নিয়ম ভঙ্গ করে একটি প্রতিষ্ঠানের তথ্য সংরক্ষণই ফাঁসের কারণ: ধারণা ইসির

নির্বাচন কমিশনের (ইসি) কাছে সংরক্ষিত দেশের নাগরিকদের জাতীয় পরিচয়পত্রের (এনআইডি) তথ্য ১৭১টি প্রতিষ্ঠান ব্যবহার করে। সেগুলোর মধ্যে স্থানীয় সরকার বিভাগের জন্ম ও মৃত্যুনিবন্ধন, রেজিস্ট্রার জেনারেলের কার্যালয়ও রয়েছে। তবে নাম না উল্লেখ করে ইসি বলছে, নিয়মের বাইরে গিয়ে একটি প্রতিষ্ঠান নাগরিকদের ব্যক্তিগত তথ্য সংরক্ষণ করেছে এবং তাদের ওয়েবসাইটে দুর্বলতা থাকায় সেসব তথ্য ফাঁস হয়েছে।

আজ রোববার বিকেলে রাজধানীর আগারগাঁওয়ের নির্বাচন ভবনে সংবাদ সম্মেলনে নির্বাচন কমিশনের জাতীয় পরিচয়পত্র (এনআইডি) নিবন্ধন অনুবিভাগের কর্মকর্তারা এ কথা বলেন।

যুক্তরাষ্ট্রের তথ্যপ্রযুক্তিভিত্তিক অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ গত বৃহস্পতিবার এক প্রতিবেদনে জানায়, বাংলাদেশে একটি সরকারি সংস্থার ওয়েবসাইটের মাধ্যমে লাখ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁস হয়েছে। এসব তথ্যের মধ্যে নাগরিকের নাম, ফোন নম্বর, ই-মেইল ঠিকানা ও জাতীয় পরিচিতি নম্বর রয়েছে।

সংবাদ সম্মেলনে এনআইডির মহাপরিচালক এ কে এম হুমায়ুন কবীর বলেন, নাগরিকদের যে তথ্য ফাঁস হয়েছে, তা নির্বাচন কমিশনের সার্ভার থেকে হয়নি। তিনি বলেন, ‘আমরা ১৭১টি প্রতিষ্ঠানকে এনআইডির তথ্যসেবা প্রদান করে থাকি। চুক্তি মোতাবেক তারা কাজ করতে পারে। আমাদের সার্ভারে যে তথ্য আছে, তাতে বাইরের কোনো তথ্য ঢোকেনি, কোনো হুমকিও আসেনি। ফলে যে তথ্যগুলোর কথা বলা হচ্ছে, তা আমাদের সার্ভার থেকে যায়নি বলে দৃঢ়বিশ্বাস।’

মহাপরিচালক বলেন, যারা তাদের কাছ থেকে সেবা নিচ্ছে, তারা কতটুকু সতর্ক, তা খতিয়ে দেখা হচ্ছে। যদি কারও বিচ্যুতি পাওয়া যায়, তাহলে তাদের সেবা বন্ধ করে দেওয়া হবে। চুক্তির বরখেলাপ করলে চুক্তি বাতিল করা হবে।

কোনো প্রতিষ্ঠানের অবহেলার কারণে এ ঘটনা ঘটলে তাদের আইনের আওতায় নেওয়া হবে বলেও ঘোষণা দেন হুমায়ুন কবীর।

জন্ম ও মৃত্যুনিবন্ধন দপ্তরের সঙ্গে ইসির চুক্তি আছে বলে জানান এনআইডি অনুবিভাগের সিস্টেম ম্যানেজার মো. আশরাফ হোসেন। এ সময় আইডিইএ-২ পর্যায় প্রকল্পের আইটি পরিচালক স্কোয়াড্রন লিডার সাদ ওয়ায়েজ তানভীর বলেন, তাঁরা ১৭১টি প্রতিষ্ঠানকে ভিপিএনের মাধ্যমে ডেটা দিয়ে থাকেন। ইসির সার্ভার থেকে নাগরিকদের তথ্য নিতে সেই নাগরিকের শুধু এনআইডি নম্বর নয়, জন্মতারিখও দিতে হয়। প্রতিটি এনআইডির বিপরীতে জন্মতারিখ পরীক্ষা করে তথ্য দেওয়া হয়। তাই বাল্ক অ্যামাউন্ট অব ডেটা কল (অনেক তথ্য চাওয়া) করার সুযোগ নেই।

ব্যাখ্যা করতে গিয়ে সাদ ওয়ায়েজ তানভীর বলেন, ‘মনে করেন, একটা ব্যাংক। তাদের প্রচুর গ্রাহক আসে প্রতিদিন। প্রতিদিন তারা গ্রাহকদের ডেটা নিচ্ছে। এভাবে একটা নির্দিষ্ট সময়ে তারা অনেক নাগরিকের তথ্য নিয়ে থাকে। প্রতিদিন তারা সেসব তথ্য সেভ (সংরক্ষণ) করতে থাকলে একসময় অনেক ডেটা হয়ে যাবে। যার নিরাপত্তা নিশ্চিত করা সম্ভব হবে না। সে কারণে চুক্তিতে উল্লেখ করে দেওয়া হয়, তারা ডেটা সংরক্ষণ করতে পারবে না।’

একটি প্রতিষ্ঠানের ওয়েবসাইটে ভঙ্গুরতা থাকার কথা ইসি জানতে পেরেছে বলে জানান সাদ ওয়ায়েজ তানভীর। তিনি বলেন, ‘একটা সাইট যখন চালু করা হয়, তখন যে লিংক দেখা যায়, তার বাইরেও কিছু লিংক থাকে যা সাধারণ ব্যবহারকারীরা দেখতে পারে না। কিন্তু স্ক্যান করে লিংকগুলো চিহ্নিত করা যায়। ওই লিংকগুলো চিহ্নিত করার মাধ্যমে ওইখানে তারা একটা স্ক্রিপ্ট চালায়, নাগরিক তথ্যগুলো তারা ওখান থেকে এক্সেস (প্রবেশ) করতে পেরেছে। আমরা ধারণা করছি যে পার্টনার সার্ভিসের সাইট থেকে (হ্যাকারেরা) এক্সেস নিয়েছে, তাদের ওখানে এই ডেটা সংরক্ষিত ছিল।’