Image description

ডার্ক ওয়েবে ছড়িয়ে পড়েছে রাষ্ট্রায়ত্ত মোবাইল অপারেটর টেলিটকের হাজারের বেশি সংবেদনশীল তথ্য। সাইবার থ্রেট ইন্টেলিজেন্স পর্যবেক্ষণে একাধিক ডেটা ব্রিচ ও ডোমেইনভিত্তিক তথ্য ফাঁসের প্রমাণ মিলেছে। এতে টেলিটকের অভ্যন্তরীণ ই-মেইল সার্ভার, কর্মকর্তা-কর্মচারীদের তথ্যভান্ডার এবং বিভিন্ন প্রশাসনিক ডেটার প্রবেশাধিকার দেখা গেছে। যুগান্তরের হাতে আসা বিভিন্ন স্ক্রিনশট ও থ্রেট ইন্টেলিজেন্স পর্যবেক্ষণ প্ল্যাটফর্মগুলোর তথ্যে দেখা যায়, রাষ্ট্রীয় মোবাইল অপারেটরের ‘টেলিটিক.কম.বিডি’ ডোমেইনের আওতায় ১ হাজার ১৯৫টিরও বেশি ‘ওপেন ডেটা ব্রিচ’ এবং প্রায় ১ হাজার ২০০টি ডোমেইনভিত্তিক তথ্য ফাঁসের ঘটনা শনাক্ত হয়েছে। এছাড়া ১৯টি পৃথক ঘটনায় অপরাধীরা টেলিটকের পরিচয়ে ছদ্মবেশ ধারণ করে হ্যাকিং কার্যক্রম চালিয়েছে। এপ্রিলেও হ্যাকাররা সন্দেহজনক কার্যক্রম চালিয়েছে। ডার্ক ওয়েব মার্কেটপ্লেস, হ্যাকার ফোরাম ও এনক্রিপটেড টেলিগ্রাম চ্যানেল মনিটর করা প্লাটফর্মগুলো এ ধরনের তথ্য ফাঁসের বিষয়ে সতর্কবার্তাও দিয়েছে।

এ ঘটনায় দেশের টেলিযোগাযোগ খাতে সাইবার নিরাপত্তা নিয়ে নতুন করে উদ্বেগ তৈরি হয়েছে। বিশেষজ্ঞদের মতে, এ ধরনের তথ্য ফাঁস কেবল প্রযুক্তিগত দুর্বলতার ইঙ্গিত নয়, বরং জাতীয় নিরাপত্তা, জনআস্থা ও রাষ্ট্রীয় সক্ষমতার জন্যও বড় ধরনের হুমকি। কার্যকর সাইবার অডিট, স্বচ্ছ তদন্ত এবং নিয়ন্ত্রক সংস্থা বিটিআরসির সক্রিয় ভূমিকা না থাকলে পরিস্থিতি আরও গভীর সংকটের দিকে যেতে পারে।

ডিজিটাল ফরেনসিক ও সাইবার নিরাপত্তা বিশেষজ্ঞ তানভির হাসান জোহা যুগান্তরকে বলেন, ডার্ক ওয়েবে রাষ্ট্রীয় গুরুত্বপূর্ণ প্রতিষ্ঠানের তথ্য ছড়িয়ে পড়া অত্যন্ত উদ্বেগজনক। এটি শুধু একটি প্রতিষ্ঠানের সাইবার দুর্বলতার বিষয় নয়; বরং পুরো টেলিযোগাযোগ অবকাঠামোর নিরাপত্তা নিয়ে প্রশ্ন তৈরি করে। যদি দ্রুততম সময়ের মধ্যে তদন্ত, ঝুঁকি মূল্যায়ন, সাইবার অডিট ও প্রতিরোধমূলক ব্যবস্থা নেওয়া না হয় তাহলে ভবিষ্যতে আরও বড় ধরনের সাইবার হামলা বা তথ্য অপব্যবহারের ঝুঁকি তৈরি হতে পারে।

টেলিটক বাংলাদেশের ব্যবস্থাপনা পরিচালক (এমডি) নুরুল মাবুদ চৌধুরী বলেন, এটা টেকনিক্যাল বিষয়। এ বিষয়ে জানতে তথ্য কর্মকর্তার সঙ্গে যোগাযোগ করুন। বিষয়টি তাদের নজরে এসেছে কিনা-এমন প্রশ্নের জবাবে তিনি বলেন, হ্যাঁ, বিষয়টি আমাদের নজরে এসেছে।

একটি স্ক্রিনশটের তথ্য বিশ্লেষণে দেখা যায়, টেলিটকের একজন কর্মকর্তার কম্পিউটার থেকে এই ডেটা ব্রিচের ঘটনাটি ঘটেছে। ইংরেজি বি.এইচ লেটার দিয়ে শুরু হওয়া ওই ই-মেইলটি টেলিটকের নিজস্ব ডোমেইন মেইল। তবে এটি ব্যক্তিগত গাফিলতি, নাকি বৃহত্তর কোনো সাইবার আক্রমণের অংশ তা নিশ্চিত হতে ডিজিটাল ফরেনসিক তদন্ত জরুরি বলে মনে করেছেন বিশেষজ্ঞরা। তাদের মতে, এমন তথ্য ফাঁসের ঘটনা সরাসরি সার্ভার হ্যাকিংয়ের ফলও হতে পারে। আবার ভিন্নপথেও তথ্য বের হয়ে যেতে পারে। ইনফোস্টিলার ম্যালওয়্যার, ফিশিং ক্যাম্পেইন কিংবা তৃতীয় পক্ষের সেবা বা ভেন্ডর সিস্টেম হ্যাক এমনকি দুর্বল নিরাপত্তা কনফিগারেশনের মাধ্যমেও তথ্য চুরি হয়ে থাকতে পারে। উৎস যাই হোক না কেন রাষ্ট্রীয় টেলিযোগাযোগ কাঠামোর জন্য এটি উচ্চ ঝুঁকির ইঙ্গিত।

প্রযুক্তি বিশ্লেষক ও ইওয়াই হোস্টের ব্যবস্থাপনা পরিচালক ইমরান হোসেন যুগান্তরকে বলেন, তথ্য ফাঁসের ঘটনা শুধু সরাসরি সার্ভার হ্যাকিংয়ের কারণেই ঘটে না। ইনফোস্টিলার ম্যালওয়্যার, ফিশিং ক্যাম্পেইন, তৃতীয় পক্ষের সেবা বা ভেন্ডর সিস্টেমে দুর্বলতা এবং ভুল নিরাপত্তা কনফিগারেশন থেকেও সংবেদনশীল তথ্য বেরিয়ে যেতে পারে। তবে তথ্য কোন পথে ফাঁস হয়েছে, সেটির চেয়েও গুরুত্বপূর্ণ হলো এ ধরনের ঘটনা রাষ্ট্রীয় টেলিযোগাযোগ অবকাঠামোর জন্য বড় ধরনের ঝুঁকির ইঙ্গিত দেয়। তিনি বলেন, সরকারি সেবা, ব্যাংকিং, শিক্ষা ও জাতীয় পরিচয় সংশ্লিষ্ট বহু গুরুত্বপূর্ণ সেবা টেলিযোগাযোগ নেটওয়ার্কের ওপর নির্ভরশীল। ফলে এ ধরনের সাইবার হুমকিকে কোনোভাবেই হালকাভাবে দেখার সুযোগ নেই।

বিশেষজ্ঞদের মতে, বাংলাদেশের টেলিযোগাযোগ খাতে সাইবার নিরাপত্তা অডিট বাধ্যতামূলক নয়-এটাই হচ্ছে সবচেয়ে বড় দুর্বলতা। বাংলাদেশ টেলিযোগাযোগ আইন, ২০০১-এ সাইবার নিরাপত্তা নিরীক্ষার সুস্পষ্ট বাধ্যবাধকতা না থাকায় ঝুঁকি থেকে যাচ্ছে। যদিও সাম্প্রতিক আইন সংস্কারে কিছু বিধান যুক্ত হয়েছে। তবে বিশেষজ্ঞরা মনে করছেন তা প্রয়োগে এখনো ঘাটতি রয়ে গেছে। বেসরকারি অপারেটররা নিয়মিত নিরাপত্তা অডিট করলেও রাষ্ট্রায়ত্ত টেলিটকের ক্ষেত্রে সেই চর্চা কতটা কার্যকর তা স্পষ্ট নয়।

এর আগে বিভিন্ন রাষ্ট্রীয় প্রতিষ্ঠানের তথ্য ব্যবস্থায় সাইবার হামলা ও তথ্য ফাঁসের ঘটনা ঘটে। এরমধ্যে পানি উন্নয়ন বোর্ডের তথ্য সিস্টেম, জাতীয় পরিচয়পত্র ও জন্মনিবন্ধন তথ্যও রয়েছে। বিশেষজ্ঞদের মতে, এ ধরনের ধারাবাহিক হ্যাকিংয়ের ঘটনা দেশের ডিজিটাল অবকাঠামোর গভীর কাঠামোগত দুর্বলতার ইঙ্গিত দেয়।

সাইবার নিরাপত্তা সংশ্লিষ্টরা মনে করেন, দ্রুত ইনসিডেন্ট রেসপন্স টিম গঠন, লগ অডিট, ডার্ক ওয়েব ইন্টেলিজেন্স যাচাই, পাসওয়ার্ড রিসেট, মালটি-ফ্যাক্টর অথেনটিকেশন এবং সম্ভাব্য আক্রান্ত সার্ভারের ফরেনসিক বিশ্লেষণ এখনই জরুরি। একই সঙ্গে বিজডি ই গভ সার্ট, টেলিযোগাযোগ নিয়ন্ত্রক সংস্থা (বিটিআরসি) এবং সংশ্লিষ্ট আইন প্রয়োগকারী সংস্থার সমন্বিত তদন্ত প্রয়োজন।

বাংলাদেশে এর আগেও বিভিন্ন সরকারি ও বেসরকারি প্রতিষ্ঠানের তথ্য ফাঁসের অভিযোগ উঠেছে। জাতীয় পরিচয়পত্র, বাংলাদেশ ব্যাংক, জন্মনিবন্ধন, ব্যাংকিং এবং বিভিন্ন সরকারি প্ল্যাটফর্মের তথ্য ডার্ক ওয়েবে পাওয়া যাওয়ার ঘটনায় আন্তর্জাতিক মহলেও উদ্বেগ তৈরি হয়েছিল। টেলিটকের ঘটনার পর আবারও প্রশ্ন উঠেছে রাষ্ট্রীয় গুরুত্বপূর্ণ অবকাঠামোর সাইবার নিরাপত্তা কতটা নিরাপদ, নাগরিকের সংবেদনশীল তথ্য রক্ষায় বর্তমান ব্যবস্থাপনা যথেষ্ট কিনা।