ও মৃত্যু নিবন্ধনের ওয়েবসাইট থেকে নাগরিকদের ব্যক্তিগত তথ্য ফাঁসের শোরগোলের মধ্যে সরকারি আরও কয়েকটি ওয়েবসাইটের নিরাপত্তা ঝুঁকিতে পড়ার খবর আসছে।

সাইবার নিরাপত্তা সংশ্লিষ্টরা বলছেন, কেবল ওয়েবসাইট নির্মাণ ও তদারকিতেই গাফিলতি থাকছে না, সরকারি দপ্তরের অনেকেই আইডি-পাসওয়ার্ডের গোপনীয়তা রক্ষা করছেন না। তাতে অপরাধমূলক ঘটনার ঝুঁকি তৈরি হচ্ছে।

বিষয়টি স্বীকার করেছেন তথ্য ও প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলকও। রোববার এক অনুষ্ঠানে তিনি বলেন, “কর্মকর্তাদের কেউ কেউ তথ্য সুরক্ষার গাইডলাইনগুলো ঠিকমত অনুসরণ করছেন না। যে কারণে এ রকম ঘটনা ঘটছে।”

সম্প্রতি পুলিশের ডেটাবেইসের আইডি-পাসওয়ার্ড ডার্কওয়েবে বেচাবিক্রির খবর চাউর হয়। তবে ঘটনাটি তেমন নয় বলে দাবি করেছেন পুলিশ সদর দপ্তরের সহকারী মহাপরিদর্শক (মিডিয়া) মনজুর রহমান।

তিনি বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, “আইডি-পাসওয়ার্ড ডার্কওয়েবে বিক্রির কোনো ঘটনা ঘটেনি।”

তবে সহকর্মীদের গাফিলতির কথা উঠে আসে তার কথায়।

মনজুর বলেন, “আপনারা জানেন, পুলিশের এসআই থেকে তদূর্ধ্ব কর্মকর্তা সবারই আইডি-পাসওয়ার্ড থাকে। কিছু ক্ষেত্রে দেখা গেছে কারও পাসওয়ার্ড আছে, তিনি সেটা পাল্টাননি। পরে হয়ত দেখা গেছে, অন্য কারও সামনে সেটা ওপেন করতে গিয়ে তৃতীয়জন দেখে ফেলেছেন। সেটা হয়ত বাইরে চলে গেছে। এরকম কিছু ক্ষেত্রে হয়ত কিছু পাসওয়ার্ড বাইরে চলে গেছে। এর বাইরে কিছু নয়।”

পুলিশ সদর দপ্তরের কর্মকর্তারা জানান, পুলিশের ডিজিটাল তথ্যভাণ্ডার সিডিএমএসের কিছু আইডি আর পাসওয়ার্ড বেহাত হয়েছিল কয়েকদিন আগে। বিষয়টি জানতে পেরে পুলিশ সদর দপ্তর থেকে জুন মাসের মধ্যে দায়িত্বপ্রাপ্ত সব কর্মকর্তাদের পাসওয়ার্ড বদলে ফেলার নির্দেশনা দেওয়া হয়। সবাইকে এ বিষয়ে আরও সতর্ক হতে বলা হয়।

পুলিশের সব মামলার তথ্যই এখন থাকে সংস্থাটির কেন্দ্রীয় তথ্য ভাণ্ডার বা ‘ক্রাইম ডেটাবেইস ম্যানেজমেন্ট সিস্টেমে (সিডিএমএস)’। বিভিন্ন সময় গ্রেপ্তার হওয়া অপরাধী বা সন্দেহভাজনদের শনাক্তের অনন্য বৈশিষ্ট্য, অপরাধের ধরন, মামলার সংখ্যা, ছবি, যাচাইকৃত পরিচয়সহ বিস্তারিত তথ্যসহ প্রোফাইল সংরক্ষিত থাকে এই ডেটাবেইসে।

সিডিএমস ডেটাবেইসে প্রবেশাধিকারপ্রাপ্ত কর্মকর্তারা নিজেদের আইডি ও পাসওয়ার্ড ব্যবহার করে এই তথ্যভাণ্ডারে ঢুকে অপরাধী বা সন্দেহভাজনদের প্রোফাইলের তথ্য পরিবর্তন করতে পারেন।

কোনো অপরাধী পুলিশের আইডি-পাসওয়ার্ড পেলে তা দিয়ে নিজের প্রোফাইল থেকে তথ্য মুছে ফেলতে বা পরিবর্তনও করে ফেলার ঝুঁকি থাকে।

এ বিষয়ে দৃষ্টি আকর্ষণ করা হলে পুলিশের এআইজি মনজুর বলেন, “যারা সিডিএমএস নিয়ে কাজ করেন, পরবর্তীতে তারাই বিষয়টি ধরতে পারে। তাদের কাছ থেকেই পাসওয়ার্ড ফাঁসের বিষয়টি জানা গেছে। এখন যারা কাজ করছেন, তাদেরকে নির্দেশনা দেওয়া হয়েছে। মোটামুটি সব চেঞ্জ হয়ে গেছে।”

রোববার সড়ক ও জনপথ বিভাগের ওয়েবসাইটে ঢুকে দেখা যায়, সেখানে সব কর্মকর্তার সরকারি আইডি নম্বর, নাম, মেধাক্রম ও জন্ম তারিখের তালিকা রাখা আছে। তালিকার প্রতি পাতার শুরুতেই বলা হয়েছে- কর্মকর্তারা এই সরকারি আইডি ও জন্ম তারিখকে পাসওয়ার্ড হিসেবে ব্যবহার করে ঢুকতে পারবেন জনপ্রশাসন মন্ত্রণালয়ের পার্সোনাল ইনফরমেশন ম্যানেজমেন্ট সিস্টেমের (পিআইএমএস) সার্ভারে।

২৬ পৃষ্ঠার ওই তালিকায় প্রতি পৃষ্ঠায় ৩৭ জন কর্মকর্তার তথ্য দেখা গেছে, শেষের পাতায় দেখা গেছে ২৮ জনের তথ্য। সব মিলিয়ে সেখানে ৯৯০ জনের তথ্য রয়েছে।

ওই দপ্তরের এক কর্মকর্তা রোববার জানান, ওয়েবসাইটে ওই তালিকা দিয়ে কর্মকর্তাদের পাসওয়ার্ড পাল্টে ফেলতে বলা হয়েছিল। কিন্তু অনেকেই পাসওয়ার্ড পাল্টাননি। যার কারণে যে কেউই এখন এই তালিকা ধরে পিআইএমএসের সার্ভারে ঢুকে পড়তে পারে। কর্মকর্তাদের আইডি ধরে ঢুকে যে কেউই এখানে ঢুকে পাল্টে দিতে পারে কোনো কেনাকাটা বা দরপত্র সংক্রান্ত তথ্য।

বিষয়টি সেদিনই সড়ক ও জনপথ অধিদপ্তরের প্রধান প্রকৌশলী সৈয়দ মঈনুল হাসানকে জানানো হয়। তখন তিনি বলেন, “সরকারি আইডি নম্বর ও জন্ম তারিখসহ তালিকা তো পাবলিক হওয়ার কথা নয়। আমরা বিষয়টি দেখছি, আপনার কাছে লিংক থাকলে পাঠান।”

এরপর সরকারের জ্যেষ্ঠ ওই কর্মকর্তার হোয়াটসঅ্যাপে লিংক পাঠানো হয়। পরে মঙ্গলবার ওই লিঙ্কে প্রবেশ করে দেখা যায়, ফাইলটি মুছে ফেলা হয়েছে।

সরকারি ওই দপ্তরের কর্মকর্তারা জানান, তাদের দায়িত্বপ্রাপ্ত কর্মকর্তারা কোনো সরকারি আদেশ বা কাগজ ওয়েবসাইটে আপলোড করার জন্য নির্দেশ দিলে সেটি আপলোড করে থাকেন একজন এনালিস্ট বা কম্পিউটার শাখার কর্মী। বিভিন্ন বিজ্ঞপ্তি, নির্দেশ, দরপত্র, ছুটির তথ্য ইত্যাদি নিয়মিতই আপলোড করেন তারা।

ওই কর্মীদের কাছে সাইটের ‘অ্যাডমিন’ হিসেবে প্রবেশাধিকার রয়েছে। এছাড়া কর্মকর্তাদের কয়েকজনকেও ‘অ্যাডমিন’ পাসওয়ার্ড দেওয়া রয়েছে। তবে বেশিরভাগ সময় কম্পিউটার অপারেটর বা দপ্তরের অধস্তন কর্মীরা ওয়েবসাইটের তথ্য পরিবর্তন করে থাকেন।

চার বছর আগে রোহিঙ্গাদেরকে জাতীয় পরিচয়পত্র (এনআইডি) দেওয়ার ঘটনায় জড়িত নির্বাচন কমিশনের কয়েকজন ও এনআইডি প্রকল্পের কয়েকজন কর্মচারীকে গ্রেপ্তার করেছিল পুলিশ। তারা বিভিন্ন উপজেলার নির্বাচন কর্মকর্তাদের পাসওয়ার্ড ব্যবহার করে এনআইডি সার্ভারে ঢুকে রোহিঙ্গাদের কাছ থেকে মোটা টাকা নিয়ে বাংলাদেশি হিসেবে ‘জাতীয় পরিচয়পত্র’ তৈরি করে দিয়েছিলেন। ওই ঘটনার পরে কর্মকর্তাদের সার্ভারে ঢোকার আইডি ও পাসওয়ার্ডের বিষয়ে সতর্ক করে নির্বাচন কমিশন।

যে জন্ম ও মৃত্যু নিবন্ধন সাইট থেকে কয়েক কোটি মানুষের তথ্য উন্মুক্ত হয়ে পড়েছে বলে আলোচনা চলছে, সেই সাইট হ্যাক করার অভিযোগে চলতি বছরের ফেব্রুয়ারিতে চট্টগ্রাম মহানগর পুলিশ একটি চক্রকে গ্রেপ্তার করে।

তখন পুলিশ বলেছিল, তারা চট্টগ্রাম সিটি কর্পোরেশন থেকে ৫ হাজারের মতো ভুয়া জন্ম নিবন্ধন করেছে। ওই সমস্ত ভুয়া জন্ম নিবন্ধনের কিছু অংশ শনাক্ত করে চট্টগ্রাম সিটি জন্ম নিবন্ধন কার্যালয়কে চিঠিও দেয় বলে সংবাদ প্রকাশিত হয়েছে।

তবে জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেল (অতিরিক্ত সচিব) মো. রাশেদুল হাসান বলেন, “চট্টগ্রামের ওই ঘটনা হ্যাকিং না। আমাদের ভেতরেরই কিছু দুষ্ট লোকজন ওটা করেছিল। আমাদের যাদের কাছে ইউজার আইডি ও পাসওয়ার্ড আছে, তারাই করেছিল।

“পরে আমাদের লোকই ধরা পড়েছে, যারা সিস্টেম হ্যান্ডেল করার সঙ্গে জড়িত ছিল। এরকম হয় মাঝেমধ্যে। পয়সা-পাতি খেয়ে তারা বলে যে আমি তোমাদের জন্মনিবন্ধন কইরা দিব। আমাদের লোকেদের মাধ্যমেই এটা হয়েছে। এটা নট হ্যাকিং, বাট আমাদের লোকদেরই আনইথিকাল কাজ।”

পাসওয়ার্ড ও আইডি চুরি করে ওই ঘটনা ঘটানো হয়েছিল কি না জানতে চাইলে রেজিস্ট্রার জেনারেল বলেন, “না না পাসওয়ার্ড ও আইডি চুরি করে নাই। আমাদের লোকেরাই সরাসরি জড়িত ছিল।”

অন্যান্য ওয়েবসাইট নিয়ে ‘উদ্বিগ্ন হওয়ার কিছু নেই’

তথ্যের সুরক্ষার জন্য ডিজিটাল নিরাপত্তা আইনের অধীনে ২৯টি প্রতিষ্ঠানকে ‘গুরুত্বপূর্ণ তথ্য পরিকাঠামো’ হিসেবে গত ২১ সেপ্টেম্বর ঘোষণা করে সরকার।

এসব পরিকাঠামোর কম্পিউটার, ডিজিটাল ডিভাইস, ডিজিটাল নেটওয়ার্ক বা ডিজিটাল তথ্য ব্যবস্থায় বেআইনি প্রবেশ এবং তথ্য ব্যবস্থাপনায় বাধাগ্রস্ত করার ক্ষেত্রে বিভিন্ন মেয়াদে শাস্তির বিধান রয়েছে আইনে।

আর এসব পরিকাঠামো দেখভালের দায়িত্ব আইনে দেওয়া হয়েছে ডিজিটাল নিরাপত্তা এজেন্সির মহাপরিচালককে।

তথ্য ফাঁসের ঘটনায় আলোচিত জন্ম ও মৃত্যু নিবন্ধনের রেজিস্ট্রার জেনারেলের কার্যালয় এই ২৯ প্রতিষ্ঠানেরই একটি। এর বাইরে আরও তিনটি পরিকাঠামোতে দুর্বলতা থাকার কথা মঙ্গলবার আইসিটি প্রতিমন্ত্রী জানিয়েছেন।

একইসঙ্গে নাগরিকদের আশ্বস্ত করে পলক ফেইসবুকে লিখেছেন, “দেশে প্রায় ৫২ হাজার সরকারি ওয়েবসাইট আছে, তবে এগুলোর মধ্যে এ ২৯টি পরিকাঠামো খুবই গুরুত্বপূর্ণ। এসব ওয়েবসাইটের ‘ব্যাক এন্ড’ এ এমন কিছু তথ্য রয়েছে, যা বেহাত হওয়া বিপজ্জনক। তাই এগুলোকে আমরা নিরাপদ করতে বিশেষ গুরুত্ব দিচ্ছি।

“আর অন্যান্য যেসব ওয়েবসাইট আছে, সেগুলোর ‘ফ্রন্ট এন্ড’ এ কিছু তথ্য ‘পাবলিক’ করাই থাকে। সেগুলো নিয়ে উদ্বিগ্ন হওয়ার কিছু নেই।”

‘পরিণতি হতে পারে ভয়াবহ’

তথ্যপ্রযুক্তিবিদরা বলছেন, ব্যক্তিগত তথ্য হচ্ছে সাইবার অপরাধের প্রধান অস্ত্র। কারও ব্যক্তিগত তথ্য চুরির পর সাইবার অপরাধীরা সেই ব্যক্তির পরিচয় ধারণ করে অপরাধ করে থাকতে পারেন। এজন্যই সাইবার জগতে ব্যক্তিগত তথ্য অনেক দামী। গত বছর অস্ট্রেলিয়ায় মোবাইল ফোন অপারেটরের ডেটাবেইজ থেকে তথ্য চুরির পর সেগুলো ডার্ক ওয়েবে বিক্রিও হয়েছিল।

সম্প্রতি জন্ম নিবন্ধন ওয়েবসাইট থেকে তথ্য ফাঁস নিয়ে তথ্য ও যোগাযোগ প্রতিমন্ত্রী জুনাইদ আহমেদ পলক সোমবার বলেছেন, “এটাতে জাতীয় নিরাপত্তার জায়গায় তেমন কোনো থ্রেট হয় নাই। কিন্তু পার্সোনাল সিকিউরিটির জায়গায় ডেফিনিটলি, যদি একজনেরও তথ্য অন্য কারো কাছে গিয়ে থাকে তাহলে সে (তৃতীয় ব্যক্তি) ভবিষ্যতে সেই তথ্য কাজে লাগিয়ে কোন সাইবার ক্রাইম করতে পারে। ইনটেনশনালি কোন ক্রিমিনাল এটা নিয়ে যে ডার্ক ওয়েবে বিক্রি করে দিয়েছে এরকমও আমরা পাইনি। আমরা এটাও খুঁজছি।”

পেশাদার তথ্য প্রযুক্তিবিদ হিসেবে তিন দশক ধরে কাজ করা শায়েরুল হক জোয়ার্দ্দার কয়েক বছর আগে কানাডা থেকে সাইবার নিরাপত্তা বিশেষজ্ঞ হিসেবে স্বীকৃতি পেয়েছেন।

তিনি বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, “তথ্য হচ্ছে সাইবার অপরাধীদের অপরাধের প্রধান হাতিয়ার। ধরা যাক কোনও ব্যক্তির জন্ম তারিখটি প্রকাশ্য হল, এটি দিয়েই সাইবার অপরাধীরা কোনো ওয়েবসাইটে তার অ্যাকাউন্টের দখল নিয়ে ফেলতে পারে।

“এখন জন্ম নিবন্ধন, জাতীয় পরিচয়পত্র থেকে শুরু করে জমি, ব্যাংক, হাসপাতাল, পাসপোর্ট, লাইসেন্স, মোটরযান সব তথ্যই এখন ডিজিটাল। সরকার যে ডিজিটাল ব্যাংকের কথা বলছে, সেখানে কিন্তু সশরীরে লেনদেনের কোনো বিষয় নেই। কাজেই একজন ব্যক্তি যদি আরেকজনের পরিচয় (আইডি-পাসওয়ার্ড) চুরি করে ফেলতে পারেন, তার পক্ষে যে কোনো অপরাধই করা সম্ভব।”

শায়েরুল হক বলেন, “ধরা যাক কেউ একজন অন্যের আইডি চুরি করে নিজের একটা ভুয়া বা ‘সিন্থেটিক আইডেন্টিটি’ তৈরি করলেন। এরপর তিনি ব্যাংক থেকে লোন তুলে ফেললেন বা অন্য অপরাধ করলেন। এখানে ব্যাংকও ভুক্তভোগী হবে আর যার আইডি চুরি হয়েছে তাকেও ভুগতে হবে। কাজেই প্রত্যেককে নিজেদের তথ্যের সুরক্ষা সম্পর্কে সচেতন করার পর্যাপ্ত উদ্যোগ থাকেতে হবে।”

দেশের তথ্যপ্রযুক্তি খাতে প্রায় তিন দশক ধরে কাজ করা সুমন আহমেদ সাবির বলছেন, “উন্নত দেশে তথ্য বেহাত হলে যাদের তথ্য বেহাত হয়েছে, তাদের প্রত্যেককে জানানো হয় যে কোন কোন তথ্য বেহাত হয়েছে, তাতে কেমন ঝুঁকি আছে এবং ভবিষ্যতের জন্য কোন কোন সাবধানতা অবলম্বন করা দরকার।

“সাইবার আক্রমণের ঘটনা ঘটলে বাংলাদেশের প্রতিষ্ঠানগুলো প্রথমত সেটা অস্বীকার করে। অনেক দিন পরে স্বীকার করলেও বলে যে, এমন কিছু ঘটেনি এবং আমাদের কোনো ক্ষতি হবে না। এর ফলে গ্রাহকরা, অনেক ক্ষেত্রেই যাদের ডেটা বেহাত হয়, তারা পুরোপুরি অন্ধকারে থাকেন। এখানটায় আমাদের মাইন্ডসেটে বড় পরিবর্তন আনতে হবে।”