অ্যাপ স্টোর, মার্কিন সংস্থার অ্যাপে রাশিয়ান কোম্পানির কোড

গুগলের প্লে স্টোর এবং অ্যাপলের অ্যাপ স্টোরে হাজার হাজার অ্যাপের খোঁজ মিলেছে যেগুলোর বিভিন্ন অংশের কোড এসেছে বিশেষ একটি সফটওয়্যার কোম্পানি থেকে। সাদা চোখে দেখলে এতে সমস্যা নেই কোনও। অনেক সফটওয়্যার নির্মাতাই কোড আউটসোর্স করে।

সমস্যা হচ্ছে, রয়টার্সের তদন্তে বেরিয়ে এসেছে, কোম্পানিটি কাগজে-কলমে নিজেদের মার্কিন কোম্পানি হিসেবে পরিচয় দিলেও এদের গোড়া রাশিয়ায়, সেখানেই নিবন্ধিত আর করও দেয়।

কোম্পানিটির নাম ‘পুশউশ’।

টেক জায়ান্টদের অ্যাপ স্টোর আর মার্কিন অবকাঠামোতে এই রুশ কোম্পানির ছদ্মবেশ অবস্থান নিজস্ব অনুসন্ধানে উদঘাটন করেছে বার্তাসংস্থা রয়টার্স।

খবর চাউর হওয়ার সঙ্গে সঙ্গেই সাধারণ নাগরিকদের ব্যবহারের জন্য তৈরি সাতটি অ্যাপ থেকে পুশউশের লেখা সফটওয়্যার মুছে দিয়েছে যুক্তরাষ্ট্রের জনস্বাস্থ্য সংস্থা সিডিসি বা ‘সেন্টার্স ফর ডিজিজ কন্ট্রোল অ্যান্ড প্রিভেনশন’। পুশউশকে প্রথমে ওয়াশিংটন ডিসিভিত্তিক কোম্পানি হিসেবে ধরে নেওয়ার কথা বলেছে সিডিসি।

অন্যদিকে মার্কিন সামরিক বাহিনী রয়টার্সকে জানিয়েছে, নিরাপত্তা শঙ্কায় মার্চ মাসেই পুশউশের লেখা কোডবাহী একটি অ্যাপের ব্যবহার তারা বন্ধ করে দিয়েছে। যুক্তরাষ্ট্রের সবচেয়ে গুরুত্বপূর্ণ সামরিক প্রশিক্ষণ ঘাঁটিগুলোর একটিতে অ্যাপটি ব্যবহার করতো সৈনিকরা।

রাশিয়ায় পুশউশের নিবন্ধনের নথিপত্র দেখে রয়টার্স জানিয়েছে, কোম্পানির মূল কার্যালয়েল অবস্থান সাইবেরিয়ার নোভোসিব্রিস্ক শহরে; সফটওয়্যার নির্মাণ ছাড়াও ডেটা প্রোসেসিংয়ের কাজ করে কোম্পানিটি। কম-বেশি ৪০ জন কর্মী আছে তাদের আর গত বছরে আয় করেছে ২৪ লাখ ডলার।

কিন্তু সামাজিক যোগাযোগের প্ল্যাটফর্ম এবং যুক্তরাষ্ট্রের বাজার নিয়ন্ত্রকদের কাছে দাখিল করা নথিপত্রে নামগন্ধ নেই রাশিয়ার। সেখানে পুশউশ নিজেদের উপস্থাপন করেছে স্থানীয় কোম্পানি হিসেবে। মূল কার্যালয়ের ঠিকানা হিসেবে কখনো ওয়াশিংটন ডিসি, কখনো ক্যালিফোর্নিয়া, আবার কখনো উল্লেখ রয়েছে মেরিল্যান্ডের কথা।

মূলত সফটওয়্যার নির্মাতাদের প্রোগ্রামিং কোড এবং ডেটা প্রোসেসিংয়ের সমর্থন দেয় পুশউশ। স্মার্টফোন অ্যাপের ব্যবহারকারীদের অনলাইন কার্যক্রমের ওপর নজর রেখে তার ভিত্তিতে পুশউশ সার্ভার থেকে বিশেষায়িত ‘পুশ নোটিফিকেশন’ পাঠায় কোম্পানি।

স্পর্শকাতর কোনো ডেটা সংগ্রহ করে না বলে নিজস্ব ওয়েবসাইটে দাবি করেছে কোম্পানিটি। পুশউশের হাতে ডেটার অপব্যবহারের কোনো ইঙ্গিতও পায়নি রয়টার্স।

কোম্পানির প্রতিষ্ঠাতা ম্যাক্স কনেভের সঙ্গে যোগাযোগ করেছিল রয়টার্স। সেপ্টেম্বর মাসে বার্তাসংস্থাটিকে পাঠানো এক ইমেইলে তিনি দাবি করেছেন, রুশ পরিচয় লুকানোর কোনো চেষ্টা কখনোই করেনি তার কোম্পানি।

“রুশ নাগরিক হিসেবে আমি গর্বিত এবং আমি এ বিষয়টি কখনোই লুকাবো না।”

পুশউশের ‘রুশ সরকারের সঙ্গে কোনো সম্পর্ক নেই’ এবং ডেটা যুক্তরাষ্ট্র ও জার্মানির সার্ভারে সংরক্ষণ করা হয় বলে দাবি করেছেন তিনি।

তবে ডেটা বিদেশি সার্ভারে রাখলেও রুশ গোয়েন্দা সংস্থাগুলো ডেটা হস্তান্তর করতে স্থানীয় কোম্পানির ওপর চাপ প্রয়োগ করতে পারে বলে আশঙ্কা প্রকাশ করেছেন সাইবার নিরাপত্তা বিশেষজ্ঞরা।

২০১৪ সালে ক্রাইমিয়া দখলের পর থেকেই রাশিয়ার সঙ্গে যুক্তরাষ্ট্রের সম্পর্কের অবনতি শুরু হয়েছে। এ বছরে রাশিয়া ইউক্রেইনে সামরিক আগ্রাসন শুরু করার পর নতুন মাত্রা পেয়েছে সে বৈরিতা।

রাশিয়াকে হ্যাকিং এবং সাইবার অপরাধ খাতে বিশ্বের শীর্ষ দেশ হিসেবে বর্ণনা করে আসছেন পশ্চিমা কর্মকর্তারা। প্রতিযোগিতার বাজারে বাড়তি সুবিধা পেতে রাশিয়ার রাস্ট্র সমর্থিত হ্যাকাররা বিদেশি সরকার এবং শিল্পখাতে সাইবার হামলা ও নজরদারি চালাচ্ছে বলে অভিযোগ উঠেছে একাধিকবার।

অ্যাপস্টোর খেলার লিগ, সবখানেই পুশউশ

রয়টার্স জানিয়েছে, বিভিন্ন খাতের আন্তর্জাতিক প্রতিষ্ঠান, দাতব্য সংস্থা এবং সরকারি সংস্থার অ্যাপে পুশউশের কোডের উপস্থিতি আছে। ‘ইউনিয়ন অফ ইউরোপিয়ান ফুটবল অ্যাসোসিয়েশনস বা ’উয়েফা’ থেকে শুরু করে যুক্তরাষ্ট্রের রাজনৈতিক সমর্থনপুষ্ট সংস্থা ‘ন্যাশনাল রাইফেল অ্যাসোসিয়েশন (এনআরএ)’, এমনকি ব্রিটিশ লেবার পার্টির অ্যাপেও আছে পুশউশের কোড।

১০ জন আইন বিশেষজ্ঞের মতামত নিয়ে রয়টার্স জানিয়েছে, মার্কিন সরকারি সংস্থা এবং ব্যক্তিমালিকানাধীন কোম্পানিগুলোর সঙ্গে পুশউশের ব্যবসায়িক সম্পর্ক স্থানীয় বাজার নিয়ন্ত্রক সংস্থার নির্ধারিত নীতিমালার লঙ্ঘন হিসেবে বিবেচিত হতে পারে। এ প্রসঙ্গে রয়টার্সের কাছে কোনো মন্তব্য করতে রাজি হয়নি এফবিআই, ফেডারেল ট্রেড কমিশন (এফটিসি) এবং যুক্তরাস্ট্রের ট্রেজারি বিভাগ।

তবে, এক্ষেত্রে ওয়াশিংটন ২০২১ সালের নির্বাহী আদেশের মাধ্যমে পুশউশের ওপর সরাসরি নিষেধাজ্ঞা আরোপ করতে পারে বলে জানিয়েছে রয়টার্স।

গুগল ও অ্যাপল অ্যাপ স্টোরের ৮ হাজার অ্যাপে পুশউশের কোডের উপস্থিতি আছে। কোম্পানির নিজস্ব ওয়েবসাইট বলছে, ২৩০ কোটি ডিভাইসের তথ্য আছে তাদের ডেটাবেইজে।

পুশউশের কার্যপ্রণালী ব্যাখ্যা করে অনলাইন বিজ্ঞাপন খাতে সাধারণ ব্যবহারকারীদের ব্যক্তিগত ডেটার অপব্যবহার নিয়ে অনুসন্ধানী প্রতিষ্ঠান ‘কনফায়েন্ট’-এর সহ-প্রতিষ্ঠাতা জেরোম ডাঙ্গু রয়টার্সকে বলেছেন, “স্পর্শকাতর ও সরকারি অ্যাপ থেকে ব্যবহারকারীদের ভৌগলিক অবস্থানের ডেটা সংগ্রহ করে পুশউশ।”

“কোম্পানির কর্মকাণ্ডে ক্ষতিকর বা প্রতারণামূলক কর্মকাণ্ডের কোনো ইঙ্গিত এখনও পাইনি আমরা। তবে, এতে স্পর্শকাতর ডেটা বেহাত হয়ে রাশিয়ার হাতে যাওয়ার ঝুঁকি কমছে না।”

পুশউশ প্রসঙ্গে কোনো মন্তব্য করতে রাজি হয়নি অ্যাপল ও গুগল উভয়েই।

পুশউশকে যুক্তরাষ্ট্রের কোম্পানি ভেবেছিল উয়েফা। রাশিয়ার সঙ্গে কোম্পানির যোগসূত্র সম্পর্কে অবহিত ছিল কি না, সে প্রসঙ্গে কোনো মন্তব্য করতে রাজি হয়নি সংস্থাটি। তবে, রয়টার্সের কাছ থেকে তথ্য পাওয়ার পর পুশউশের সঙ্গে ব্যবসায়িক সম্পর্ক পর্যালোচনা করে দেখার কথা জানিয়েছে সংস্থাটি।

গত বছরেই পুশউশের সঙ্গে চুক্তি শেষ হয়েছে বলে দাবি করেছে এনআরএ। পুশউশ নিয়ে কোনো মন্তব্য করতে রাজি হয়নি যুক্তরাজ্যের লেবার পার্টি।

অলাভজনক সংস্থা ‘ইন্টারনেট সেইফটি ল্যাব’-এর সাইবার নিরাপত্তা গবেষক জ্যাক এডওয়ার্ডস বলেছেন, “পুশউশ যে ডেটা সংগ্রহ করছে তার সঙ্গে ফেইসবুক, গুগল বা অ্যামাজনের সংগৃহিত ডেটার মিল আছে। তবে, মূল পার্থক্য হচ্ছে, সংগৃহিত ডেটা রাশিয়ায় অবস্থিত সার্ভারে পাঠায় পুশউশ।”

পুশউশ কোডের সন্দেহজনক উপস্থিতি সর্বপ্রথম চিহ্নিত করেছিলেন এডওয়ার্ডস।

এ প্রসঙ্গে রাশিয়ার রাষ্ট্রায়ত্ব যোগাযোগ নিয়ন্ত্রক সংস্থা রসকমনাডজোরের সঙ্গে যোগাযোগ করেও কোনো উত্তর পায়নি রয়টার্স।

ভুয়া ঠিকানা, ভুয়া প্রোফাইল

সামাজিক মাধ্যম এবং মার্কিন সরকারের কাছে জমা দেওয়া নথিপত্রের কোথাও রুশ শিকড়ের কথা উল্লেখ করেনি পুশউশ। টুইটারে নিজেদের ঠিকানা হিসেবে ওয়াশিংটন ডিসির কথা বলেছে কোম্পানিটি। আবার সরকারি সংস্থার কাছে জমা দেওয়া নথিপত্রে ঠিকানা হিসেবে মেরিল্যান্ডের এক আবাসিক এলাকার কথা উল্লেখ করেছে কোম্পানি।

ফেইসবুক এবং লিংকডইনের বিবরণীতেও মেরিল্যান্ডের ঠিকানা দিয়ে রেখেছে পুশউশ।

কোম্পানিটি মেরিল্যান্ডের যে আবাসিক এলাকার ঠিকানা ব্যবহার করেছে, ওই ঠিকানার বাসীন্দা নিজের পরিচয় গোপন রাখার শর্তে রয়টার্সকে বলেছেন, পুশউশের সঙ্গে কোনো সম্পর্কই নেই তার। কোম্পানির প্রতিষ্ঠাতা ম্যাক্স কনেভ তার বন্ধু এবং চিঠিপত্রের জন্য তার ঠিকানা ব্যবহারের অনুমতি চেয়ে নিয়েছিলেন তিনি।

আর রয়টার্সকে কনেভ বলেছেন, করোনা মহামারীর শুরু হওয়ায় ‘ব্যবসায়িক যোগাযোগের সুবিধার্থে’ মেরিল্যান্ডের ঠিকানা ব্যবহার করছিল তার কোম্পানি।

বর্তমানে থাইল্যান্ড থেকে পুশউশের কার্যক্রম পরিচালনা করছেন এবং তার কোম্পানি স্থানীয় বাজারে নিবন্ধিত বলে রয়টার্সের কাছে দাবি করেছেন তিনি। তবে, থ্যাইলান্ডের কোম্পানি রেজিস্ট্রি ঘেঁটে ওই নামে কোনো প্রতিষ্ঠানের অস্তিত্ব খুঁজে পায়নি রয়টার্স।

২০১৪ থেকে ২০১৬ সালের মধ্যে যুক্তরাষ্ট্রে দাখিলকৃত নথিপত্রে ক্যালিফোর্নিয়ার ইউনিয়ন সিটির ঠিকানা ব্যবহার করেছে পুশউশ। নগর কর্তৃপক্ষের বরাত দিয়ে রয়টার্স জানিয়েছে, বাস্তবে ওই ঠিকানার কোনো অস্তিত্ব নেই।

ওয়াশিংটন ডিসিভিত্তিক দুজন নির্বাহীর লিংকডইন অ্যাকাউন্টও ব্যবহার করেছে পুশউশ। কিন্তু ওই মেরি ব্রাউন এবং নোয়াহ ও’শিয়া উভয়েই কল্পিত চরিত্র বলে জানিয়েছে রয়টার্স।

এর মধ্যে ব্রাউনের অ্যাকাউন্টে যে নারীর ছবি ব্যবহার করা হয়েছে তা অস্ট্রিয়াভিত্তিক এক নাচের শিক্ষকের এবং ছবিটি তুলেছিলেন মস্কোর এক ফটোগ্রাফার। ওই ছবি ভুয়া পুশউশ নির্বাহী অ্যাকাউন্টে কীভাবে গেল, সে বিষয়ে কোনো ধারণা নেই বলে রয়টার্সকে জানিয়েছেন ওই নারী।

লিংকডইন অ্যাকাউন্টগুলো যে সম্পূর্ণ ভুয়া, রয়টার্সের কাছে তা স্বীকার করে নিয়েছেন কনেভ। তবে দাবি করেছেন, বিক্রি বাড়াতে পুশউশ ২০১৮ সালে একটি বাজারজাতকরণ সংস্থার সহযোগিতা নিয়ে অ্যাকাউন্টগুলো বানিয়েছিল, রাশিয়ার সঙ্গে সম্পর্ক লুকাতে নয়।