জন্ম ও মৃত্যু নিবন্ধন-ভূমি মন্ত্রণালয়ের সার্ভার থেকে নাগরিকের তথ্য ফাঁস

মাজহারুল ইসলাম।।প্রাথমিকভাবে সরকারি দুটি সার্ভার থেকে নাগরিকদের গুরুত্বপূর্ণ ব্যক্তিগত তথ্য ‘ফাঁস’ হয়েছে বলে জানতে পেরেছে নির্বাচন কমিশন।এর আগে সরকারি ওয়েবসাইট থেকে কয়েক লাখ নাগরিকের নাম,ফোন নম্বর, ইমেইল ঠিকানা এবং জাতীয় পরিচয়পত্রের নম্বরসহ গুরুত্বপূর্ণ ব্যক্তিগত তথ্য ‘ফাঁস’ হওয়ার খবর প্রকাশিত হয়।

নির্বাচন কমিশনের অতিরিক্ত সচিব অশোক কুমার দেবনাথ সাংবাদিকদের বলেন, “প্রাথমিকভাবে দুইটা ওয়েবসাইটকে চিহ্নিত করা হয়েছে যেখান থেকে তথ্য ফাঁস হয়েছে।জন্ম ও মৃত্যু নিবন্ধন এবং আমাদের ভূমি মন্ত্রণালয়ের সার্ভার।”

তবে,নির্বাচন কমিশনসহ সরকারের একাধিক সংস্থা দাবি করেছে,এ ঘটনা হ্যাকিং নয়,এবং নির্বাচন কমিশনের ডাটাবেস সুরক্ষিত রয়েছে।

এদিকে,সরকারের সাইবার ইস্যু দেখভালকারী প্রতিষ্ঠান কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম – বিজিডি-ইগভ সিআইআরটি-সার্ট শনিবার আটই জুলাই সিচ্যুয়েশনাল অ্যালার্ট জারি করেছে।

বিষয়টি সমাধানের চেষ্টা চলছে বলে জানিয়েছে বিজিডি ই-গভ সার্ট।

যুক্তরাষ্ট্র-ভিত্তিক তথ্যপ্রযুক্তি বিষয়ক অনলাইন বার্তা-সংস্থা টেকক্রাঞ্চ শুক্রবার প্রকাশিত এক প্রতিবেদনে বাংলাদেশের সরকারি ওয়েবসাইটের তথ্য ফাঁস হওয়ার কথা জানায়।

সরকারি সংস্থার ওয়েবসাইটের মাধ্যমে তথ্য ফাঁসের ঘটনা ঘটেছে বলে জানালেও,সেটি কোন ওয়েবসাইট,তা তারা প্রকাশ করেনি ওই প্রতিবেদনে।

টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে,গত ২৭শে জুন প্রথম ফাঁস হওয়া তথ্যগুলো ইন্টারনেটে দেখতে পান দক্ষিণ আফ্রিকা-ভিত্তিক আন্তর্জাতিক সাইবার নিরাপত্তা-বিষয়ক প্রতিষ্ঠান বিটক্র্যাক সাইবার সিকিউরিটির গবেষক ভিক্টর মারকোপাওলোস।

তিনি গুগল সার্চে এসকিউএল ত্রুটি নিয়ে তথ্য খোঁজার সময়,অনিচ্ছাকৃতভাবেই এই ফাঁসের বিষয়টি ধরতে পারেন।

এসকিউএল হল ডাটাবেজে ডেটা ব্যবস্থাপনার উদ্দেশ্যে তৈরি একটি প্রোগ্রামিং ভাষা।

এর পর তিনি বাংলাদেশ সরকারের কম্পিউটার ইন্সিডেন্ট রেসপন্স টিম -বিজিডি ই-গভ সিআইআরটি,যারা মূলত সরকারি ওয়েবসাইটের নিরাপত্তার বিষয়টি দেখাশোনা করে, তাদের সঙ্গে যোগাযোগ করেন।

তথ্য ফাঁস হওয়ার ঘটনা সত্য কিনা তা পরবর্তীতে যাচাই করেছে টেকক্রাঞ্চ।এজন্য তারা ওই ওয়েব সাইটের পাবলিক সার্চ টুলসের মাধ্যমে দেখতে পায় যে,তারা সহজেই বাংলাদেশের আক্রান্ত সরকারি ওয়েবসাইটের ডাটাবেজে থাকা তথ্য বের করতে পারছে।

যেমন— নিবন্ধনের জন্য আবেদন করা ব্যক্তির নাম এমনকি কারও কারও বাবা-মায়ের নাম পাওয়া গিয়েছে।মোট ১০টি ভিন্ন ধরনের ডেটা ব্যবহার করে এ পরীক্ষা চালায় টেকক্রাঞ্চ, যা প্রতিবারই সঠিক তথ্য দেয়।

কী বলছে নির্বাচন কমিশন?
নির্বাচন কমিশনের অতিরিক্ত সচিব অশোক কুমার দেবনাথ বলেছেন,প্রায় ১২ কোটি ভোটারের নাগরিক তথ্য সংবলিত এনআইডি সার্ভার ‘অত্যন্ত সুরক্ষিত’।

“তবে এনআইডি’র ১৭১টি পার্টনার সার্ভিস আছে,যারা এনআইডি সার্ভারের অ্যাক্সেস পায়।এই পার্টনার সার্ভিস থেকে তথ্য ফাঁস হয়েছে,” বলে তিনি জানিয়েছেন।

তিনি আরোও বলেন, “প্রাথমিকভাবে দুইটা ওয়েবসাইটকে চিহ্নিত করা হয়েছে যেখান থেকে তথ্য ফাঁস হয়েছে।জন্ম ও মৃত্যু নিবন্ধন এবং আমাদের ভূমি মন্ত্রণালয়ের সার্ভার।তারা তাদের তথ্যগুলো ‘ওপেন’ রাখার কারণেই এমনটা হয়েছে।তথ্য ওপেন রাখা বলতে এখানে তিনি বুঝিয়েছেন,সরকারি তথ্য ভার্চুয়াল প্রাইভেট নেটওয়ার্ক বা ভিপিএন সার্ভারে থাকে। যাদেরকে এসব তথ্যের অ্যাক্সেস দেয়া হয় তারা এই ভিপিএন কানেকশনের মাধ্যমে এনআইডি সার্ভার থেকে তথ্য নিতে পারে।এসব তথ্য তারা সরাসরি গুগল বা কোন ওপেন সোর্স থেকে পাবে না।এনআইডি সার্ভার থেকে তথ্য নেওয়ার পরে এই দুটো পার্টনার সার্ভিস,তাদের তথ্য তারা ওপেন রাখার কারণেই তথ্য ফাঁস হয়েছে।অর্থাৎ যে তথ্য গুগল সার্চে বা যেকোনো ওপেন প্ল্যাটফর্ম থেকে পাওয়া যাচ্ছিল।

নির্বাচন কমিশনে ভোটারদের ছবি,আঙুলের ছাপসহ অন্তত ৪০টি তথ্য সম্বলিত তথ্যভাণ্ডার সংরক্ষিত রয়েছে।

বাংলাদেশে ১৮ কিংবা তার বেশি বয়সী নাগরিকদের জাতীয় পরিচয়পত্র দেওয়া হয়ে থাকে।পাশাপাশি শিশুদের জন্ম-নিবন্ধন করাতে হয়।এছাড়া ভূমি মন্ত্রণালয়ে নাগরিকদের ব্যক্তিগত জরুরি নানা তথ্য থাকে।

গাড়ি চালানোর লাইসেন্স পাওয়া,পাসপোর্ট করা,জমি বেচাকেনা,ব্যাংক অ্যাকাউন্ট খোলাসহ বিভিন্ন সেবা নেওয়ার ক্ষেত্রে এসব তথ্য দেখাতে হয়।

বাংলাদেশে নাগরিক সেবা দিতে অর্ধ শতাধিক সংস্থার সঙ্গে ইসির চুক্তি অনুযায়ী সুনির্দিষ্ট কয়েকটি তথ্যের ভেরিফিকেশন সার্ভিস চালু রয়েছে।

দেবনাথ বলেছেন, তথ্য ফাঁসের বিষয়টিকে ‘খুব গুরুত্ব সহকারে’ তারা তদন্ত করছেন।তবে জাতীয় পরিচয়পত্রের সার্ভার থেকে কোন তথ্য ফাঁস হয়নি বলে তিনি দাবি করেছেন।একে পার্টনার সার্ভিসের নিরাপত্তা জনিত ত্রুটি বলে অভিহিত করেছেন তিনি।আমরা আমাদের পার্টনার সার্ভিসের সাথে যখন চুক্তি করেছি তখন আমরা এই বিষয়গুলোকে অতটা গুরুত্ব দিয়ে দেখিনি।এই ঘটনা থেকে আমরা নতুন অভিজ্ঞতা নিলাম।তাদের কাছ থেকে তথ্য লিক হলে কী হবে এ বিষয়গুলো আমরা আবার নতুন করে তাদের সাথে আলোচনা করবো।এখন থেকে সব পার্টনার সার্ভিস যেন পর্যাপ্ত নিরাপত্তা দেয় সে বিষয়টি নিশ্চিত করা হবে।”

বৃহস্পতিবার ১৩ই জুলাই সব পার্টনার সার্ভিস সহযোগী সংস্থাকে নিয়ে জরুরী বৈঠক ডেকেছে নির্বাচন কমিশন।

এদিকে,জাতীয় পরিচয়পত্র নিবন্ধন অনুবিভাগের মহাপরিচালক এ কে এম হুমায়ুন কবীর রোববার নির্বাচন কমিশনে সাংবাদিকদের বলেছেন,তাদের ১৭১টি পার্টনারের কারও মাধ্যমে তথ্য ফাঁস হচ্ছে কি না,তা খতিয়ে দেখা হবে।যদি কারও মাধ্যমে তথ্য ফাঁসের প্রমাণ পাওয়া যায়,তাহলে তার কাছ থেকে সার্ভিস বন্ধ করে দেয়া হবে।”

তথ্য ও যোগাযোগ প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক রোববার ঢাকায় এক অনুষ্ঠানে স্বীকার করেছেন ‘সিস্টেমের দুর্বলতার’ কারণে নাগরিকদের তথ্য ফাঁসের ঘটনা ঘটেছে।সরকারি কোনো ওয়েবসাইট হ্যাক হয়নি।সাংবাদিকদের বলেছেন, “এটি টেকনিক্যাল ফল্ট (কারিগরি ত্রুটি)।যার ফলে ওয়েবসাইটের তথ্য খুব সহজে দেখা যাচ্ছিল,অর্থাৎ সব তথ্য উন্মুক্ত ছিল। একে ঠিক হ্যাকিং বলা মুশকিল। কারণ হ্যাকিং হচ্ছে কেউ যদি অবৈধভাবে কোন সিস্টেমে প্রবেশ করে।”“যে ওয়েবসাইটের তথ্যগুলো পাবলিক হয়ে গেছে তাদের ন্যূনতম যে সিকিউরিটি সার্টিফিকেটটা নেয়ার দরকার ছিল সেটাও ছিল না।এপিআই যেটা ক্রিয়েট করা হয়েছে,সেখান থেকে ইচ্ছা করলেই যে কেউ তথ্য গুলো দেখতে পারছে।এটা দুঃখজনক।ভুল যারই হোক এতে ক্ষতি হয়েছে রাষ্ট্রের। এতে দেশের ভাবমূর্তি ক্ষুণ্ণ হয়েছে,” বলে মন্তব্য করেন তিনি।এই দায়ভার এড়ানোর কোন সুযোগ নেই’ উল্লেখ করে প্রতিমন্ত্রী বলেছেন, “নিরাপদ থাকার জন্য ন্যূনতম যে চেষ্টা থাকার কথা ছিল,প্রস্তুতি নেওয়ার কথা ছিল সেটা তো ছিল না, তাই দোষ এড়ানোর তো কোন সুযোগ নেই।”তিনি ২০১৬ সালে বাংলাদেশ ব্যাংক থেকে রিজার্ভ চুরির প্রসঙ্গ টেনে বলেন, “সাইবার সিকিউরিটির গুরুত্ব উপলব্ধি করে আমরা জাতীয় পরিচয়পত্র,জন্ম নিবন্ধন,টিআইএনসহ ২৯টি ক্রিটিকাল ইনফরমেশন ইনফ্রাস্ট্রাকচার ঘোষণা করি। এরম ধ্যে একটি প্রতিষ্ঠান এই অবস্থার মধ্যে পড়লো।”

যারা এখানে দায়িত্ব অবহেলা করেছে তাদের বিরুদ্ধে সংশ্লিষ্ট মন্ত্রণালয় শক্ত ব্যবস্থা নেবে বলে তিনি সাংবাদিকদের জানান।

বিষয়টি নিয়ে সংশ্লিষ্ট সংস্থাগুলোকে নিয়ে আগামীকাল সোমবার জরুরী বৈঠক ডাকা হয়েছে।

এদিকে,দেশের নাগরিকের তথ্য ফাঁসের ঘটনায় কাউকে ছাড় দেওয়া হবে না বলে জানিয়েছেন স্বরাষ্ট্রমন্ত্রী আসাদুজ্জামান খান কামাল।একইসঙ্গে নাগরিকের তথ্য ফাঁসের কাজে যদি কেউ সহায়তা করে তার বিরুদ্ধে আইনি ব্যবস্থা নেওয়া হবে বলেও জানান তিনি।রোববার স্বরাষ্ট্র মন্ত্রণালয়ে সাংবাদিকদের তিনি বলেন, “আমাদের সাইবার ইউনিট এ বিষয়ে কাজ করছে।আমাদের আগে দেখতে হবে কী ফাঁস হয়েছে। সেগুলো উদ্ধার করে নিরাপত্তা ব্যবস্থা আরও জোরদার করা হবে।”

শুক্রবার ৭ জুলাই টেকক্রাঞ্চের প্রতিবেদন প্রকাশ হওয়ার পর তথ্য ফাঁসের বিষয়ে প্রথম জানতে পারেন বিজিডি ই-গভ সার্টের প্রকল্প পরিচালক মোহাম্মদ সাইফুল আলম খান।তিনি বলেছেন, “এই তথ্য ফাঁস কিভাবে হয়েছে সেটা আমরা চিহ্নিত করেছি।এ নিয়ে ইতিমধ্যে প্রয়োজনীয় সব ব্যবস্থা নেয়া হয়েছে। আমরা রিপোর্ট পাঠিয়ে দিয়েছি,এখন সমস্যা হবে না আশা করি।যাদের দ্বারা এই ভুল হয়েছে তারা ইতিমধ্যে পদক্ষেপ নিয়েছে।সামনে আর কোন সমস্যা হবে না আশা করি।”তিনিও সরকারি ওয়েবসাইটে তথ্য সংরক্ষণে ‘নিরাপত্তা-জনিত দুর্বলতা’র কারণে এ ঘটনা ঘটেছে বলে জানান।

তবে টেকক্রাঞ্চের প্রতিবেদনে বলা হয়েছে,তথ্য ফাঁসের কথা জানাতে এবং এ ব্যাপারে প্রতিক্রিয়া জানতে বার্তা সংস্থাটির পক্ষ থেকে বাংলাদেশের কয়েকটি সরকারি সংস্থা,বিজিডি ই-গভ সার্ট,ওয়াশিংটন ডিসিতে অবস্থিত বাংলাদেশ দূতাবাস এবং নিউইয়র্ক সিটিতে বাংলাদেশি কনস্যুলেটে ই–মেইল পাঠালেও সেখান থেকে কেউ সাড়া দেয়নি।এদিকে,শুক্রবার রাতে তথ্য ফাঁসের খবর প্রকাশিত হওয়ার পর বিষয়টি নিয়ে চাঞ্চল্য সৃষ্টি হয়। সেই প্রেক্ষাপটে শনিবার রাতে বিজিডি ই-গভ সার্ট এক সংবাদ বিজ্ঞপ্তি দেয়,যাতে বলা হয়,একটি আন্তর্জাতিক সংবাদমাধ্যমে বাংলাদেশের লাখ লাখ নাগরিকের তথ্য ফাঁসের খবর নজরে আসার পর ‘এ বিষয়টি খতিয়ে দেখতে শুরু করেছে সার্ট টিম’।এই তথ্য ফাঁসের প্রভাব কেমন হতে পারে,সেইসাথে ঘটনার সমাধানে উদ্যোগ নেয়া, সাইবার নিরাপত্তায় প্রয়োজনীয় ব্যবস্থা গ্রহণ এবং ভবিষ্যতে এ ধরনের ঘটনা প্রতিরোধে সংশ্লিষ্টদের প্রতি নানা পরামর্শ দেয়া হয়েছে ওই বিজ্ঞপ্তিতে।