‘দুর্বল’ জন্ম নিবন্ধন সার্ভার, ঢুকে পড়ে দোকানিও
১৯ ফেব্রুয়ারি ২০২৩ ১৯:১২
চট্টগ্রাম ব্যুরো: চট্টগ্রাম সিটি করপোরেশনের বিভিন্ন ওয়ার্ডের সার্ভার থেকে ‘ভুয়া’ জন্ম নিবন্ধনের ঘটনায় গ্রেফতার পাঁচজন নগর পুলিশের কাউন্টার টেরোরিজম ইউনিটকে চাঞ্চল্যকর তথ্য দিয়েছে। তাদের জিজ্ঞাসাবাদে সংস্থাটি নিশ্চিত হয়েছে, রেজিস্ট্রার জেনারেলের কার্যালয়ের মূল নিয়ন্ত্রণে থাকা সার্ভার হ্যাক করেই জন্ম নিবন্ধনগুলো করা হয়েছে।
কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা জানিয়েছেন, হ্যাকিংয়ের মাধ্যমে সার্ভারে অবৈধভাবে প্রবেশ করে জন্ম নিবন্ধনে জড়িত একটি চক্রের মূল হোতা হচ্ছে নড়াইলের স্বল্পশিক্ষিত এক দোকানি। নিজ দোকানে বসেই ওই ব্যক্তি প্রযুক্তি ব্যবহার করে সার্ভারে ঢুকে জন্ম নিবন্ধনের প্রক্রিয়া সম্পন্ন করেন। তার সঙ্গে গ্রেফতার হওয়া বাকি চারজনও কমবেশি হ্যাকিংয়ের পারদর্শী।
এ অবস্থায় স্পর্শকাতর বিবেচিত জন্ম নিবন্ধন সার্ভারের নিরাপত্তার দুর্বলতা নিয়ে প্রশ্ন উঠেছে। সংশ্লিষ্টদের মতে, সার্ভারে দুর্বলতার কারণেই সহজে সেখানে প্রবেশ করা যাচ্ছে। এমনকি একমাস আগে নতুনভাবে আপডেট দেওয়ার পরও মূল সার্ভারটিকে রক্ষা করা যায়নি।
তবে সার্ভার হ্যাক করার আগে আইডি-পাসওয়ার্ড ব্যবহার করেও সেখানে অনুপ্রবেশের তথ্য পেয়েছেন কাউন্টার টেরোরিজম ইউনিটের কমকর্তারা। গত ১৬ থেকে ১৮ ফেব্রুয়ারি টানা তিনদিন চট্টগ্রাম, নড়াইল, ঢাকা, গাজীপুর ও সিরাজগঞ্জ জেলায় অভিযান চালিয়ে এক বিশ্ববিদ্যালয় ছাত্রসহ পাঁচজনকে গ্রেফতার করে সিএমপির কাউন্টার টেরোরিজম ইউনিট।
গ্রেফতারকৃতরা হলো- চট্টগ্রামের সাগর আহমেদ জোভান (২৩), নড়াইলের শেখ সেজান (২৩), ঢাকার কলাবাগানের মেহেদী হাসান (২৩), সিরাজগঞ্জের শাকিল হোসেন (২৩) এবং গাজীপুরের মাসুদ রানা (২৭)। তাদের কাছ থেকে কম্পিউটার, ল্যাপটপ, ট্যাব, প্রিন্টারসহ হ্যাকিং ও ভুয়া জন্ম নিবন্ধন সনদ প্রদানের নানা সরঞ্জাম উদ্ধার করা হয়।
সংশ্লিষ্ট কর্মকর্তারা জানান, সংঘবদ্ধ এই চক্রের মূল হোতা শেখ সেজান। নড়াইল জেলার লোহাগাড়া উপজেলার দিঘালিয়া বাজারে ‘আদনান কম্পিউটার’ নামে একটি দোকানের মালিক। জোভান ছিল চক্রের চট্টগ্রাম অঞ্চলের মূল ব্যক্তি। মেহেদী হাসান সোনারগাঁও বিশ্ববিদ্যালয়ের কম্পিউটার সাইয়েন্সের চূড়ান্ত বর্ষের ছাত্র। শাকিল ও মাসুদ রানাও সার্ভার হ্যাকিংয়ে পারদর্শী।
সিএমপির কাউন্টার টেরোরিজম ইউনিটের অতিরিক্ত উপ কমিশনার (এডিসি) আসিফ মহিউদ্দীন সারাবাংলাকে বলেন, ‘শেখ সেজান হ্যাকারদের মূল নেতা। সে একজন সাধারণ দোকানি হলেও ওয়েবসাইট তৈরি, সফটওয়্যার ডেভেলপসহ প্রযুক্তিগত বিভিন্ন বিষয়ে তার দক্ষতা আছে। তার দোকানে বসেই সার্ভার হ্যাক করে পাঁচ হাজারের বেশি ভুয়া জন্ম নিবন্ধন করার কথা সে আমাদের কাছে স্বীকার করেছে। বাকি চারজন যারা তারাও কিন্তু হ্যাকিংয়ে পারদর্শী। তবে এদের একেকজন একেক স্তরে কাজ করে। সবাই হ্যাকিংয়ে জড়িত এমন নয়। মূল কাজ করে সেজান।’
যেভাবে সার্ভারে অবৈধ প্রবেশ
পাঁচজনকে গ্রেফতারের পর প্রাথমিক জিজ্ঞাসাবাদে পাওয়া তথ্যানুযায়ী কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা জানান, মূলত ‘ইন্টারনেট কুকি’ ব্যবহার করে দোকানি সেজান জন্ম নিবন্ধনের মূল সার্ভারটি হ্যাক করে।
প্রসঙ্গত, ইন্টারনেট কুকিজ হচ্ছে কিছু ফাইল, যেগুলো ইন্টারনেট ব্রাউজারের ক্যাশ মেমোরিতে সংরক্ষিত হয়। ইন্টারনেট ব্রাউজারে কুকি এনাবল করা থাকলে, একটি ওয়েবসাইট একবার ব্রাউজ করলে, ডাটাগুলো কুকির মাধ্যমে সেই ওয়েবসাইটে থেকে যায়। সেক্ষেত্রে দ্বিতীয়বার সেই ওয়েবসাইটে গেলে সবকিছু আগের মতোই পাওয়া যায়। আইডি-পাসওয়ার্ড সেভ করে কোনো ওয়েবসাইটে লগইন করলে উইন্ডো বন্ধ করার পর কুকির সাহায্যে সেই আইডি এবং পাসওয়ার্ড পরবর্তী সময়ে পাওয়া যায়।
এছাড়া ‘তৃতীয়পক্ষ কুকি’ আছে যা যেকোনো ওয়েবসাইট থেকে সকল অনলাইন লগ-ইন সেশন সংরক্ষণে সক্ষম। যদি কেউ সেই কুকি চুরি করে নিজের ব্রাউজারে বসিয়ে দেয়, তবে সেই ওয়েবসাইটটিতে লগইন করার জন্য তার আর কোনো আইডি বা পাসওয়ার্ড এর প্রয়োজন পড়ে না। এছাড়া কোনো লগ-ইন সেশনে ইমেইল অ্যাড্রেস, ক্রেডিট কার্ড নম্বর ইনপুট দিলে সেগুলো তৃতীয়পক্ষ কুকিজের মাধ্যমে নেওয়া যায়।
তৃতীয়পক্ষ কুকি ব্যবহারে পারদর্শী সেজান এ প্রক্রিয়ায় জন্ম নিবন্ধনের সার্ভার হ্যাক করে জানিয়ে এডিসি আসিফ মহিউদ্দীন সারাবাংলাকে বলেন, ‘থার্ড পার্টি অ্যাপের মাধ্যমে কুকিজ জন্ম নিবন্ধন সার্ভারে সেজান ড্রপ-ইন করায়। ফলে কোনো জনপ্রতিনিধি কিংবা সংশ্লিষ্ট অন্য কোনো কার্যালয়ে খুলে রাখা সার্ভারে লগ-ইন সেশন নিয়ে নেয় সে। এই লগ-ইন সেশন দিয়ে মূল সার্ভারে বাইপাস করে ঢুকে সেটা কপি-পেস্ট করে প্রবেশ করতে পারতো। যে সার্ভারের আইডি থেকে লগ-ইন সেশন নেওয়া হয়েছে সেটি পরবর্তী সময়ে লগ-আউট করলেও ততক্ষণে আইডি, পাসওয়ার্ড সব হ্যাকারদের দখলে চলে গেছে। তখন হ্যাকাররা নিজেদের ইচ্ছেমতো জন্ম নিবন্ধনের তথ্য ইনপুট দিয়ে সেগুলো অনুমোদন করিয়ে নিতে পারতো।’
তিনি বলেন, ‘জন্ম নিবন্ধন অনুমোদনের দুইটা স্তর আছে। একটি নিবন্ধন সহকারীর, আরেকটি জনপ্রতিনিধির। দুই স্তরেই অনুমোদনই তারা দিতে পারতো। কিন্তু মূল অনুমোদন অর্থাৎ রেজিস্ট্রার জেনারেলের কার্যালয়ের অনুমোদনের ক্ষমতা শেখ সেজান নিজের কাছেই রেখেছিল।’
এডিসি আসিফ মহিউদ্দীন জানান, গত দেড় বছর ধরে সেজানের নেতৃত্বে চক্রটি জন্ম নিবন্ধন জালিয়াতি করে আসছে। প্রথমে তারা সরাসরি আইডি-পাসওয়ার্ড ব্যবহার করে করতো। সেই আইডি-পাসওয়ার্ড আবার প্রতি ঘণ্টার জন্য ৮ থেকে ১০ হাজার টাকার বিনিময়ে সে চক্রের অন্য সদস্যদেরও ব্যবহার করতে দিতো। গত ছয়মাস ধরে কুকি ব্যবহার করে সার্ভার হ্যাক করে জালিয়াতি করে আসছিল। সেই প্রক্রিয়াও আবার বিভিন্নজনের কাছে ভাড়া দিতো।
চট্টগ্রাম সিটি করপোরেশন ছাড়াও ঢাকা উত্তর, ঢাকা দক্ষিণ, কুমিল্লা, সিলেট ও ময়মনসিংহ সিটি করপোরেশন, চট্টগ্রামের দোহাজারি পৌরসভা ও ফরিদপুর, বাগেরহাট, নরসিংদী জেলায় কয়েক হাজার জন্ম নিবন্ধন সনদ সৃজনের তথ্য পাওয়া গেছে। তবে জব্দ করা ল্যাপটপ ও ডেস্কটপ ফরেনসিক পরীক্ষার পর সেটি নিশ্চিত হওয়া যাবে বলে জানালেন কাউন্টার টেরোরিজমের এডিসি আসিফ মহিউদ্দীন।
কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা জানান, গত ৩ জানুয়ারি জন্ম নিবন্ধন সার্ভার সুরক্ষিত করতে নতুনভাবে আপডেট দেওয়া হয়। এতে ওটিপি নম্বর ইনপুট দেওয়ার মাধ্যমে প্রবেশের অপশন যুক্ত করা হয়, যাতে ব্যবহারকারীর মোবাইল নম্বর দেওয়া বাধ্যতামূলক। সেই আপডেটের পরও ২৩ জানুয়ারি পর্যন্ত শেখ সেজানের নেতৃত্বাধীন চক্রটি সার্ভারে প্রবেশ করে জন্ম নিবন্ধন করেছে।
যেভাবে ধরা পড়ে হ্যাকাররা
গত ৮ জানুয়ারি থেকে ২৫ জানুয়ারি পর্যন্ত নগরীর ৬টি ওয়ার্ডে ৭৯৭টি ভুয়া জন্ম নিবন্ধনের প্রমাণ পাবার তথ্য দেয় চট্টগ্রাম সিটি করপোরেশন। ৩৮ নম্বর দক্ষিণ মধ্যম হালিশহর, ১৩ নম্বর পাহাড়তলী, ৪০ নম্বর উত্তর পতেঙ্গা, ১৪ নম্বর লালখান বাজার, ৩২ নম্বর আন্দরকিল্লা এবং ১১ নম্বর দক্ষিণ কাট্টলী ওয়ার্ডে এসব জালিয়াতির ঘটনায় মোট চারটি মামলা দায়ের হয়। মামলাগুলো তদন্ত করছে সিএমপির কাউন্টার টেরোরিজম ইউনিট।
খুলশী থানায় দায়ের হওয়া একটি মামলায় গত ২৪ জানুয়ারি চারজনকে গ্রেফতার করা হয়। এরা হল- আব্দুর রহমান আরিফ (২৫), দেলোয়ার হোসেন সাইমন (২৩), মোস্তাকিম (২২) এবং তার ১৬ বছর বয়সী শ্যালক।
২৫ জানুয়ারি রাকিব হোসেন হিমেল নামে চক্রের আরেক সদস্যকে এক গ্রাহকসহ গ্রেফতার করা হয়। ৩০ জানুযারি নির্বাচন কমিশনের (ইসি) সাময়িক বরখাস্ত হওয়া কর্মচারি জয়নাল আবেদিনকে গ্রেফতার করা হয়, যিনি জাতীয় পরিচয়পত্র (এনআইডি) জালিয়াতির ঘটনায় গ্রেফতার হয়ে আলোচনায় এসেছিলেন।
সর্বশেষ পাঁচজনকে গ্রেফতার অভিযানে নেতৃত্ব দেয়া সিএমপির কাউন্টার টেরোরিজম ইউনিটের পরিদর্শক সঞ্জয় কুমার সিনহা সারাবাংলাকে জানান, মোস্তাকিম ও তার শ্যালকের জবানবন্দিতে জোভানের নাম আসে। তাকে নগরীর বায়েজিদ বোস্তামি থেকে গ্রেফতার করা হয়। জোভান এই চক্রের মূল হোতা সেজানের নাম প্রকাশ করে। সেজানকে নড়াইল থেকে গ্রেফতারের পর তার দেওয়া তথ্যে বাকি তিনজনকে গ্রেফতার করা হয়।
তিনি বলেন, ‘প্রথম দফায় গত মাসে (জানুয়ারি) যে পাঁচজনকে গ্রেফতার করা হয়েছিল, তারা মূলত ফেসবুকে বিজ্ঞাপন দিয়ে জন্ম নিবন্ধন করে দেওয়ার জন্য গ্রাহক সংগ্রহ করে। তারা গ্রাহকের প্রাথমিক তথ্য নিয়ে পিডিএফ ফরম্যাট করার জন্য এক বা একাধিক দ্বিতীয় ব্যক্তির কাছে পাঠানোর কথা বলেছিল। সেই দ্বিতীয় ব্যক্তি হচ্ছে জোভান। জোভান সেটা পিডিএফ ফরম্যাট করে পাঠায় সেজানের কাছে। সেজান সার্ভারে সেটা ইনপুট দিয়ে সনদ পাঠিয়ে দিত জোভানের হোয়াটস অ্যাপ নম্বরে। জোভান সেটা দিত গ্রাহক সংগ্রহকারীদের কাছে। তারা সেটা কালার প্রিন্ট করে সরবরাহ করতো।’
পুলিশ পরিদর্শক সঞ্জয় কুমার সিনহা আরও জানান, জোভান একাধিকবার সেজানের নড়াইলের বাড়িতে গেছে। মেহেদী, শাকিল এবং মাসুদ রানাও গেছে। মাসুদ ও শাকিল মাসখানেক আগে দোহাজারি পৌরসভার সার্ভারে প্রবেশ করে ভুয়া জন্ম নিবন্ধন করে। এ অভিযোগে সাইবার ট্রাইব্যুনালে দায়ের হওয়া এক মামলারও তদন্ত করছে কাউন্টার টেরোরিজম ইউনিট।
‘গ্রেফতার নির্বাচন কমিশনের সাবেক কর্মচারি জয়নাল আবেদিনের সঙ্গে জোভানের ভালো যোগাযোগ ছিল। মূলত জয়নাল জোভানের মাধ্যমে ভূয়া জন্ম নিবন্ধন সনদ নিতো। তারপর সেটা ব্যবহার করে লোকজনকে এনআইডি সরবরাহ করতো। তবে জয়নাল হ্যাকার নন।’
এডিসি আসিফ মহিউদ্দীন সারাবাংলাকে বলেন, ‘সামাজিক যোগাযোগ মাধ্যমে জন্ম-মৃত্যুর সনদ দেওয়ার যেসব বিজ্ঞাপন দেখা যায় সেগুলো সবই জালিয়াত চক্রের দেওয়া। এরকম শত, শত সদস্য আছে যারা অবৈধভাবে জন্ম নিবন্ধন সনদ পাইয়ে দেওয়ার সঙ্গে জড়িত। আমরা আরও কয়েকজন হ্যাকারের নাম পেয়েছি। তদন্ত চলছে। চক্রের সবাইকে গ্রেফতারে কার্যক্রম চলছে।’
সারাবাংলা/আরডি/পিটিএম