সরকারি ওয়েবসাইটে ব্যক্তিগত তথ্য, যেভাবে প্রতারণার শিকার ৫ কর্মকর্তা
একটি ওয়েবসাইট থেকে ব্যক্তিগত তথ্য ফাঁসের পর দেখা যাচ্ছে, সরকারি আরও ওয়েবসাইটে তথ্য উন্মুক্ত।
গুগলে কয়েকটি শব্দ লিখে মাউসে ক্লিক করলেই বেরিয়ে আসছে দেশের নাগরিকদের ব্যক্তিগত তথ্য। শত শত মানুষের নাম, ঠিকানা, মুঠোফোন নম্বর ও জাতীয় পরিচয়পত্রের নম্বর। কোথাও কোথাও থাকছে জন্মনিবন্ধন নম্বর এবং ছবিও।
দেশের নাগরিকদের ব্যক্তিগত এসব তথ্য এভাবে উন্মুক্ত রয়েছে সরকারি ওয়েবসাইটে। সরকারি একটি ওয়েবসাইট থেকে ‘লাখ লাখ মানুষের তথ্য ফাঁস হওয়ার খবরের’ মধ্যে দেখা যাচ্ছে, শুধু ওই একটি ওয়েবসাইট নয়, নাগরিকদের তথ্য উন্মুক্ত করে রেখেছে সরকারের আরও অনেক ওয়েবসাইট। এসব ওয়েবসাইট থেকে তথ্যগুলো অপরাধীদের হাতে চলে যাওয়ার আশঙ্কা রয়েছে।
অপরাধীরা মানুষের কী ক্ষতি করতে পারে, তার উদাহরণ হতে পারেন সরকারের পাঁচজন কর্মকর্তা। পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি) সূত্র জানিয়েছে, ওই কর্মকর্তারা বাংলাদেশ কর্মচারী কল্যাণ বোর্ড থেকে অনুদান পেয়েছিলেন। এ রকম অনুদান পাওয়া ব্যক্তিদের তালিকা ওই প্রতিষ্ঠান ওয়েবসাইটে তুলে দেয়, যেখানে নামসহ বিভিন্ন ব্যক্তিগত তথ্য ছিল। অপরাধীরা সেই তালিকা সংগ্রহ করে অনুদান পাওয়া কর্মকর্তাদের ফোন করে এবং আরও অনুদান দেওয়ার কথা বলে ব্যাংক কার্ডের তথ্য নেয়। এরপর জালিয়াতি করে পাঁচজনের কাছ থেকে ৪ লাখ ৭৫ হাজার টাকা নেয়।
‘আমাকেও আমার পরিচয় দিয়েই ফোন করেছিল প্রতারক চক্র। ঘটনা জানার পর আমরা আর অনুদানপ্রাপ্ত ব্যক্তিদের নাম, ঠিকানা, অন্যান্য তথ্যসহ তালিকা ওয়েবসাইটে দিইনি। শুধু ডায়েরি (ব্যক্তির আবেদন) নম্বর দেওয়া হয়।’মো. মনিরুজ্জামান, কর্মচারী কল্যাণ বোর্ডের সহকারী পরিচালক (প্রশাসন)
বাংলাদেশ কর্মচারী কল্যাণ বোর্ড সূত্র জানিয়েছে, সংস্থাটি ২০১৬ সালে ইলেকট্রনিক ফান্ড ট্রান্সফার (ইএফটি) চালুর মাধ্যমে সরকারি কর্মকর্তাদের অনুদান সরাসরি ব্যাংকে পাঠানোর সুবিধা চালু করে। স্বচ্ছতার জন্য সুবিধাপ্রাপ্ত সরকারি কর্মকর্তাদের নাম, ঠিকানা, অনুদানের পরিমাণ, মুঠোফোন নম্বরসহ বিভিন্ন তথ্য ওয়েবসাইটে দেওয়া হতো (এখন হয় না)। সেই তালিকা ধরে প্রায় প্রত্যেককে ফোন করে প্রতারণার চেষ্টা করে কয়েকটি চক্র। অনেকে টাকা হারান।
২০২২ সালের শুরুর দিকে প্রতারণার বিষয়টি নজরে আসে। এরপর কর্মচারী কল্যাণ বোর্ড পুলিশের দ্বারস্থ হয়। পত্রিকায় বিজ্ঞাপন দিয়ে মানুষকে সতর্ক করে। এমন একটি ঘটনায় গত বছরের ১১ আগস্ট রমনা মডেল থানায় মামলা হয়। মামলার পর একটি চক্রের দুজনকে গ্রেপ্তার করা হয়। ওই বছর ২১ আগস্ট সিআইডির এক সংবাদ সম্মেলনে দাবি করা হয়েছিল, শুধু এই পাঁচজন নয়, অনেক সরকারি কর্মকর্তার সঙ্গে প্রতারণা করেছিল প্রতারকেরা।
মামলার বাদী কর্মচারী কল্যাণ বোর্ডের সহকারী পরিচালক (প্রশাসন) মো. মনিরুজ্জামান প্রথম আলোকে বলেন, ‘আমাকেও আমার পরিচয় দিয়েই ফোন করেছিল প্রতারক চক্র। ঘটনা জানার পর আমরা আর অনুদানপ্রাপ্ত ব্যক্তিদের নাম, ঠিকানা, অন্যান্য তথ্যসহ তালিকা ওয়েবসাইটে দিইনি। শুধু ডায়েরি (ব্যক্তির আবেদন) নম্বর দেওয়া হয়।’
উন্মুক্ত ব্যক্তিগত তথ্যের এই অপব্যবহারের ঘটনার পরও ইন্টারনেটের সুপরিচিত সার্চ ইঞ্জিন গুগলে সাধারণভাবে খোঁজ করলেই বিপুল তথ্য বেরিয়ে আসছে। ১১ জুলাই দুপুর ১২টা ৫৬ মিনিটে, ১৪ জুলাই রাত ৮টা ৫০ মিনিটে এবং গতকাল রোববার রাত আটটায় তিনবার ‘সার্চ’ দিয়ে দেখা যায় প্রতিবার প্রায় দুই হাজার ফলাফল আসছে। প্রায় প্রতিটি এক্সেল ফাইল।
বেশির ভাগ ফাইলে মানুষের ব্যক্তিগত তথ্য। কী লিখে ‘সার্চ’ দিতে হয়, কাদের তথ্য বেরিয়ে আসে, কোন ওয়েবসাইট থেকে তথ্যগুলো উন্মুক্ত হয়ে পড়ে, তা নিরাপত্তার স্বার্থে প্রকাশ করা হলো না।
ব্যক্তিগত তথ্য যে অপরাধের শিকার হওয়ার আশঙ্কা তৈরি করে, তা স্বীকার করেছেন তথ্যপ্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহ্মেদও। তিনি ১০ জুলাই এক অনুষ্ঠান শেষে সাংবাদিকদের বলেন, এ ধরনের তথ্য যে কারও কাছে গেলে ভবিষ্যতে সাইবার অপরাধ হতে পারে।
কী কী তথ্য উন্মুক্ত
ডিজিটাল নিরাপত্তা আইনের ২৬ ধারায় বলা আছে, ‘যদি কোনো ব্যক্তি আইনগত কর্তৃত্ব ব্যতিরেকে অপর কোনো ব্যক্তির পরিচিতি তথ্য সংগ্রহ, বিক্রয়, দখল, সরবরাহ বা ব্যবহার করেন, তাহা হইলে উক্ত ব্যক্তির অনুরূপ কার্য হইবে একটি অপরাধ।’
এই ধারা ব্যাখ্যায় পরিচিতি তথ্য হিসেবে নাম, ছবি, ঠিকানা, জন্মতারিখ, মাতার নাম, পিতার নাম, স্বাক্ষর, জাতীয় পরিচয়পত্র, জন্ম ও মৃত্যুনিবন্ধন নম্বর, আঙুলের ছাপ, পাসপোর্ট নম্বর, ব্যাংক হিসাব নম্বর, ড্রাইভিং লাইসেন্স, ই-টিআইএন (কর শনাক্তকরণ) নম্বর ইত্যাদির কথা বলা হয়েছে।
বাংলাদেশে ১১ জুলাই এই প্রতিবেদকের গুগল সার্চে প্রথম যে এক্সেল ফাইলটি এসেছে, তাতে দেখা যায়, ১৩২ জন মানুষের নাম, জন্মতারিখ, জাতীয় পরিচয়পত্র নম্বর, নিবন্ধন করা মুঠোফোন নম্বর, পেশা ও ঠিকানা রয়েছে। আরেকটি এক্সেল ফাইলে দেখা যায়, ব্যক্তিগত তথ্যের সঙ্গে ছবিও রয়েছে, যা ব্যবহার করে পরিচয় চুরির ঘটনা ঘটতে পারে।
‘সাধারণ নাগরিকের ব্যক্তিগত তথ্য সরকারি ওয়েবসাইটে এভাবে উন্মুক্ত রাখার পরিণতি ভয়ংকর হতে পারে। তাই এমনটি হওয়া কোনোভাবেই কাঙ্ক্ষিত নয়।’মুহাম্মদ এরশাদুল করিম, মালয়েশিয়ার ইউনিভার্সিটি অব মালয়ার আইন ও উদীয়মান প্রযুক্তি বিভাগের জ্যেষ্ঠ প্রভাষক
উল্লেখ্য, বিশ্বজুড়ে সাধারণ সাইবার অপরাধের একটি ধরন হলো পরিচয় চুরি বা আইডেন্টিটি থেফট। ব্যক্তিগত তথ্য নিয়ে প্রতারকেরা ব্যাংক হিসাব, ক্রেডিট কার্ড অথবা মুঠোফোনে আর্থিক সেবা (এমএফএস) হিসাব থেকে টাকা নিয়ে নিতে পারে। এমনকি ব্যাংকঋণও নেওয়া হতে পারে।
উন্মুক্ত তথ্যের কারণে প্রতারণার শিকার হয়েছিলেন যে সরকারি কর্মকর্তারা, তাঁদের তিনজনের সঙ্গে কথা বলেছে প্রথম আলো। তাঁরা জানান, তাঁদের ফোন করে কর্মচারী কল্যাণ বোর্ডের কর্মকর্তা পরিচয় দিয়ে বলা হয়েছিল তারা আরও অনুদান পাবেন। এ জন্য ব্যাংক কার্ডের নম্বর দরকার তাৎক্ষণিকভাবে।
প্রতারকেরা সুনির্দিষ্টভাবে বিভিন্ন তথ্য দিচ্ছিল, যা অন্য কারও জানার কথা নয়। এ কারণে ভুক্তভোগীরা বিশ্বাস করেন এবং ব্যাংক কার্ডের নম্বর দেন। পরে ওটিপি (ওয়ান টাইম পাসওয়ার্ড) আসে। তা-ও বলেন। পরে দেখেন নিজের ব্যাংক হিসাব থেকে টাকা উধাও।
অবসরপ্রাপ্ত জেলা প্রাণিসম্পদ কর্মকর্তা রফিকুল ইসলাম হারিয়েছিলেন তিন লাখ টাকা। তাঁর ক্রেডিট কার্ডের নম্বর ও দশ দফায় ওটিপি নম্বর নিয়ে ১০টি লেনদেন করে প্রতারকেরা (প্রতিটিতে ২৯ হাজার ৯৯৯ টাকা)। টাকাগুলো যায় এমএফএস নম্বরে। নিজের অবসর ভাতা থেকে পরে ব্যাংককে টাকা পরিশোধ করতে বাধ্য হন তিনি।
প্রয়োজনের জন্য সরকারি সংস্থা নাগরিকদের ব্যক্তিগত তথ্য নিতে পারে। তবে সেটা ওয়েবসাইটে উন্মুক্ত রাখা যাবে না।অনিক আর হক, আইনজীবী
রফিকুল প্রথম আলোকে বলেন, ‘এতগুলো টাকা হারালাম। আমার জীবনে এমন তো আর হয়নি।’ তিনি আরও বলেন, ‘ঘটনার পর ব্যাংকে গিয়ে ক্রেডিট কার্ড ফেরত দিই। আর কখনো ব্যবহার করিনি।’
একজন মানুষের নাম, জন্মতারিখ, জাতীয় পরিচয়পত্র, ছবি ইত্যাদি তথ্য থাকলে তাঁর নামে জালিয়াতি করে ঋণ নেওয়া সম্ভব কি না, জানতে চাওয়া হয়েছিল বেসরকারি একটি ব্যাংকের একজন কর্মকর্তার আছে, যিনি ঋণ নথি তৈরি করে থাকেন। তিনি বলেন, ব্যাংকের রিলেশনশিপ ম্যানেজার (আরএম) যদি যোগসাজশ করেন, তাহলে সেটি সম্ভব।
যা বলছেন সরকারি কর্মকর্তারা
একটি উপজেলার একটি ইউনিয়নের কিছু মানুষের তালিকা গুগলে খোঁজ করলে পাওয়া যাচ্ছে। ইউনিয়নটির সচিব (নাম গোপন রাখা হলো) প্রথম আলোকে বলেন, তালিকা প্রস্তুত করে তাঁরা উপজেলা কার্যালয়ে পাঠিয়েছিলেন। ইউনিয়নটির ওয়েবসাইট দেখাশোনা করার জন্য একজন কম্পিউটার অপারেটরের পদ রয়েছে। তবে সে পদে কখনো নিয়োগ দেওয়া হয়নি। ইউনিয়ন ডিজিটাল সেন্টারের উদ্যোক্তাদের দিয়ে ওয়েবসাইটের তথ্য হালনাগাদ করা হয়।
ওই ডিজিটাল সেন্টারের উদ্যোক্তা (নাম গোপন রাখা হলো) প্রথম আলোকে বলেন, উচ্চ মাধ্যমিক পর্যন্ত পড়াশোনা করছেন। তথ্যপ্রযুক্তির বিভিন্ন বিষয়ে জেলা-উপজেলা থেকে টুকটাক প্রশিক্ষণ পেয়েছেন।
ব্যক্তিগত তথ্য কেন ওয়েবসাইটে দেওয়া হচ্ছে তা জানতে প্রথম আলোর পক্ষ থেকে পাঁচজন সংশ্লিষ্ট সরকারি কর্মকর্তার সঙ্গে কথা বলা হয়। তাঁরা একটি যুক্তি দিয়েছেন যে স্বচ্ছতার জন্য তাঁরা মানুষের তালিকা ওয়েবসাইটে দিয়েছেন। এ বিষয়ে সরকারের নির্দেশনা আছে। সেই তালিকার সঙ্গে মুঠোফোন ও জাতীয় পরিচয়পত্রের নম্বর দেওয়া কেন প্রয়োজন, সে প্রশ্নের সদুত্তর দিতে পারেননি তাঁরা।
সরকারি নির্দেশনায় ব্যক্তির তথ্য কতটুকু দেওয়া যাবে, সে বিষয়ে কিছু বলা থাকে কি না, জানতে চাইলে একটি উপজেলার ইউএনও (নাম গোপন রাখা হলো) প্রথম আলোকে বলেন, ঊর্ধ্বতন কর্তৃপক্ষ যা বলে, সেটিই তাঁরা করেন।
সরকারি ওয়েবসাইটগুলো তৈরি করা হয়েছে সরকারেরই একটি প্রকল্পের মাধ্যমে। একটি মূল ওয়েবসাইটের সঙ্গে হাজার হাজার সাব-ওয়েবসাইট তৈরি করা হয়েছে। ওয়েবসাইটগুলো পরিচালনা করা হয় স্থানীয়ভাবে প্রতিষ্ঠান অথবা সংস্থা পর্যায়ে। সংস্থাগুলোকে ব্যক্তিগত তথ্য সুরক্ষার বিষয়ে প্রশিক্ষণ দেওয়া হয় কি না, জানতে চাইলে ওই প্রকল্পের পরিচালক লিখিত বক্তব্যে প্রথম আলোকে বলেন, তাঁদের প্রশিক্ষণে ব্যক্তিগত তথ্য সুরক্ষার বিষয়টি থাকে।
কিন্তু দেখা যাচ্ছে, তথ্য উন্মুক্ত। অবশ্য কোনো কোনো ক্ষেত্রে সরকারি ওয়েবসাইটেই মানুষের ব্যক্তিতথ্য বাদ দিয়ে শুধু নামের তালিকা প্রকাশ করা হয়, যেটাকে সঠিক চর্চা বলছেন বিশেষজ্ঞরা। তাঁরা বলছেন, স্বচ্ছতার নামে ব্যক্তির জাতীয় পরিচয়পত্র ও মুঠোফোন নম্বর প্রকাশের প্রয়োজন নেই।
আইনি সুরক্ষা কী আছে
ব্যক্তিগত তথ্য ফাঁস অথবা প্রকাশের ক্ষেত্রে আইনি সুরক্ষা দেওয়া হয় ব্যক্তিগত তথ্য সুরক্ষা আইনের মাধ্যমে। বাংলাদেশে এ আইন এখনো তৈরি হয়নি। তাহলে নাগরিকেরা আইনি সুরক্ষা কীভাবে পাবেন—জানতে প্রথম আলো কথা বলেছে সুপ্রিম কোর্টের দুজন আইনজীবী এবং তথ্যপ্রযুক্তিবিষয়ক আইনের দুজন বিশ্ববিদ্যালয় শিক্ষকের সঙ্গে।
এই চারজনের বক্তব্যের সারমর্ম হলো বাংলাদেশে সুনির্দিষ্ট আইনি সুরক্ষা নেই। তবে সংবিধানের ৪৩ অনুচ্ছেদে নাগরিকদের ব্যক্তিগত গোপনীয়তার অধিকার দেওয়া হয়েছে। আবার মানবাধিকারের সর্বজনীন ঘোষণাপত্রেও (১৯৪৮) গোপনীয়তার অধিকার স্বীকৃত।
আইনজীবী অনিক আর হক প্রথম আলোকে বলেন, প্রয়োজনের জন্য সরকারি সংস্থা নাগরিকদের ব্যক্তিগত তথ্য নিতে পারে। তবে সেটা ওয়েবসাইটে উন্মুক্ত রাখা যাবে না।
তথ্য ফাঁসের ঘটনায় দায়ী প্রতিষ্ঠানকে শাস্তির নজির বিশ্বের বিভিন্ন দেশে রয়েছে। ২০১৯ সালে সিঙ্গাপুরে রোগীদের ব্যক্তিগত তথ্য বেহাতের ঘটনায় দেশটির সমন্বিত স্বাস্থ্য তথ্য ব্যবস্থাকে সাড়ে সাত লাখ মার্কিন ডলার (প্রায় আট কোটি টাকা) জরিমানা করা হয়েছিল। ২০২২ সালে আয়ারল্যান্ডের উপাত্ত সুরক্ষা কমিশনার সামাজিক যোগাযোগমাধ্যম ইনস্টাগ্রামকে ৪০ কোটি মার্কিন ডলার জরিমানা করেছিলেন। এমন বড় বড় জরিমানার উদাহরণ আরও রয়েছে।
‘পরিণতি ভয়ংকর হতে পারে’
বাংলাদেশে বিভিন্ন সময় ব্যক্তিগত তথ্য ফাঁসের ঘটনা ঘটেছে। সর্বশেষ একটি সরকারি সংস্থার ওয়েবসাইট থেকে লাখ লাখ মানুষের তথ্য ফাঁসের খবর জানায় তথ্যপ্রযুক্তির খবর দেওয়া যুক্তরাষ্ট্রের অনলাইন সংবাদমাধ্যম টেকক্রাঞ্চ। এরপরই সরকার নড়েচড়ে বসেছে। নাগরিকদের তথ্য সংগ্রহ করে, এমন ২৯টি গুরুত্বপূর্ণ তথ্য পরিকাঠামোর প্রধানদের নিয়ে ১০ জুলাই বৈঠক করে তথ্যপ্রযুক্তি বিভাগ। পরিস্থিতি পর্যালোচনার জন্য দুটি কমিটিও হয়েছে।
সরকারি ওয়েবসাইটে জেনেশুনে ব্যক্তিগত উপাত্ত উন্মুক্ত রাখার ঘটনা ভাবা যায় কি না, জানতে চাইলে মালয়েশিয়ার ইউনিভার্সিটি অব মালয়ার আইন ও উদীয়মান প্রযুক্তি বিভাগের জ্যেষ্ঠ প্রভাষক মুহাম্মদ এরশাদুল করিম প্রথম আলোকে বলেন, ‘সাধারণ নাগরিকের ব্যক্তিগত তথ্য সরকারি ওয়েবসাইটে এভাবে উন্মুক্ত রাখার পরিণতি ভয়ংকর হতে পারে। তাই এমনটি হওয়া কোনোভাবেই কাঙ্ক্ষিত নয়।’
তিনি বলেন, সুনির্দিষ্ট নীতিমালার আলোকে যথাযথ সুরক্ষা নিয়ম মেনেই ব্যক্তিগত তথ্য রাখা দরকার। কেননা এসব তথ্য ব্যবহার করে অপরাধীরা ছদ্মবেশ ধারণ করে সাধারণ মানুষের সঙ্গে সহজেই প্রতারণাসহ বিভিন্ন ধরনের অপরাধ, বিশেষ করে আর্থিক অপরাধ ও সরকারি সুবিধা-সম্পর্কিত অপরাধ করতে পারবে।