আপনার ব্যক্তিগত জীবন অনলাইনে বেচা-কেনা হচ্ছে

কালবেলার নিউজে দেখলাম ঢাকা বিশ্ববিদ্যালয়ের ২০ হাজার শিক্ষক-শিক্ষার্থী আর স্টাফদের ব্যক্তিগত তথ্য (প্রায় ৭০ জিবি ডাটা) হ্যাকাররা হাতিয়ে নিয়েছে। এ নিয়ে সাংবাদিকের প্রশ্নের জবাবে আইটি সেলের কর্মকতার মাঝে তেমন কোনো ভ্রুক্ষেপই দেখা গেল না, শিক্ষক-শিক্ষার্থীদের কথা তো বাদই দিলাম! সেই কর্মকর্তা দেখলাম বেশ কনফিডেন্ট নিজের সিস্টেম নিয়ে, আবার বলছেন এই হ্যাক করার প্রচেষ্টা নাকি গত দুবছর ধরে চালাচ্ছিলো, এখন এসে সফল হয়েছে, তার উপর ৭০ জিবির ডাটার ব্যাপারটা অস্বীকার করছেন রীতিমতো! কথা হলো, দু'বছর ধরে চেষ্টা করে থাকলে তাদের এই দুবছরে ডিফেন্স মেকানিজম কি ছিলো ? 

দুবছরে একবারও টের পায় নাই?

এই সিস্টেম এ ঢুকতে দুই বছর?

নিরাপত্তায় পুলিশ না রেখে চুরি হওয়ার পর চুরি হওয়ার ব্যাপারটাকে অস্বীকার করলে চোরদেরই লাভ। চোরেরা বসে বসে তো মুচঁকি হাসবেই! 

মাস ছয়েক আগে সাত কলেজের এক ওয়েবসাইটে লগ-ইন করা হয়েছিলো এক একাউন্ট দিয়ে এডমিট কার্ড ডাউনলোড করতে। কৌতুহলবশত সার্ফিং করতে গিয়ে খেয়াল করলাম ঢাবির ডাটাবেজ লিংকড কিছুক্ষেত্রে।

আমি সিকিউরিটি সেক্টরে বলতে গেলে একদম ন্যুব। এখনো তেমন কিছুই জানি না ভালো করে। কলেজের সাইটটায় ঢুকেই ম্যানুয়ালি চ্যাক দিচ্ছিলাম ক্লায়েন্ট সাইড কোনো ভালনারেবলিটি চোখে পড়ে কিনা। ১০-১৫ মিনিটের ম্যানুয়ালি টেস্টে File upload vulnerability, injection, IDOR বেশ কিছু ভালনারিবিলিটি চোখে পড়লো!

সাধারণ ভাষায় বলতে গেলে, এক একাউন্টে লগ ইন করে অন্য যে-কোনো একাউন্টের ডাটা Read করা যাচ্ছিলো। সেখানে একটা স্টুডেন্ট এর পারিবারিক তথ্য, Gmail, ফোন নাম্বার, ছবি, আরো নানান ব্যক্তিগত ইনফরমেশন দেখা যাচ্ছিলো শুধুমাত্র URL এ ডিজিট পরিবর্তনের মাধ্যমেই (IDOR) । এতো এতো স্টুডেন্টের একটা কলেজ, এতো বিশাল এক সিস্টেম এতো বেশি Bug কিভাবে থাকে, ভাবলেই অবাক লাগে! কারো কোনো ভ্রুক্ষেপ নেই, নেই কোনো জবাবদিহিতাও!

মেলা থেকে ৩০০ টাকার সিম ৫০ টাকায় কিনে নিজের NID, আর Fingure Print ফ্রিতে দিয়ে আসা সহজ সরল পাবলিক আমরা। এতো জটিল করে ভাবতে পারি না কিছুই! 

সময় থাকতে সচেতন হোন পরে একদিন দেখবেন আপনার বাসার সামনে পুলিশের গাড়ি। আপনি মার্ডার কেইস কিংবা খুনের আসামী অথবা আপনার ব্যক্তিগত জীবন অনলাইনে বেচা-কেনা হচ্ছে,অথচ আপনি জানেনও না কিছুই 😊!