জন্ম নিবন্ধনের মতো গুরুত্বপূর্ণ সার্ভার কেন এতো ঝুঁকিতে

বাংলাদেশের জন্ম নিবন্ধনের তথ্য যেসব সার্ভারে থাকে সেটি হ্যাক করে নানা মাত্রায় জাল-জালিয়াতির খবর বেশ কয়েকবার গণমাধ্যমের শিরোনাম হয়েছে।

By Bbc Bengali

Updated: Monday, February 20, 2023, 16:01 [IST]

বাংলাদেশের নাগরিকত্ব প্রমাণের জন্য বা টিকা দেয়া, শিক্ষা প্রতিষ্ঠানে ভর্তি, বোর্ড পরীক্ষা, চাকরিতে নিয়োগ, পাসপোর্ট নিবন্ধন, জাতীয় পরিচয় পত্র নিবন্ধনসহ ১৯ টি ক্ষেত্রে জন্ম সনদের প্রয়োজন হয়।

আবার মৃত্যু নিবন্ধনেও প্রয়োজন হয় জন্ম সনদের। না হলে উত্তরাধিকার নিশ্চিত করা যায়না। সে হিসেবে জন্ম সনদ একজন নাগরিকের জন্য অত্যন্ত গুরুত্বপূর্ণ ও সংবেদনশীল নথি।

অথচ বাংলাদেশের জন্ম নিবন্ধনের তথ্য যেসব সার্ভারে থাকে সেটি হ্যাক করে নানা মাত্রায় জাল-জালিয়াতির খবর বেশ কয়েকবার গণমাধ্যমের শিরোনাম হয়েছে।

সর্বশেষ চট্টগ্রাম সিটি কর্পোরেশনের সার্ভার হ্যাক করে জন্ম নিবন্ধন সনদ জালিয়াতির ঘটনায় হ্যাকার গ্রুপের পাঁচ সদস্যকে আটক করেছে চট্টগ্রাম মেট্রোপলিটন পুলিশের (সিএমপি) কাউন্টার টেরোরিজম বিভাগ।

গত ১৬ই ফেব্রুয়ারি থেকে ১৮ই ফেব্রুয়ারি ঢাকা, গাজীপুর চট্টগ্রাম, নড়াইল, ও সিরাজগঞ্জে বিশেষ অভিযান চালিয়ে তাদেরকে গ্রেপ্তার করা হয়। গ্রেপ্তার হওয়া পাঁচজনের মধ্যে তিনজনই হ্যাকার।

অভিযোগ রয়েছে তারা রেজিস্টার জেনারেলের কার্যালয়ের সার্ভার হ্যাক করে ঢাকা, চট্টগ্রামসহ অন্তত ৮টি জেলার অসংখ্য জাল জন্ম নিবন্ধন সনদ তৈরি করেছে।

এভাবে জাল জন্ম সনদ তৈরি করার পেছনে বিভিন্ন পর্যায়ে একটি সুসংগঠিত চক্র কাজ করে বলে জানায় পুলিশ।

জন্ম সনদ জাল করে অনৈতিকভাবে বয়স বা অন্যান্য তথ্য পরিবর্তন করার অভিযোগ রয়েছে।

সেইসঙ্গে বাংলাদেশের নাগরিক না হওয়া সত্ত্বেও ভুয়া জন্ম সনদ নিয়ে, এনআইডি, পাসপোর্ট তৈরি করে বিদেশ যাওয়ার মতো অভিযোগও পাওয়া গিয়েছে।

জাতীয় পর্যায়ের এতো গুরুত্বপূর্ণ সার্ভার হ্যাকের একের পর এক ঘটনা জাতীয় নিরাপত্তাকে প্রশ্নবিদ্ধ করছে বলে মত বিশেষজ্ঞদের।

Getty Images

সার্ভারের নিরাপত্তা ত্রুটিকে কাজে লাগায় হ্যাকাররা।

কিভাবে হতো জালিয়াতি

পুলিশের অনুসন্ধানে জানা যায়, জন্ম নিবন্ধন সার্ভারের নিরাপত্তা ত্রুটিকে কাজে লাগিয়ে জালিয়াতি কর্মকাণ্ড চালাতো হ্যাকার চক্রটি।

তারা মূলত তৃতীয় পক্ষের মাধ্যমে তৈরি করা বিশেষ কুকিজ ও অ্যাপসের মাধ্যমে সার্ভারে অনুপ্রবেশ করে কয়েক ধাপে হ্যাকিংয়ে কার্যক্রম চালাত।

একজন ইউজার যখন কোন ওয়েবসাইট ব্রাউজ করেন, তার কিছু তথ্য ব্রাউজারে কুকিজ হিসেবে জমা হয় যেটা ওয়েবসাইটে শেয়ার হয়।

এই কুকিজকে হ্যাকাররা নেতিবাচকভাবে কাজে লাগিয়েছে বলে জানিয়েছেন কাউন্টার টেরোরিজম ইউনিটের অতিরিক্ত উপ কমিশনার আসিফ মহিউদ্দিন।

তিনি বলেন, “এই হ্যাকাররা তৃতীয় পক্ষের মাধ্যমে কুকিজ সেট আপ করে সেটা জন্ম নিবন্ধনের মূল সার্ভারে বসিয়েছে। এ কারণে সার্ভারে কাজ করার সময় লগ ইনের যে তথ্য কুকিজে জমা থাকছে হ্যাকাররা সেই তথ্য চুরি করেছে এবং আরেকটি অ্যাপের মাধ্যমে তারা মূল সার্ভারের সাথে যুক্ত হয়ে তথ্য জালিয়াতি করেছে।”

এর আগে হ্যাকাররা জন্ম নিবন্ধনে সম্পৃক্ত অসাধু কর্মকর্তাদের সহায়তায় আইডি পাসওয়ার্ড চুরি করেও জালিয়াতি করেছে বলে পুলিশ জানতে পেরেছে। বিষয়টি নিয়ে তদন্ত চলছে।

জালিয়াতির খবর যেভাবে সামনে আসে

কাউন্টার টেরোরিজম ইউনিটের দেয়া তথ্যমতে, গত ৮ই জানুয়ারি থেকে ২৩শে জানুয়ারি চট্টগ্রাম সিটি কর্পোরেশনের ৫টি ওয়ার্ডের কাউন্সিলর অফিসের সার্ভারে অনুপ্রবেশ করে ৭৮২টি ভুয়া জন্ম নিবন্ধনের অস্তিত্ব পাওয়া যায়

এই ঘটনায় সংশ্লিষ্ট থানাসমূহে সাধারণ ডায়রি করা হলে চট্টগ্রাম মেট্রোপলিটন পুলিশের (সিএমপি) কাউন্টার টেরোরিজম বিভাগ ছায়া অনুসন্ধান শুরু করে।

ওই অনুসন্ধানে জন্ম নিবন্ধন জালিয়াতি কার্যক্রমে জড়িত একাধিক চক্রের সন্ধান পাওয়া যায়। এসব চক্রের ছয় জনকে গ্রেফতারের কথা জানিয়েছে পুলিশ।

পুলিশের দাবি, গ্রেফতারের সময় অফিশিয়াল প্যাড, ভুয়া সিল, জাল সনদসহ জালিয়াতি কাজে ব্যবহৃত বেশ কয়েকটি ডিজিটাল ডিভাইসও উদ্ধার করা হয়।

জব্দকৃত ডিভাইসগুলো প্রাথমিকভাবে পরীক্ষা করে জালিয়াতি করার সত্যতা পাওয়ার কথা জানিয়েছে পুলিশ।

চক্রের অন্য সদস্যদের ধরতে অভিযান অব্যাহত রয়েছে বলে তারা জানিয়েছে।

Getty Images

সামাজিক যোগাযোগ-মাধ্যম

বিভিন্ন স্তরে জালিয়াতির কাজ হয়

পুলিশ বলছে, গ্রেফতারকৃতরা তাদের জিজ্ঞাসাবাদে জানিয়েছে, দীর্ঘদিন যাবত তারাসহ আরও একাধিক গ্রুপ দেশব্যাপী এই জালিয়াতি কার্যক্রম চালিয়ে আসছে। এবং এ পর্যন্ত তারা কয়েক হাজার ভুয়া জন্ম নিবন্ধন সনদ তৈরি ও বিতরণ করেছে।

প্রতিটি ভুয়া জন্ম সনদ তৈরি করতে তারা গ্রাহকদের থেকে ১২০০ থেকে ১৫০০ টাকা নিয়ে থাকে।

পরবর্তীতে ওই ব্যক্তির যাবতীয় তথ্য নিয়ে তারা সরকারি ওয়েবসাইটে ওই ব্যক্তির ভুয়া তথ্য ব্যবহার করে প্রাথমিক নিবন্ধন করে এবং সেইসব তথ্য একজন হ্যাকারকে দেয়।

ওই হ্যাকার অবৈধভাবে জন্ম নিবন্ধন সার্ভারে প্রবেশ করে সার্ভারের নিয়ন্ত্রণ নিয়ে ভুয়া জন্ম নিবন্ধন সনদ তৈরি করে তাদের অন্যান্য সদস্যদের কাছে সরবরাহ করে বলে জিজ্ঞাসাবাদে জানা যায়।

এ ব্যাপারে উপ কমিশনার আসিফ মহিউদ্দিন জানান, পুরো দেশব্যাপী এই জালিয়াতি চক্রগুলো সক্রিয় আছে এবং অনেক আগে থেকেই তারা ভুয়া সনদ বানিয়ে আসছে।

এই চক্রগুলো বিভিন্ন স্তরে কাজ করে।

প্রাথমিকভাবে তারা সামাজিক যোগাযোগ-মাধ্যম ব্যবহার করে গ্রাহক সংগ্রহ করে। আরেক দল গ্রাহকদের যাবতীয় তথ্য নিয়ে ফর্ম পূরণ করে। হ্যাকাররা সার্ভারে অবৈধভাবে প্রবেশ করে তথ্যগুলো ইনপুট করে। অন্যরা জাল সনদ প্রিন্ট করে এবং আরেকটি গ্রুপ সেগুলোয় কর্তৃপক্ষের সই জাল করে বসায়।

সামাজিক যোগাযোগ-মাধ্যম ফেসবুক ও হোয়াটসঅ্যাপ পর্যবেক্ষণ করে দেখা গেছে, এনআইডি, জন্ম-নিবন্ধন, পাসপোর্ট ইত্যাদি সেবার সহযোগিতার নামে অসংখ্য পেইজ বর্তমানে সক্রিয় রয়েছে।

তারা প্রতিনিয়তই জন্ম সনদের তথ্য সংশোধন, নতুন জন্ম সনদ করে দেওয়ার সহযোগিতার নামে নানা বিজ্ঞাপন বা স্ট্যাটাস দিয়ে যাচ্ছে।

কোন কোন পেইজে অবৈধভাবে সরকারি অফিসের লোগোও ব্যবহার করা হচ্ছে। সেটা দেখে অনেকেই বিভ্রান্ত হন।

Getty Images

ফিশিংয়ের মাধ্যমে তথ্য চুরি।

ঘরের শত্রু বিভীষণ

জন্ম সনদ জালিয়াতির পেছনে এর সঙ্গে সংশ্লিষ্ট অনেক কর্মকর্তা সম্পৃক্ত বলে অভিযোগ পাওয়া গিয়েছে।

এসব কর্মকর্তাদের অনেকেই গ্রাহকদের থেকে মোটা অংকের বিনিময়ে অবৈধভাবে এসব তথ্য বেহাত করছেন। যেটা অনেকটা বৈধভাবে ঢুকে অবৈধ কাজ করার মতো।

জন্ম নিবন্ধন অধিদফতরের রেজিস্টার জেনারেল রাশেদুল হাসান বিষয়টিকে 'ঘরের শত্রু বিভীষণ' বলে আখ্যা দিয়েছেন।

তিনি জানান, তাদের ইউজার আইডি ও পাসওয়ার্ড জানে এমন কর্মীর সংখ্যা ১২ হাজারের মতো। এসব জালিয়াতির সঙ্গে ভেতরের কর্মকর্তাদের যোগসাজশ থাকে।

মূলত ডাটা এন্ট্রি অপারেশনে মূল জালিয়াতির কাজগুলো হয়ে থাকে বলে ধারণা করা হয়।

কারণ ডাটা এন্ট্রি অপারেটররা অনলাইনে ফর্ম পূরণসহ সার্ভারে সেই তথ্য আপলোড দেয়ার কাজ করে।

আবার জন্ম নিবন্ধন অধিদফতরের অনেক কর্মকর্তা কম্পিউটার পরিচালনায় দক্ষ না হওয়ায় ডাটা এন্ট্রির কাজগুলো করতে বিভিন্ন আউটসোর্সিং প্রতিষ্ঠানের কর্মীদের নিয়োগ দেয়া হয়। সেখানেই দুর্নীতির সুযোগ তৈরি হয় বলে জানান ওই কর্মকর্তা।

মি. হাসান বলেন, “ডাটা এন্ট্রি পয়েন্টে জালিয়াতি বেশি হয়। এই বিষয়গুলো সাথে সাথে ধরাও পড়ে না। কাজ করতে গিয়ে দেখা যায় যে নিবন্ধনের সিরিয়ালে মিল নাই। তথ্যে এদিক ওদিক। কিন্তু ততোক্ষণে অপরাধ সংগঠিত হওয়ার সুযোগ থাকে।”

তবে সার্ভারে অনুপ্রবেশের বিষয়টি সামনে এলেই তারা বিষয়টি সাইবার সিকিউরিটি ইউনিটকে জানান।

যেসব কর্মকর্তা সম্পৃক্ত তাদের পরিচয় তদন্তে বেরিয়ে এলে আইনগত ব্যবস্থা নেয়া হয় যেন সেটি অন্যদের জন্যও দৃষ্টান্ত হয়ে থাকে।

সাধারণত কোন ভুয়া সনদ শনাক্ত হলে সেটি তাৎক্ষণিক বাতিল করা হয়। এতে যেসব গ্রাহক জেনে বা না জেনে বড় অংকের টাকা খরচ করে জাল সনদ করেছেন তারাই সমস্যায় পড়েন।

কারণ এটি শনাক্ত হলেই সিস্টেম থেকে ওই সনদটি অকার্যকর করে দেয়া হয়। এতে সনদটি অনলাইন ভ্যারিফিকেশনে দিলে ইনভ্যালিড দেখায়।

আবার কর্মকর্তারাও ভোগান্তিতে পড়ে বলে জানান মি. হাসান।

তিনি বলেন, “কোথাও এই তথ্য জালিয়াতির ঘটনা ঘটলে আগের আইডি পাসওয়ার্ড বাতিল করে দেয়া হয়। তখন লম্বা সময় কাজ বন্ধ থাকে। তাই যেসব গ্রাহক কাজ করতে আসেন তারা ক্ষুব্ধ হন।”

Getty Images

শিক্ষা প্রতিষ্ঠানে ভর্তি বা পরীক্ষা দিতে জন্ম সনদ লাগে।

কেন জালিয়াতির ঘটনা ঘটছে

বাংলাদেশের বেশিরভাগ সরকারি-বেসরকারি দফতর ডিজিটাল অপারেশনে গেলেও এর নিরাপত্তায় যে পর্যাপ্ত নিরাপত্তা, দক্ষ জনবল ও পরিকল্পনার প্রয়োজন সেটার ব্যাপক অভাব রয়েছে বলে মনে করছেন প্রযুক্তি বিশেষজ্ঞরা।

তারা বলছেন, কোন সার্ভারে কুকিজ ব্যবহার মানেই সার্ভারকে ঝুঁকিতে ফেলা। এগুলো একেকটা ফাঁদ, কারণ কুকিজের কারণে গ্রাহকের তথ্য বেহাত হওয়ার আশঙ্কা থাকে।

জন্ম নিবন্ধনের মতো জাতীয় গুরুত্বপূর্ণ সার্ভারে কুকিজ অ্যাক্টিভেট হওয়ায় এর সার্বিক সুরক্ষা নিয়ে প্রশ্ন উঠেছে।

প্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির জানিয়েছেন, যেসব সার্ভারে খুব গুরুত্বপূর্ণ ও সংবেদনশীল তথ্য রাখা হয়, এসব জায়গায় নিয়মিত যে নজরদারির প্রয়োজন বাংলাদেশে সেটি হয় না। এ কারণেই এমন জালিয়াতির ঘটনা বার বার হচ্ছে।

তিনি বলেন, যেকোনো সার্ভার ইন্সটল করার পর এটার নিরাপত্তা নিশ্চিত করার জন্য নিয়মিত নজরদারি প্রয়োজন। তেমনি জরুরি এর সফটওয়্যার ও ফায়ারওয়াল নিয়মিত আপডেট করা সেইসাথে ওয়েব প্যাচ করা।

সার্ভারের সিকিউরিটির রক্ষায় অনেক প্রতিষ্ঠান সিকিউরিটি অপারেশন সেন্টার-'সক' ইন্সটল করে থাকে।

সকের কাজ হল প্রতিদিন সার্ভারে যে কাজ হয়েছে সেটার লগ পর্যবেক্ষণ করা এবং লগে কোন অস্বাভাবিক কিছু দেখলেই সেটার সতর্ক বার্তা দেয়া।

বাংলাদেশে দুই একটি প্রতিষ্ঠান ছাড়া প্রফেশনাল সক আর কোথাও নাই। এটি প্রতিটি গুরুত্বপূর্ণ সার্ভারে স্থাপন করা জরুরি বলে তিনি মনে করেন।

মি. সাবির বলেন, “যেসব সার্ভারে গুরুত্বপূর্ণ ও সংবেদনশীল তথ্য থাকে সেগুলোর নিরাপত্তা ততোটাই জোরদার করতে হবে। এজন্য নিয়মিত নজরদারির করতে বিশেষ টিম বা সংস্থাকে নিয়োগ দিতে হবে, প্রযুক্তিকে শক্তিশালী করতে হবে। তথ্যের নিরাপত্তা নিশ্চিত করতে কর্মীদের প্রয়োজনীয় প্রশিক্ষণ দিতে হবে।”

এদিকে বাংলাদেশে বিপুল পরিমাণ ডাটাবেস সংরক্ষণে জন্য যে ধরণের সফটওয়্যার ডেভেলপ করা উচিত, সেখানেও দুর্বলতা আছে বলে তিনি মনে করেন।

এ কারণে দুই একটি জালিয়াতির ঘটনা ঘটলে সেগুলো তৎক্ষণাৎ নজরে আসে না, কিন্তু ততোক্ষণে অপরাধ ঘটে যেতে পারে।

আবার গুরুত্বপূর্ণ তথ্য নিয়ে যেখানে কাজ হয় সেখানে প্রযুক্তি ও তথ্যের নিরাপত্তার বিষয়ে দক্ষ জনবল নিয়োগ দেয়া জরুরি বলে তিনি মনে করেন। এতে আউট সোর্সিংয়ের প্রয়োজন হবে না।

যদি আপাতত বাইরে থেকে নিয়োগ দিতেই হয় তাহলে সার্ভারের কাজে তাদেরকে কতোটুকু তথ্যের অ্যাক্সেস দেয়া হবে সেটা নিয়ন্ত্রণও গুরুত্বপূর্ণ বলে তিনি জানান।

তবে জন্ম নিবন্ধনে সম্পৃক্ত দফতরগুলো জানুয়ারির পর থেকে ওয়ান টাইম পাসওয়ার্ড- ওটিপি সিস্টেম চালু করেছে, যা অনেকটাই নিরাপদ বলে জানিয়েছে পুলিশ।

এক্ষেত্রে যেকোনো জন্ম সনদে অনুমোদন দেয়ার আগে সংশ্লিষ্ট নিবন্ধকের কাছে ওটিপি যাবে, সেটি ইনপুট দিলেই বাকি কাজ করা যাবে।

এই ওটিপি সিস্টেম কার্যকর করায় সার্ভারে প্রবেশাধিকার একটি নির্দিষ্ট ডিভাইসে লক করে দেয়া যায়। ফলে এই সিস্টেমটি নিরাপদ ও ফলপ্রসূ হবে বলে মনে করছেন অধিদফতরের কর্মকর্তারাও।

Getty Images

পাসপোর্ট

জন্ম নিবন্ধনে জালিয়াতি নিয়ে আইনে কী আছে

বাংলাদেশের জন্ম ও মৃত্যু নিবন্ধন আইন ২০০৪ অনুযায়ী সব মানুষের জন্ম নিবন্ধন করা বাধ্যতামূলক। শিশুর বাবা-মা বা অভিভাবককে শিশুর জন্মের ৪৫ দিনের মধ্যে তার জন্ম সংক্রান্ত তথ্য, নিবন্ধকের কাছে অবশ্যই জানাতে হবে।

এই নির্দেশনা না মানলে অনধিক ৫০০০ টাকা অর্থ দণ্ডে দণ্ডিত হওয়ার বিধান আছে।

সাধারণত সিটি কর্পোরেশন বা পৌরসভা মেয়র, ইউনিয়ন পরিষদের চেয়ারম্যান , ক্যান্টনমেন্ট বোর্ডের নির্বাহী কর্মকর্তা, বিদেশে বসবাসরত বাংলাদেশির ক্ষেত্রে বাংলাদেশ দূতাবাসের রাষ্ট্রদূত বা ওইসব স্থানে ক্ষমতাপ্রাপ্ত অন্য কোন কর্মকর্তা নিবন্ধক হিসেবে জন্ম নিবন্ধন নিশ্চিত করে থাকেন।

এক্ষেত্রে গ্রাম পুলিশ, স্বাস্থ্য ও পরিবার কল্যাণ খাতে নিয়োজিত এনজিও কর্মী সেইসাথে হাসপাতালে দায়িত্বপ্রাপ্ত মেডিক্যাল অফিসার অথবা ডাক্তার সহায়তা করেন।

কোন ব্যক্তি যদি জন্ম বা মৃত্যু নিবন্ধনের জন্য মিথ্যা তথ্য দেয় তাহলে ওই ব্যক্তির অনধিক ৫০০০ টাকা অর্থদণ্ডে অথবা অনধিক এক বছর বিনাশ্রম কারাদণ্ডে অথবা উভয় দণ্ডে দণ্ডিত হওয়ার বিধান আছে।

যদি কোন নিবন্ধক মিথ্যা তথ্য সম্পর্কে জানা সত্ত্বেও জন্ম নিবন্ধন করেন তাহলে তার অনধিক ৫০০০ টাকা অর্থদণ্ডে অথবা অনধিক এক বছর বিনাশ্রম কারাদণ্ডে অথবা উভয় দণ্ডে দণ্ডিত হওয়ার বিধান আছে।

যদি না তিনি প্রমাণ করতে সক্ষম হন যে ওই অপরাধ তার অজ্ঞাতসারে হয়েছে এবং তিনি সেই অপরাধ রোধ করার জন্য যথাসাধ্য চেষ্টা করেছেন।