জন্ম নিবন্ধন জালিয়াতি: ‘থার্ড পার্টি কুকিজে’ সর্বনাশ

জন্ম ও মৃত্যু নিবন্ধন সার্ভার হ্যাকের পর নিজেদের সুবিধামত সময়ে একের পর এক অবৈধভাবে জন্ম নিবন্ধন সনদ তৈরি করত তারা; ছয় মাস ধরে নির্বিঘ্নে এ কাজ চালিয়ে আসার পর ধরা পড়েছে সেই চক্র।

এ চক্রে থাকা হ্যাকাররা দিনের পর দিন কুকিজ ছড়িয়ে হাতিয়ে নিয়েছে ব্যবহারকারীর আইডি ও পাসওয়ার্ড। পরে সেগুলো ব্যবহার করে জাতীয় জন্ম ও মৃত্যু নিবন্ধনের সার্ভারে ঢুকে জন্ম নিবন্ধনে জালিয়াতি করেছে। নিজেদের সুবিধামত সময়ে মোটা অঙ্কের টাকার বিনিময়ে চট্টগ্রাম সিটি করপোরেশনের জন্ম নিবন্ধন সনদ বানিয়েছে।

চট্টগ্রাম সিটি করপোরেশনে এ পর্যন্ত ছয় ওয়ার্ডে অবৈধভাবে ৭৯৬টি জন্ম নিবন্ধনের ঘটনা ধরা পড়ার তথ্য জানিয়েছে পুলিশ ও করপোরেশন কর্তৃপক্ষ।

হ্যাকিংয়ের বিষয়টি ধরা পড়ার পর সাময়িকভাবে সার্ভার বন্ধ রাখা হয়; পরে দুই ধাপ নিরাপত্তা (টু স্টেপ ভেরিফিকেশন) ব্যবস্থা চালু করে ওটিপি পাঠানো হয়।

এ ঘটনা তদন্তের সঙ্গে জড়িত চট্টগ্রাম নগর পুলিশের (সিএমপি) কাউন্টার টেররিজম ইউনিটের অতিরিক্ত উপ কমিশনার আসিফ মহিউদ্দিন বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, “সার্ভারের মেনটেইনেন্স এবং ওয়ার্ড পর্যায়ে ব্যবহারকারীদের ক্ষেত্রে ওটিপি চালুর পর থেকে নিবন্ধন জালিয়াতির কোনো অভিযোগ আর পাওয়া যায়নি।”

পুলিশের দাবি, সার্ভার হ্যাক করার আগেও চক্রটি ওয়ার্ড পর্যায়ের আইডি ও পাসওয়ার্ড ব্যবহার করে অবৈধভাবে জন্ম নিবন্ধন সনদ তৈরি করেছে।

শুধু চট্টগ্রামে নয়, ফেইসবুক, মেসেঞ্জার ও হোয়াটসঅ্যাপে এভাবে অবৈধ জন্ম নিবন্ধন সনদ তৈরির বেশ কিছু চক্র দেশজুড়ে সক্রিয়। প্রতিটি চক্রের সদস্য সংখ্যা ৩০ থেকে ১০০ জন পর্যন্ত বলে গ্রেপ্তারদের প্রাথমিক জিজ্ঞাসাবাদে জানতে পেরেছে পুলিশ।

শনিবার সংবাদ সম্মেলনে এ জালিয়াতি চক্রের সদস্যদের গ্রেপ্তার এবং এ বিষয়ে বিস্তারিত তথ্য তুলে ধরেন কাউন্টার টেররিজম ইউনিটের উপ কমিশনার লিয়াকত আলী খান।

চট্টগ্রামে জন্ম নিবন্ধনের অনেকগুলো জালিয়াতির ঘটনা সামনে আসার পর তদন্তে নেমে একটি চক্রের পাঁচ সদস্যকে গ্রেপ্তারের পর কাউন্টার টেররিজম ইউনিট এসব তথ্য জানিয়েছে।

জাতীয় জন্ম ও মৃত্যু নিবন্ধন সার্ভার হ্যাক করার কাজে হ্যাকাররা ‘থার্ড পার্টি কুকিজ’ ব্যবহার করেছে বলে জানিয়েছেন এ ইউনিটের কর্মকর্তারা।

থার্ড পার্টি কুকিজে ‘সার্ভার হ্যাক’

পুলিশ বলছে, এ চক্রের মূল হোতা নড়াইলের লোহাগাড়া থানার দিঘলীয়া ইউনিয়নের সলিমন বাড়ি এলাকার শেখ সেজান। যার শিক্ষাগত যোগ্যতা উচ্চ মাধ্যমিক পর্যন্ত।

অতিরিক্ত উপ কমিশনার আসিফ মহিউদ্দিন বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, “জিজ্ঞাসাবাদে সেজান জানিয়েছে, সে থার্ড পার্টি কুকিজ অ্যাপ জাতীয় জন্ম নিবন্ধন সার্ভারে ড্রপ ইন করিয়ে ব্যবহারকারীর লগইন অপশনসহ ওই দিনের ব্যবহারের সব তথ্য পেয়ে যায়।

“পরে লগইন আইডি ও পাসওয়ার্ড ব্যবহার করে সে মূল সার্ভারে প্রবেশ করত। তারপর সার্ভারে আগ্রহী ব্যক্তির তথ্য দিয়ে জন্ম নিবন্ধন করিয়ে নিত।”

‘কুকিজ’ হলো ছোট আকারের ফাইল, যা কোনো ওয়েবসাইট ব্যবহারের ক্ষেত্রে ব্যবহারকারীর পছন্দ ও প্রবণতাগুলো শনাক্ত করে। এ তথ্য অনুসারে ওই ওয়েবসাইট পরে একই ব্যবহারকারীকে পছন্দের বিষয় উপস্থাপন করে থাকে।

দুই ধরনের ‘কুকিজ’ আছে। এরমধ্যে ফার্স্ট পার্টি কুকিজ যে কোনো ওয়েবসাইটের প্রকাশক বা মালিক একটি ওয়েবসাইটে স্থাপন করে। এর মাধ্যমে তারা ব্যবহারকারীর পছন্দ ও প্রবণতা সংক্রান্ত তথ্য সংগ্রহ করে।

অপরদিকে থার্ড পার্টি কুকিজ (তৃতীয় পক্ষীয় কুকিজ) সাধারণত বিজ্ঞাপনদাতা নেটওয়ার্কগুলো ওই ওয়েবসাইটে স্থাপন করে। এর মাধ্যমে তৃতীয় পক্ষের জন্য ব্যবহারকারীর তথ্য সংগ্রহ করা হয়। একজন ব্যবহারকারী কোনো সাইটে প্রবেশ করলে কুকিজ ব্যবহারে সম্মতি চেয়ে নোটিশ আসে।

পুলিশ কর্মকর্তা আসিফ মহিউদ্দিন বলেন, “সেজান যে থার্ড পার্টি কুকিজ ব্যবহার করত সেগুলো ওয়েবসাইটে শো করে না। হিডেন কুকিজ সে ড্রপ ইন করাতে পারত। ফলে সার্ভারে কুকিজের অনুপ্রবেশ টের পাওয়া যেত না।”

সেজান অনলাইন ও ইউটিউব থেকে প্রযুক্তিগত বিষয়ে ধারণা নিয়ে এসব কুকিজ তৈরি করেছে বলে পুলিশকে জানিয়েছে।

তিনি বলেন, “ছয় মাস ধরে এভাবে সার্ভারে ঢুকে তারা নিবন্ধন করছিল। ওয়ার্ড পর্যায়ের আইডি-পাসওয়ার্ডের নিয়ন্ত্রণও তারা এভাবে নিয়েছে। তবে এর আগে আরও এক-দেড় বছর ধরে তারা অবৈধভাবে জন্ম নিবন্ধন করছে।

“সেক্ষেত্রে ওয়ার্ড পর্যায়ের আইডি-পাসওয়ার্ড তারা কীভাবে পেয়েছে সেটা এখনও তদন্ত চলছে।”

এই পুলিশ কর্মকর্তা জানান, শুধু তাই নয়, মাঝে মাঝে কাজের চাপ বেশি থাকলে চক্রের অন্য হ্যাকারদের দিন হিসেবে ৮-১০ হাজার টাকায় সার্ভারের আইডি-পাসওয়ার্ড ভাড়া দিত সেজান। তবে নিবন্ধনের শেষ ধাপের প্রবেশাধিকার সে নিজের হাতেই রাখত।

কাউন্টার টেররিজম ইউনিটের নাম প্রকাশে অনিচ্ছুক এক কর্মকর্তা বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, “সার্ভারের নিরাপত্তা ব্যবস্থা জোরালো হলে থার্ড পার্টি কুকিজ ব্যবহার করে অনুপ্রবেশ সম্ভব হত না। ফায়ারফক্স, নট টু ট্রেকসহ কুকিজ ঠেকাতে বিভিন্ন উন্নত প্রযুক্তি আছে।”

ওটিপিতে ভরসা

জন্ম নিবন্ধন জালিয়াতি ধরা পড়ার পর চট্টগ্রামের ছয়টি ওয়ার্ডে নিবন্ধন কার্যক্রম বন্ধ রাখা হয়। তারমধ্যে দুটি চালু করা হয়েছে।

এদিকে গত ২৯ জানুয়ারি স্থানীয় সরকার বিভাগের অধীন জন্ম ও মৃত্যু নিবন্ধন রেজিস্ট্রার জেনারেলের কার্যালয়ের ওয়েবসাইটে নোটিশ দিয়ে ৩০ জানুয়ারি রাত ৯টা পর্যন্ত ‘মেনটেইনেন্স’ কাজের জন্য সার্ভার বন্ধ রাখার ঘোষণা দেওয়া হয়।

এরপর আরেক বিজ্ঞপ্তিতে জানানো হয়, ৩ ফেব্রুয়ারি থেকে জন্ম ও মৃত্যু নিবন্ধন সফটওয়্যারের ব্যবহারকারীদের নিরাপত্তা নিশ্চিত করতে প্রতিবার লগইন করার সময় মোবাইল এবং ইমেইলে ওটিপি (ওয়ান টাইম পাসওয়ার্ড) পাঠানো হবে।

পাশাপাশি ব্যবহাকারীদের জন্ম ও মৃত্যু নিবন্ধনের সময় ব্যবহৃত মোবাইল নম্বর আপডেট করতেও নির্দেশনা দেওয়া হয়।

চট্টগ্রাম সিটি করপোরেশনের (সিসিসি) আইটি কর্মকর্তা মো. ইকবাল হোসেন বিডিনিউজ টোয়েন্টিফোর ডটকমকে বলেন, “সিসিসি’র অধীনে যত আইডি ও পাসওয়ার্ড ব্যবহার করে জন্ম ও মৃত্যু নিবন্ধন করা হয় সবগুলো ইতিমধ্যে রিসেট করা হয়েছে।

“লালখান বাজার ও উত্তর পতেঙ্গা ওয়ার্ডে নিবন্ধন কার্যক্রম শুরু হয়েছে। বাকি চারটি ওয়ার্ডের টেকনিক্যাল কাজ চলছে। আশাকরি দ্রুত নিবন্ধন শুরু হবে। এছাড়া অন্য ওয়ার্ডগুলোতে স্বাভাবিক নিবন্ধন কার্যক্রম চলছে।”

এক চক্রই করেছে ৫ হাজার নিবন্ধন

জানুয়ারির দ্বিতীয় ও তৃতীয় চট্টগ্রামের আন্দরকিল্লা (৪টি), পাহাড়তলি (১০টি), দক্ষিণ মধ্যম হালিশহর (৪০টি), উত্তর পতেঙ্গা (৮৪টি), লালখান বাজার (২৩৯টি) এবং দক্ষিণ কাট্টলী ওয়ার্ডের (৪০৯টি) অ্যাকাউন্ট ব্যবহার করে অবৈধভাবে জন্ম নিবন্ধন নেওয়ার বিষয়টি শনাক্ত হয়।

এসব ঘটনায় চারটি মামলা হলে তা তদন্তের দায়িত্ব পায় সিএমপির কাউন্টার টেররিজম ইউনিট। তদন্তে নেমে গত ২৩ জানুয়ারি মো. মোস্তাকিম (২২), দোলোয়ার হোসাইন সাইমন (২৩) ও আব্দুর রহমান ওরফে আরিফ ও এক কিশোরকে (১৬) গ্রেপ্তার করে পুলিশ।

মো. মোস্তাকিম ও ওই কিশোরের আদালতে দেওয়া স্বীকারোক্তিমূলক জবানবন্দির ভিত্তিতে গত ১৬ ফেব্রুয়ারি নগরীর মুরাদপুর এলাকা থেকে মো. সাগর আহমেদ জোভানকে (২৩) গ্রেপ্তার করে পুলিশ।

শনিবার সংবাদ সম্মেলনে পুলিশ কর্মকর্তা লিয়াকত জানান, জোভানের দেওয়া তথ্যের ভিত্তিতে নড়াইল জেলার লোহাগাড়া থেকে হ্যাকার শেখ সেজানকে (২৩) গ্রেপ্তার করা হয়। সেখানে ‘আদনান কম্পিউটার অ্যান্ড স্টুডিও’ নামের একটি দোকানের আড়ালে সে এই কাজ করত। “সেজানের দেওয়া তথ্য মতে ঢাকার কলাবাগান থেকে মেহেদী হাসানকে (২৩) জাল জন্ম নিবন্ধন সনদ, ঢাকা উত্তর সিটি করপোরেশনের জন্ম নিবন্ধন কার্যালয়ের অফিসিয়াল সিল ও প্যাড উদ্ধার করা হয়। সে সোনারগাঁও বিশ্ববিদ্যালয়ের সিইসি’র ছাত্র।”

পরে গ্রেপ্তারদের দেওয়া তথ্য অনুসারে সিরাজগঞ্জ জেলার কামরখন্দ থানা এলাকা থেকে হ্যাকার শাকিল হোসেন (২৩) এবং গাজীপুরের বাসন থানা এলাকা থেকে হ্যাকার মাসুদ রানাকে (২৭) গ্রেপ্তার করে পুলিশ।

তাদের কাছ থেকে জন্ম নিবন্ধন সনদ জালিয়াতিতে ব্যবহৃত কম্পিউটার ও ল্যাপটপ জব্দ করা হয় জানিয়ে উপ কমিশনার লিয়াকত বলেন, “প্রাথমিক জিজ্ঞাসাবাদে গ্রেপ্তার হওয়ারা জানিয়েছে, দীর্ঘদিন ধরে তারাসহ একাধিক গ্রুপ দেশব্যাপী এই জালিয়াতি কার্যক্রম চালিয়ে আসছে।

“এ পর্যন্ত এই চক্রটি পাঁচ হাজারের মত ভুয়া জন্ম নিবন্ধন সনদ তৈরি ও বিতরণ করেছে। প্রতিটি সনদের জন্য তারা পাঁচশ থেকে দুই হাজার টাকা পর্যন্ত নেয়।”

চক্রটিতে প্রায় এক’শ জনের মত কাজ করে জানিয়ে তিনি বলেন, “নিবন্ধনের কাজটি করে কয়েকজন। বাকিরা জন্ম নিবন্ধন সনদ পেতে আগ্রহীদের যোগাড় করে। তাদের কাছ থেকে তথ্য নিয়ে ভুয়া ঠিকানা ব্যবহারের মাধ্যমে জন্ম নিবন্ধন ওয়েবসাইটে প্রাথমিক নিবন্ধন করে।

“পরে এসব তথ্য হ্যাকারদের দিলে তারা জন্ম নিবন্ধন সার্ভারে প্রবেশ করে সনদ প্রস্তুত করে এবং সেটি তথ্য সংগ্রহকারীদের দিয়ে দেয়।”

তিনি জানান, সারাদেশে লোক সংগ্রহ থেকে শুরু করে তথ্য আদানপ্রদানের জন্য তারা হোয়াটসঅ্যাপ গ্রুপে যুক্ত। শুধু চট্টগ্রাম সিটি করপোরেশন নয় ঢাকা উত্তর ও দক্ষিণ সিটি করপোরেশন, কুমিল্লা, ময়মনসিংহ, ফরিদপুর, বাগেরহাটসহ বেশ কিছু এলাকার জন্ম নিবন্ধন তারা এভাবে করেছে।

সার্ভারে চূড়ান্ত পর্যায়ে তথ্য ইনপুট দেওয়ার পর যে সনদ তৈরি হয় সেটাতে সংশ্লিষ্ট এলাকার কাউন্সিলরের জাল সিল-সাক্ষর দিয়েও চক্রটি সনদ সরবরাহ করত বলে জানান তিনি।