ই-অ্যাপোস্টিলের আদলে ভুয়া ওয়েবসাইট, দেশে হাজারো নাগরিকের ব্যক্তিগত তথ্য ফাঁস

বিদেশে পড়াশোনা, চাকরি বা ব্যবসায়িক কাজে প্রয়োজনীয় নথি সত্যায়নের জন্য সরকারি ই-অ্যাপোস্টিল সেবায় আবেদন করতে গিয়ে অন্তত ১ হাজার ১০০ জন নাগরিকের ব্যক্তিগত নথি একটি ওয়েবসাইটে ফাঁস হয়ে গেছে। এর মধ্যে রয়েছে জাতীয় পরিচয়পত্র (এনআইডি), পাসপোর্ট, বিয়ের সনদ, শিক্ষা সনদ, ট্রেড লাইসেন্স, ব্যবসায়িক চুক্তিপত্রসহ ব্যক্তিগত নানা তথ্য।

সরকারি ওয়েবসাইটে নিজেরা সরাসরি আবেদন না করে দোকান বা মধ্যস্থতাকারীর মাধ্যমে আবেদন করেছিলেন বলে ভুক্তভোগীরা জানিয়েছেন। তবে সাইবার নিরাপত্তা বিশেষজ্ঞেরা বলছেন, নাগরিক নিজে বা দোকানের মাধ্যমে আবেদন করুক না কেন, সরকারি সেবার আদলে তৈরি ভুয়া প্ল্যাটফর্মে এত বিপুল পরিমাণ তথ্য জমা পড়া ডিজিটাল গভর্ন্যান্সের বড় ধরনের দুর্বলতার ইঙ্গিত দেয়।

ই-অ্যাপোস্টিল কী

বাংলাদেশের বিভিন্ন সরকারি নথি বিদেশে আইনগতভাবে গ্রহণযোগ্য করতে হলে পররাষ্ট্র মন্ত্রণালয়ের মাধ্যমে সত্যায়ন করতে হয়। এই প্রক্রিয়াকে সহজ, দ্রুত ও স্বচ্ছ করতে তথ্য ও যোগাযোগপ্রযুক্তি বিভাগের অধীন এসপায়ার টু ইনোভেট (এটুআই) প্রোগ্রামের মাইগভ প্ল্যাটফর্মের আওতায় পররাষ্ট্র মন্ত্রণালয় অনলাইনে অ্যাপোস্টিল কার্যক্রম পরিচালনা করছে। সেটি ই–অ্যাপোস্টিল সেবা নামে পরিচিত।

ই-অ্যাপোস্টিল সনদে একটি কিউআর কোড যুক্ত থাকে, যা স্ক্যান করলে সংশ্লিষ্ট নথি সত্যায়িত হয়েছে—এমন তথ্য যাচাই করা যায়। এটুআইয়ের তথ্য বলছে, গত ১১ মাসে প্রায় ১৭ লাখ ই-অ্যাপোস্টিল আবেদন নিষ্পত্তি করা হয়েছে।

নম্বর বদলালেই নথি দেখা যাচ্ছে

মাইগভ বিডি প্ল্যাটফর্মের আওতায় ই-অ্যাপোস্টিলের সরকারি ওয়েবসাইটটি পরিচালিত হয় ডট বিডি ডোমেইনের মাধ্যমে। তবে যে ওয়েবসাইটে নাগরিকদের ব্যক্তিগত তথ্য ফাঁস হয়েছে, সেটি পরিচালিত হচ্ছে ডট নিউজ ডোমেইনের মাধ্যমে। এটুআইয়ের কর্মকর্তারা বলছেন, সরকারের ওয়েবসাইটের মতোই একই রকম একটি ভুয়া ওয়েবসাইট তৈরি করে প্রতারণা করছে একটি চক্র।

ভুয়া ওই ওয়েসাইট ঘুরে দেখা গেছে, গত ১২ অক্টোবর থেকে ১১ ডিসেম্বর পর্যন্ত অন্তত ১ হাজার ১০০ নাগরিকের ভুয়া ই-অ্যাপোস্টিল সনদ তৈরি করা হয়েছে। সনদের সঙ্গে সেখানে এনআইডি, নিকাহনামা, শিক্ষা সনদ, পাসপোর্টসহ ব্যবসায়িক নথিও রয়েছে। কেউ চাইলেই সহজে এসব তথ্য দেখতে পাচ্ছে।

ভুয়া অ্যাপোস্টিল সনদে যে কিউআর কোড ব্যবহার করা হয়েছে, সেটি স্ক্যান করলে যে ওয়েব ঠিকানায় তথ্য দেখানো হয়, সেখানে ধারাবাহিক নম্বর ব্যবহার করা হয়েছে। এই নম্বর পরিবর্তন করলেই অন্য ব্যক্তির নথি দেখা যাচ্ছে। অর্থাৎ কোনো ধরনের পরিচয় যাচাই বা অতিরিক্ত অনুমোদন ছাড়াই একজন ব্যবহারকারী অন্যের সংবেদনশীল নথিতে প্রবেশ করতে পারছেন।

সাইবার নিরাপত্তা বিশেষজ্ঞেরা বলছেন, এটি ওয়েবসাইটের জন্য একটি পরিচিত নিরাপত্তাত্রুটি। যাকে ইনসিকিউর ডিরেক্ট অবজেক্ট রেফারেন্স (আইডিওআর) বলা হয়। তাঁদের মতে, ধারাবাহিক নম্বরের বদলে এলোমেলো ও ইউনিক আইডেন্টিফায়ার (ইউআইআইডি) ব্যবহার করা হলে এ ধরনের অননুমোদিত প্রবেশ অনেকটাই প্রতিরোধ করা সম্ভব হয়।

তথ্য ফাঁস হয়েছে—এমন ২০ জনের সঙ্গে যোগাযোগ করার চেষ্টা করেছে প্রথম আলো। এর মধ্যে ৯ জনের সঙ্গে যোগাযোগ করা সম্ভব হয়েছে। ফাঁস হওয়া ব্যক্তিগত নথিগুলো সত্যি বলে তাঁদের থেকে নিশ্চিত হওয়া গেছে।

তবে ৯ জনের মধ্যে কেউই তাঁদের তথ্য ফাঁস হওয়ার বিষয়টি জানেন না বলে জানিয়েছেন। বিষয়টি জানার পর ভুক্তভোগী একজন নারী উদ্বিগ্ন হয়ে পড়েন। নিজে আবেদন করেছিলেন কি না, জানতে চাইলে তিনি প্রথম আলোকে বলেন, মাসখানেক আগে একটি এজেন্সির মাধ্যমে আবেদন করেছিলেন।

আরও ভুয়া ওয়েবসাইট

ওয়েবসাইট নকলের ঘটনায় তথ্যপ্রযুক্তি বিভাগের আওতাধীন ‘এসপায়ার টু ইনোভেট (এটুআই)’ কর্মসূচির সাইবার নিরাপত্তা দল তদন্ত চালিয়ে একাধিক ভুয়া ও লুক-এ-লাইকের ওয়েবসাইট শনাক্ত করেছে। তাঁরা বলছেন, এসব সাইটের সঙ্গে সরকারি ই-অ্যাপোস্টিল সেবার কোনো সম্পর্ক নেই। তদন্তে দেখা গেছে, সরকারি মাইগভ ও ই-অ্যাপোস্টিল সেবার ছদ্মবেশে মোট ছয়টি ভুয়া ডোমেইন সক্রিয় ছিল। এসব ডোমেইন ‘মাইগভ’, ‘অ্যাপোস্টিল’ নামের কাছাকাছি বানান ও কাঠামো ব্যবহার করে নাগরিকদের বিভ্রান্ত করেছে।

তদন্তে আরও উল্লেখ করা হয়, এসব সাইটে ফিশিং, নাগরিকের ব্যক্তিগত তথ্য সংগ্রহ এবং আর্থিক প্রতারণার উচ্চ ঝুঁকি ছিল। নাগরিকের তথ্য সুরক্ষার পাশাপাশি সরকারি ডিজিটাল সেবার সুনাম ক্ষুণ্ন হওয়ার আশঙ্কাও তুলে ধরা হয়েছে।

তথ্যপ্রযুক্তি বিভাগ সূত্রে জানা গেছে, এর আগেও ফ্রিল্যান্সারদের জন্য সরকারি ওয়েবসাইটের নকল একটি ওয়েবসাইট তৈরি করা হয়েছিল।

ডিজিটাল গভর্ন্যান্সের দুর্বলতা

সাইবার নিরাপত্তা বিশেষজ্ঞদের মতে, পাসপোর্ট ও বিয়ের সনদের মতো নথি ফাঁস হলে পরিচয় চুরি, জালিয়াতি এবং ব্যক্তিগত নিরাপত্তাঝুঁকি তৈরি হতে পারে। বিশেষ করে নারীদের ক্ষেত্রে এ ধরনের তথ্য অপব্যবহারের আশঙ্কা বেশি।

এর আগেও সরকারের কোভিড-১৯-এর টিকা ব্যবস্থাপনা সিস্টেম ‘সুরক্ষা’য় সংরক্ষিত পাঁচ কোটি নাগরিকের ডেটা ডার্ক ওয়েবে ফাঁস হওয়ার অভিযোগ উঠেছিল। গত বছর এসব ডেটা বিক্রির জন্য একটি সাইটে বিজ্ঞাপনও দেওয়া হয়।

বারবার ব্যক্তিগত তথ্য এভাবে অরক্ষিত অবস্থায় ছড়িয়ে পড়ার কারণে নাগরিকদের মধ্যে একধরনের অবিশ্বাস ও অনাস্থা তৈরি হচ্ছে বলে মনে করেন ঢাকা বিশ্ববিদ্যালয়ের তথ্যপ্রযুক্তি ইনস্টিটিউটের পরিচালক অধ্যাপক বি এম মইনুল হোসেন।

মইনুল হোসেন প্রথম আলোকে বলেন, সরকারি সেবার ডিজিটাল রূপান্তরের প্রক্রিয়ায় এ ধরনের ঘটনা খুব নেতিবাচক প্রভাব ফেলে। ব্যক্তিগত তথ্য ‘পাসওয়ার্ড’ নয় যে ফাঁস হয়ে গেলে যেকোনো সময় পরিবর্তন করা যাবে। এগুলো একবার ফাঁস হওয়া মানে আজীবনের জন্য পাবলিক হয়ে যাওয়া।

নাগরিকদের তথ্য সুরক্ষার জন্য আন্তর্জাতিকভাবে স্বীকৃত কৌশল ও প্রক্রিয়া নিশ্চিত করেই তথ্য সংগ্রহ করার প্রক্রিয়া শুরু করার পরামর্শ দেন তিনি।

‘স্যাবোটাজ’ বলছে সরকার

সরকারি ওয়েবসাইট নকলের বিষয়টিকে ‘স্যাবোটাজ’ বলছেন ডাক, টেলিযোগাযোগ ও তথ্যপ্রযুক্তি মন্ত্রণালয়ের দায়িত্বপ্রাপ্ত প্রধান উপদেষ্টার বিশেষ সহকারী ফয়েজ আহমদ তৈয়্যব। তিনি প্রথম আলোকে বলেন, ‘তদন্ত প্রতিবেদন হাতে এসেছে। ব্যবস্থা নেওয়ার জন্য সংশ্লিষ্ট সংস্থাকে চিঠি দেওয়া হবে। তবে বিষয়টি চ্যালেঞ্জিং। বাংলাদেশের কয়েক কোটি মানুষের ব্যক্তিগত তথ্য ডার্ক ওয়েবে ঘুরছে বলে আগেই জানা গিয়েছিল। এই ডেটাগুলো ব্যবহার করে স্যাবোটাজ করা হচ্ছে।’

দুটি কোম্পানিকেও দায়ী করে ফয়েজ আহমদ তৈয়্যব বলেন, এই কোম্পানিগুলো কিছু ক্ষেত্রে নাগরিকদের তথ্যের বিকল্প স্টোরেজ তৈরি করেছে। এগুলো ব্যবহার করে নাগরিকদের বিভ্রান্ত করা এবং সরকারি ওয়েবসাইটের অবয়বে নকল ওয়েবসাইট তৈরি করা হচ্ছে। যার মূল উদ্দেশ্য সরকারি ওয়েবসাইটের প্রতি বিশ্বাস নষ্ট করা। এ ধরনের কার্যক্রম ঠেকাতে নতুন সেল খোলার চিন্তা করা হচ্ছে বলেও জানান তিনি।