এ বি এন এ :বাংলাদেশের তিনটিসহ দক্ষিণ এশিয়ার পাঁচটি বাণিজ্যিক ব্যাংকের তথ্য চুরি করেছে তুরস্কের একটি হ্যাকার গ্রুপ।
একই সঙ্গে শিগগিরই এশিয়ার আরও ব্যাংকের তথ্য হ্যাক করার হুমকি দিয়েছে তারা।
যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তাবিষয়ক ওয়েবসাইট ‘ডেটাব্রিচটুডে’ এক প্রতিবেদনে এ সব তথ্য দিয়েছে।
‘বোজকার্টলার বা ধূসর নেকড়েরা’ নামের ওই হ্যাকার গ্রুপ চুরি করা সব তথ্যই অনলাইনে প্রকাশ করেছে বলে ধারণা করা হচ্ছে।
বাংলাদেশের ব্যাংকগুলো হল- ডাচ বাংলা ব্যাংক, দ্য সিটি ব্যাংক ও ট্রাস্ট ব্যাংক। আর বাকি ব্যাংক দুটি নেপালের কাঠমান্ডুভিত্তিক বিজনেস ইউনিভার্সাল ডেভেলপমেন্ট ব্যাংক ও সানিমা ব্যাংক।
‘ডেটাব্রিচটুডে’ বলছে, তথ্য চুরির বিষয়ে তারা ওই পাঁচ ব্যাংকের সঙ্গে যোগাযোগ করলেও ব্যাংকগুলো কোনো প্রতিক্রিয়া দেয়নি।
এর আগে হ্যাকার গ্রুপটি কাতার ন্যাশনাল ব্যাংক ও সংযুক্ত আরব আমিরাতের ইনভেস্টব্যাংকের তথ্য চুরি করেছিল। আর সব ব্যাংকের তথ্য সম্বলিত আর্কাইভগুলো তারা একটি টুইটার অ্যাকাউন্টে পোস্ট করেছে। হ্যাকার গ্রুপটি তুরস্কের চরমপন্থী আন্দোলনের সঙ্গে সম্পৃক্ত বলে মনে করা হয়।
‘ডেটাব্রিচটুডে’র মতে, সিটি ব্যাংকের ১১ দশমিক ২ মেগাবাইট, ডাচ বাংলা ব্যাংকের ৩১২ কিলোবাইট ও ট্রাস্ট ব্যাংকের ৯৫ কিলোবাইট আকারের ফাইল টুইটারে প্রকাশ করা হয়েছে। এছাড়া নেপালের দুই ব্যাংকের ফাইলগুলোর আকার যথাক্রমে ২৫১ ও ৪৭ মেগাবাইট।
যদিও এসব ব্যাংকের কোনো গ্রাহকের টাকা চুরি করা হয়েছে কি না সে বিষয়ে হ্যাকাররা কিছু জানায়নি।
এই হ্যাকার গ্রুপের ওপর নজর রাখেন এমন সাইবার নিরাপত্তা বিশেষজ্ঞদের বরাত দিয়ে ‘ডেটাব্রিচটুডে’ বলছে, এই পাঁচ ব্যাংকের চুরি করা তথ্য আসল বলেই মনে হচ্ছে। যদিও কাতার ন্যাশনাল ব্যাংক ও ইনভেস্ট ব্যাংকের চুরি করা তথ্যের তুলনায় পরিমাণে তা অনেক কম।
ওমার বেনবোয়াজ্জা নামে এক সাইবার সিকিউরিটি ইঞ্জিনিয়ারকে উদ্ধৃত করে ‘ডেটাব্রিচটুডে’র প্রতিবেদনে বলা হয়েছে, হ্যাকাররা সানিমা ব্যাংক ও ডাচ বাংলা ব্যাংকে ওয়েবশেল আপলোড করেছে বলে তার মনে হয়েছে। কাতার ন্যাশনাল ব্যাংকের ক্ষেত্রেও একই কাজ করা হয়েছিল।
ওয়েবশেল হল একটি কোড, যা কম্পিউটার বা সার্ভারে ঢুকিয়ে দিতে পারলে হ্যাকার অ্যাডমিন সুবিধা ও পুরো সিস্টেম নিয়ন্ত্রণের সুযোগ পায়। এর মাধ্যমে সিস্টেমে সংরক্ষিত তথ্যও বের করে আনা যায়।
চুরি যাওয়া তথ্যে যা আছে
হ্যাকাররা পাঁচ ব্যাংকের নামে যেসব তথ্য অনলাইনে ছেড়েছে, তা প্রাথমিকভাবে বিশ্লেষণের পর একজন গবেষক ডেটাব্রিচটুডেকে বলেছেন, হ্যাকিংয়ের বিষয়টি উদ্বেগজনক হলেও আগের দুই ব্যাংকের মতো ততটা গুরুত্বপূর্ণ তথ্য এগুলোতে নেই। কিউএনবি ও ইনভেস্টব্যাংকের মতো এগুলোতে কোনো ক্রেডিট কার্ড নম্বর নেই।
তিনি প্রত্যেকটি ব্যাংকের তথ্য আলাদাভাবে ধরে এগুলোর সত্যতা যাচাইয়ের চেষ্টা করেছেন;
ডাচ বাংলা ব্যাংক এই ব্যাংকের ৩১২ কেবি আর্কাইভে গ্রাহকের সরাসরি ও ইন্টারনেট ব্যাংকিং লেনদেনের রেকর্ড রয়েছে। ওই গবেষক জানান, এর মধ্যে কিছু তথ্য থেকে অ্যাডমিনের সত্যায়নকারী গোপন তথ্য (আইডি, পাসওয়ার্ড) তিনি পেয়েছেন, যা ব্যবহার করে পাবলিক ইন্টারনেট থেকে ব্যাংকের এটিএম ট্রানজেকশন অ্যানালাইজারে ঢুকতে পেরেছিলেন তিনি। ওইসব ইউজার নেইম ও পাসওয়ার্ড খুবই সহজ বা ডিফল্ট। ডাচ বাংলা ব্যাংকের ওয়েবসাইটে ঝুঁকির উপাদান রয়েছে বলে দেখা যাচ্ছে। এর ফলে ইন্টারনেট সার্ভার বা ফাইলে অনুপ্রবেশের সুযোগ তৈরি হতে পারে বলেও বিশ্লেষণ করেছেন ওই গবেষক। ট্রাস্ট ব্যাংক সবচেয়ে কম চুরি যাওয়া ট্রাস্ট ব্যাংকের ৯৬ কেবি তথ্যের মধ্যে দুটি স্প্রেডশিট রয়েছে, যেগুলোতে ইউজার আইডি, ই-মেইল ঠিকানা, ইউজার নেইম ও এনক্রিপটেড পাসওয়ার্ড রয়েছে। এর মধ্যে সর্বশেষ ২০১৫ সালের জুনের তথ্য রয়েছে। দ্য সিটি ব্যাংক এই ব্যাংকের ১১.২ এমবি তথ্যের একটি স্প্রেডশিট রয়েছে, যাতে প্রায় এক লাখ গ্রাহকের ব্যক্তিগত তথ্য রয়েছে। এসব তথ্যের মধ্যে গ্রাহকের পূর্ণাঙ্গ নাম, বাবার নাম, মায়ের না, জন্ম তারিখ, বয়স, ঠিকানা, যোগাযোগের নম্বর, স্থায়ী ঠিকানা এবং ই-মেইলের তথ্য রয়েছে। তাদের সর্ব সাম্প্রতিক তথ্য ২০১৫ সালের আগস্টের।
এছাড়া নেপালের দুটি ব্যাংক সম্পর্কে প্রতিবেদনে বলা হয়েছে, সানিমা ব্যাংকের চুরি যাওয়া তথ্যের মধ্যে একটি স্প্রেডশিট রয়েছে, যেখানে গ্রাহকের নাম, অ্যাকাউন্ড ব্যালেন্স, সাম্প্রতিক লেনদেনের তথ্য রয়েছে। তাদের সর্ব সাম্প্রতিক তথ্য ২০১৫ সালের ফেব্রুয়ারির। আর বিজনেস ইউনিভার্সাল ডেভেলপমেন্ট ব্যাংক সম্পর্কে প্রতিবেদনে বলা হয়েছে, ব্যাংকটির ২৫১ মেগাবাইটের ফাইল ২০১০ সালের মে মাসে চুরি করে হ্যাকার গ্রুপ বোজকার্টলার। এতে ব্যাংকটির সিনিয়র কর্তৃপক্ষের সঙ্গে ব্যবস্থাপকদের মাইক্রোসফট আউটলুকের মাধ্যমে ই-মেইল যোগাযোগের তথ্য রয়েছে। এছাড়া এতে মোবাইল ব্যাংকিংয়ের গ্রাহকদের মোবাইল নম্বর, ইউজার নেইম, এনক্রিপটেড পাসওয়ার্ড ও গ্রাহকের আইডিসহ বিস্তারিত তথ্য রয়েছে। তাদের সর্ব সাম্প্রতিক তথ্য ২০১৫ সালের জানুয়ারির। উল্লেখ্য, গত ফেব্রুয়ারিতে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে রক্ষিত বাংলাদেশ ব্যাংকের রিজার্ভের ৮ কোটি ১০ লাখ ডলার চুরি যায়। হ্যাকাররা সুইফট মেসেজিং সিস্টেমের মাধ্যমে ভুয়া বার্তা পাঠিয়ে এই টাকা বেহাত করে। এ নিয়ে ব্যাপক আলোচনা-সমালোচনা শুরু হলে বাংলাদেশ ব্যাংকের গভর্নর ড. আতিউর রহমান পদত্যাগ করতে বাধ্য হন। এছাড়া সিটি ব্যাংকসহসহ ঢাকায় চারটি ব্যাংকের এটিএম বুথে ‘স্কিমিং ডিভাইস’ বসিয়ে কার্ড ক্লোন করে গ্রাহকের ব্যক্তিগত তথ্য ও টাকা চুরির ঘটনা ঘটে। বাংলাদেশ ব্যাংকের তথ্য অনুযায়ী, এসব ব্যাংকগুলোর ৩৬টি কার্ড ক্লোন করে ২০ লাখ ৬০ হাজার টাকা তুলে নেয় জালিয়াতরা। ওই চক্র অন্তত ১ হাজার ২০০ কার্ডের তথ্য চুরি করে বলেও তদন্তে জানা যায়। এসব ঘটনায় করা এক মামলার এজাহারের সঙ্গে এটিএম বুথের সিসি ক্যামেরার ছবি দেখে পিওতর সিজোফেন নামে এক বিদেশী ও সিটি ব্যাংকের চার কর্মকর্তাকে গ্রেফতার করা হয়।
