Image description

ঢাকা বিশ্ববিদ্যালয়ের (ঢাবি) শিক্ষার্থীদের ব্যক্তিগত ও পরীক্ষার রেজাল্টের তথ্য বিশ্ববিদ্যালয়ের ওয়েবসাইটের বাইরে অন্য আরেক সাইটে ছড়িয়ে পড়ার ঘটনা ঘটেছে। বিশ্ববিদ্যালয়ের সংশ্লিষ্ট সার্ভারের অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস বা এপিআই উন্মুক্ত থাকার কারণে যেকারো হাতে এসব তথ্য চলে যাওয়ার সুযোগ থাকায় নিজেই একটি ওয়েবসাইট খুলে বেশ কিছুদিন ধরে সেই তথ্য প্রচারের কাজ করছিলেন তুহিন রানা নামে পরিসংখ্যান বিভাগের এক শিক্ষার্থী। এই শিক্ষার্থীর মাধ্যমে সৃষ্ট সার্ভার থেকেই বেশ কিছুদিন ধরে নিজেদের পরীক্ষার ফল দেখতে পাচ্ছিলেন শিক্ষার্থীরা। 

আর তুহিন রানা নামে ওই শিক্ষার্থী নিজেই বিষয়টি স্বীকারও করেছেন। তবে তার দাবি, তিনি এসব তথ্য হ্যাক করে পাননি, বরং বিশ্ববিদ্যালয়ের সার্ভারের ডাটাসমূহ উন্মুক্ত করা এপিআই থেকে নেওয়া নিয়েছেন। যদিও বিষয়টি জানাজানি হওয়ার পর বিশ্ববিদ্যালয়ের ওয়েবসাইট সিকিউরড করায় তার সার্ভারটি আর কাজ করছে না বলে জানা গেছে। তারপরও বিশ্ববিদ্যালয় পরিচালিত ওয়েবসাইটের দূর্বল অপারেটিং সিস্টেমের কারণে শিক্ষার্থীদের ব্যক্তিগত তথ্যের নিরাপত্তা নিয়ে উদ্বেগ সৃষ্টি হয়েছে।

জানা গেছে, কিছুদিন ধরে এই লিংকে https://result-checker-enhanced.rana2hin.me/ ঢাকা বিশ্ববিদ্যালয়ের শিক্ষার্থীরা বিভাগের নাম ও নির্দিষ্ট সেমিস্টার সিলেক্ট করে কেবল রোল ও রেজিস্ট্রেশন নম্বর দিলেই নিজেদের প্রতি বিষয়ের মার্কসহ রেজাল্টের তথ্য পাচ্ছিলেন। কিছু ক্ষেত্রে ভুল তথ্য আসলেও অধিকাংশ ক্ষেত্রেই সঠিক তথ্যই পাচ্ছিলেন বলে দাবি শিক্ষার্থীদের। তবে রেজাল্ট সংক্রান্ত বিশ্ববিদ্যালয়ের মূল ওয়েবসাইটের সঙ্গে কিছু ক্ষেত্রে ভিন্নতা দেখা দেওয়ায় এক পর্যায়ে শিক্ষার্থীরা টের পায় ছড়িয়ে পড়া লিংকটি মূলত বিশ্ববিদ্যালয়ের নয়, বরং তুহিন রানা নামে ওই শিক্ষার্থীর এবং লিংকটিতেও তার নামের অংশ দেওয়া রয়েছে। পরে বিষয়টি নিয়ে বিশ্ববিদ্যালয়কেন্দ্রিক বিভিন্ন গ্রুপে ব্যাপক আলোচনা হয়। বিশেষ করে, নিজেদের তথ্যের সুরক্ষায় বিশ্ববিদ্যালয়ের সংশ্লিষ্ট কর্তৃপক্ষের অদক্ষতা ও দায়সারা ভূমিকাকে প্রশ্নবিদ্ধ করতে থাকেন শিক্ষার্থীরা। 

ঢাবি শিক্ষার্থীদের পরীক্ষার ফল দেখার মূল (বাঁয়ে) ও
শিক্ষার্থী তুহিনের বানানো ওয়েবসাইট (ডানে)

ঘটনায় সংশ্লিষ্ট ইসলামিক স্টাডিজ বিভাগের শিক্ষার্থী মোঃ সিফাতুল্লাহ তাসনীম দ্য ডেইলি ক্যাম্পাসকে বলেন, রেজাল্ট দেখার আলোচিত ওই লিংকটি প্রথমত বিশ্ববিদ্যালয়ের গ্রুপ থেকে পাই এবং অনেকে এটা থেকে নিজেদের মার্ক দেখে হতাশাব্যঞ্জক পোস্টও দিচ্ছিলো যে, ১/২ মার্কের জন্য সিজিপিএ অনেক পিছিয়ে গেছে এমন। কিন্তু সমস্যাটা হয় তখন, যখন এটা আমি ব্যাচের গ্রুপে দিই। সেখানে কয়েকজন জানায় যে, এটাতে সব ডেটা ঠিক থাকলেও তাদের কারো কারো মূল সিজিপিএটা ভুলভাবে শো করেছে। আমি নিজেও চেক করেছিলাম। আমার কোর্স নেম বা কোড, পার্সোনাল ইনফরমেশন এন্ড আদারস সব ডেটা ঠিক ছিল তবে সিজিপিএটা বেশি দেখাচ্ছিল। 

তিনি বলেন, এরপর ঢাবি শিক্ষার্থী সংসদে (ফেসবুক গ্রুপ) তুহিন রানা নামে এক ভাই পোস্ট দেন, যিনি ওই ওয়েবসাইটের ডেভেলপার মর্মে পরিচয় দেন এবং ওয়েবসাইটটিতেও তার নাম ছিল-rana2hin। তিনি তার পোস্টে উল্লেখ করেন, ঢাবির অফিশিয়াল ওয়েবসাইটের এপিআই পাবলিক থাকায় তিনি ইজিলি সেখান থেকে কপি করে কোডিংয়ের মাধ্যমে নতুন ওয়েবসাইটি লঞ্চ করেছেন। তার দাবি অনুযায়ী, এগুলো হুবহু ঢাবির ওয়েবসাইটের পাবলিক এপিআই থেকে কপি করা, তিনি কোনো কিছু হ্যাক করেননি।

তুহিনের বানানো ওয়েবসাইট ব্যবহার করে
এক ঢাবি শিক্ষার্থী নিজের ফল দেখেন

সিফাত উদ্বেগ জানিয়ে বলেন, আমাদের ডাটা সম্বলিত ওয়েবসাইটের এপিআই কেনো পাবলিক থাকবে? শুধু আমি নই, বিশেষত নারী শিক্ষার্থীরাও এ বিষয়ে উদ্বেগ জানিয়েছে। একইসাথে আমার দাবি থাকবে, মার্ক ওপেন রাখা হোক। তবে রানা তুহিন ভাইয়ের দাবি অনুযায়ী যদি এটা ডিরেক্ট এপিআই থেকে কপি করা হয়ে থাকে, তাহলে এভাবে সিজিপিএ উল্টাপাল্টা আসার ব্যাপারটা নিয়ে একটা শঙ্কা থেকে যায়। 

 

এ বিষয়ে গত মঙ্গলবার (২৫ নভেম্বর) ঢাকা বিশ্ববিদ্যালয় শিক্ষার্থী সংসদ-২ নামক ফেসবুক গ্রুপে পোস্টও করেন সিফাত। তিনি তার পোস্টে লেখেন, সম্প্রতি ঢাবির গ্রুপগুলোতে একটি ওয়েবসাইট ছড়িয়ে পড়েছে, যেখানে রোল ও রেজিস্ট্রেশন নম্বর দিলে শিক্ষার্থীদের বিভিন্ন কোর্সে প্রাপ্ত নাম্বারসহ পূর্ণাঙ্গ রেজাল্ট দেখা যাচ্ছে। ওই ওয়েবসাইটে কিছু শিক্ষার্থীর সিজিপিএ ভুল আশায় পরীক্ষা নিয়ন্ত্রক অফিসে যোগাযোগ করা হয়। সেখান থেকে বিশ্ববিদ্যালয়ের কম্পিউটার প্রোগ্রামার জাহিদুল ইসলাম জানিয়েছেন, ওয়েবসাইটটি অথেনটিক নয়। 

এ পোস্টের কমেন্টে নূর মুহাম্মদ নামে এক শিক্ষার্থী লেখেন, রেজাল্ট, শিক্ষার্থী তথ্য, রেজিস্ট্রেশন নম্বরের মতো সেনসিটিভ ডেটা কোনোভাবেই পাবলিক এপিএ বা ওপেন ডেটাবেজে থাকা উচিত নয়। অথচ উনারা এটাই করে রেখেছেন, বাইরের যেকেউ চাইলে এক্সেস পাচ্ছে। অথর্ব আইসিটি সেলের অবস্থা! ভাবছিলাম, রেজিস্ট্রার বিল্ডিংয়ের লর্ডদের থেকে অন্তত আইসিটি সেলের দায়িত্বে যারা আছেন তারা একটু স্মার্ট হবে! একই গোয়ালের গরু সব!

জুনায়েদ মানসুর ইফতি নামে আরেক শিক্ষার্থী লেখেন, ২০২০ সালের ৫ম সেমিস্টারে আমার একটি প্রজেক্টের জন্য আমি রেজিস্ট্রার বিল্ডিংয়ের সঙ্গে কাজ করেছি। ওখানকার প্রোগ্রামারদের দক্ষতা এখনও ১৯৯০-এর দশকের মতো। তখন আমি তৃতীয় বর্ষের একজন ছাত্র, যারা ওয়েব ডেভেলপমেন্টে নবীন এবং ধীরে ধীরে শেখার পর্যায়ে ছিলাম। ১-২ মাস পড়াশোনার পর আমি তাদের চেয়ে অনেক বেশি জানতাম। তারা শুধু অভ্যন্তরীণ রাজনৈতিক প্রেক্ষাপটের ভিত্তিতে মানুষ নিয়োগ দেয়। এমনকি তাদের একজন কর্মী আমাদের প্রজেক্ট চুরি করে নিজের নামে নামকরণ করেছে। তারা এপিআই সিকিউরিটির প্রাথমিক জ্ঞানও জানে না। এই ওয়েবসাইটের ডেভেলপার রানা তুহিনকে অভিনন্দন, যিনি এটিকে সঠিকভাবে ব্যবহার করেছেন। 

বিষয়টি নিয়ে বিশ্ববিদ্যালয়ে ব্যাপক আলোচনা শুরু হলে মুখ খুলেন পরিসংখ্যান বিভাগের সেই শিক্ষার্থী তুহিন রানা। তিনি নিজের ওয়েবসাইটের ব্যাপারে ঢাকা বিশ্ববিদ্যালয় শিক্ষার্থী সংসদ-২ নামক ফেসবুক গ্রুপে পোস্ট দিয়ে লেখেন, মার্ক দেখার ওয়েবসাইট এর ডেভেলপার আমি। মার্কসহ রেজাল্ট দেখে যারা বলতেছেন অনেকের সিজিপিএ ভুল এসেছে। ভাই সিজিপিএ বা মার্ক তো আমি বসাইনি। সার্ভারে যে ডাটা ছিল সেটা ওদেরই (বিশ্ববিদ্যালয়ের) পাবলিক এপিআই থেকে নেওয়া। কোনো হ্যাকিং করা হয়নি এখানে। 

তিনি বলেন, যেদিন আমি এটা পাবলিশ করেছি সেদিনই একজন আমাকে নক দিয়ে বললো, কিছু কোর্সে তার মার্ক বেশীই কিন্তু সিজিপিএ কম। আমি বললাম আমি অথরিটির কেউ না, চেয়ারম্যান এর সাইন নিয়ে রেজিস্টার এ গেলে রেজাল্ট এর খাতা দেখতে পারবেন ওখানে গিয়ে দেখুন আপনি কত পেয়েছেন, আমার ওয়েবসাইটে যা কিছু দেখা গেছে সেটা অফিসিয়াল সার্ভার থেকেই দেখা গেছে। এখন সেখানে সার্ভারে ডাটা এন্ট্রি করার সময় যদি মার্ক বা সিজিপিএ ভুল উঠানো হয় সেই দায়ভার কার? এই মার্ক টা না দেখলে তো আপনি কোনোদিন বুঝতেই পারতেন না যে আপনার সিজিপিএ কম এসেছে কিনা। মার্ক দেখা টা কি অন্যায়? আপনার মার্ক আপনি দেখতেই পারেন, অনেক প্রাইভেট ইউনিভার্সিটিতে খাতাও দেখানো হয়।

তিনি আরও বলেন, আমি কিছু কথা ক্লিয়ারলি বলতে চাই। যারা ভাবছেন এত শিক্ষার্থীর ডাটা কিভাবে আমার কাছে এলো? এর উত্তর হলো আমার কাছে কোনো ডাটাই আসেনি। এমনকি আমার কাছে কোনো রোল বা রেজিস্ট্রেশন নম্বর স্টোর করে রাখা নেই। আমার ওয়েবসাইট কিভাবে কাজ করে, সেটা দেখতে চাইলে কোড দেখে আসতে পারেন আমার গিটহাব থেকে। সব ওপেনসোর্স করা আছে, লুকিয়ে ছাপিয়ে কিছুই করা হয়নি। ওরা বুঝতে পেরেছে যে কি অথর্ব কাজ ওরা করেছে, এইজন্য নিজেরা নিজেরাই এখন ঠিক করতেছে, আমাকে অথরিটি থেকে কেউ রিচ করার চেষ্টাও করেনি।

তুহিনের পোস্ট
তুহিন রানার ফেসবুক স্ট্যাটাস

 

এ ব্যাপারে বক্তব্য জানতে ঢাকা বিশ্ববিদ্যালয়ের আইসিটি সেলের পরিচালক অধ্যাপক ড. মোসাদ্দেক হোসেন কামাল তুষারকে কল দিলে তিনি দ্য ডেইলি ক্যাম্পাসকে বলেন, আমরা এসব কিছুতে ক্রমেই পরিবর্তন আনার চেষ্টা করছি। আর এ বিষয়টি এক্সাম কন্ট্রোলার ডিল করেন। তিনিই বিস্তারিত বলতে পারবেন। 

আইসিটি সেলের কম্পিউটার প্রোগ্রামার মো. সাদিক সরোয়ারকেও কল দিলে তিনি বলেন, আমি আইসিটি সেলের দায়িত্বে আছি, এ সম্পর্কে কোনো ধারণা আমার কাছে নেই। এটা নিয়ন্ত্রণ করেন এক্সাম কন্ট্রোলার অফিস। 

এরপর পরীক্ষা নিয়ন্ত্রক ড. হিমাদ্রি শেখর চক্রবর্তী এবং পরীক্ষা নিয়ন্ত্রক অফিসের কম্পিউটার প্রোগ্রামার মো. জাহিদুল ইসলামকে একাধিকবার কল দিয়েও পাওয়া যায়নি। 

এছাড়া, বক্তব্য জানতে ঢাকা বিশ্ববিদ্যালয়ের উপ-উপাচার্য (প্রশাসন) অধ্যাপক ড. সায়মা হক বিদিশা এবং উপ-উপাচার্য (শিক্ষা) অধ্যাপক ড. মামুন আহমেদকে কল ‍দিয়েও কোনো সাড়া পাওয়া যায়নি।