বাংলাদেশের তিনটি বাণিজ্যিক ব্যাংকসহ দক্ষিণ এশিয়ার মোট পাঁচটি ব্যাংকের তথ্য চুরি করেছে তুরস্কের হ্যাকারদের একটি দল। যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তা বিষয়ক ওয়েব সাইট’ ডাটা ব্রিচ টুডে’র এক প্রতিবেদনে এ তথ্য জানানো হয়েছে।
তথ্য চুরি যাওয়া বাংলাদেশের তিনটি ব্যাংকের মধ্যে রয়েছে: ডাচ-বাংলা ব্যাংক, দ্য সিটি ব্যাংক ও সেনাবাহিনী পরিচালিত ট্রাস্ট ব্যাংক। ‘বোজকার্টলার’ নামের হ্যাকরদের একটি দল তথ্য চুরির ওই ঘটনার সঙ্গে জড়িত। বাংলাদেশের পাশাপাশি নেপালের দুটি ব্যাংকের তথ্যও চুরি করেছে তারা। সব ডেটাই তারা অনলাইনে প্রকাশ করেছে বলে ধারণা করা হচ্ছে।
‘ডেটাব্রিচটুডে’ বলছে, তথ্য চুরির বিষয়ে তারা ওই পাঁচ ব্যাংকের সঙ্গে যোগাযোগ করলেও ব্যাংকগুলো কোনো প্রতিক্রিয়া দেয়নি।
হ্যাকারদের এই দলটি এর আগে কাতার ন্যাশনাল ব্যাংক ও সংযুক্ত আরব আমিরাতের ইনভেস্টব্যাংকের ডেটা চুরি করেছিল। সব ব্যাংকের ডেটা সম্বলিত আর্কাইভগুলো তারা একটি টুইটার অ্যাকাউন্টে পোস্ট করেছে বলে ‘ডেটাব্রিচটুডে’র প্রতিবেদনে জানানো হয়েছে।
শিগগিরই এশিয়ার আরও ব্যাংকের ডেটা হ্যাক করার হুমকি দিয়েছে বোজকার্টলার (ধূসর নেকড়েরা)।
ডেটা বিশ্লেষণ
এই হ্যাকার গ্রুপের ওপর নজর রাখেন এমন সাইবার নিরাপত্তা বিশেষজ্ঞদের বরাত দিয়ে ‘ডেটাব্রিচটুডে’ বলছে, এই পাঁচ ব্যাংকের চুরি করা ডেটা আসল বলেই মনে হচ্ছে, যদিও কাতার ন্যাশনাল ব্যাংক ও ইনভেস্টব্যাংকের চুরি করা ডেটার তুলনায় পরিমাণে তা অনেক কম।
চুরি করা ডেটার মধ্যে সিটি ব্যাংকের ১১.২ মেগাবাইট, ডাচ-বাংলার ৩১২ কিলোবাইট ও ট্রাস্ট ব্যাংকের ৯৫ কিলোবাইট আকারের ফাইল রয়েছে। এছাড়া নেপালের দুই ব্যাংকের ফাইলগুলোর আকার যথাক্রমে ২৫১ ও ৪৭ মেগাবাইট।
ওমার বেনবোয়াজ্জা নামে এক সাইবার সিকিউরিটি ইঞ্জিনিয়ারকে উদ্ধৃত করে প্রতিবেদনে বলা হয়, হ্যাকাররা সানিমা ব্যাংক ও ডাচ-বাংলা ব্যাংকে ওয়েবশেল আপলোড করেছে তার মনে হয়েছে। কাতার ন্যাশনাল ব্যাংকের ক্ষেত্রেও একই কাজ করা হয়েছিল।
ওয়েবশেল হলো একটি কোড, যা কম্পিউটার বা সার্ভারে ঢুকিয়ে দিতে পারলে হ্যাকার অ্যাডমিন সুবিধা ও পুরো সিস্টেম নিয়ন্ত্রণের সুযোগ পায়। এর মাধ্যমে সিস্টেমে সংরক্ষিত তথ্যও বের করে আনা যায়।
কী আছে ডেটায়?
হ্যাকাররা পাঁচ ব্যাংকের নামে যেসব ডেটা অনলাইনে ছেড়েছে, তা প্রাথমিকভাবে বিশ্লেষণের পর একজন গবেষক ডেটাব্রিচটুডেকে বলেছেন, হ্যাকিংয়ের বিষয়টি উদ্বেগজনক হলেও আগের দুই ব্যাংকের মতো ‘ততোটা গুরুত্বপূর্ণ’ তথ্য এগুলোতে নেই।
“কিউএনবি ও ইনভেস্টব্যাংকের মতো এগুলোতে কোনো ক্রেডিট কার্ড নম্বর নেই। প্রত্যেকটি ব্যাংকের তথ্য আলাদাভাবে ধরে এগুলোর সত্যতা যাচাইয়ের চেষ্টা করা হচ্ছে।”
ডাচ-বাংলা ব্যাংক
ওই গবেষক বলছেন, এই ব্যাংকের ৩১২ কেবি আর্কাইভে গ্রাহকের ব্যাংকিং লেনদেনের রেকর্ড রয়েছে।
এর মধ্যে কিছু ডেটা থেকে অ্যাডমিনের সত্যায়নকারী গোপন তথ্য (আইডি, পাসওয়ার্ড) তিনি পেয়েছেন, যা ব্যবহার করে পাবলিক ইন্টারনেট থেকে ব্যাংকের এটিএম ট্রানজেকশন অ্যানালাইজারে ঢুকতে পেরেছিলেন ওই গবেষক।
তিনি বলছেন, ওইসব ইউজার নেইম ও পাসওয়ার্ড খুবই সহজ বা ডিফল্ট।
“ডাচ-বাংলা ব্যাংকের ওয়েবসাইটে ঝুঁকির উপাদান রয়েছে বলে দেখা যাচ্ছে। এর ফলে ইন্টারনেট সার্ভার বা ফাইলে অনুপ্রবেশের সুযোগ তৈরি হতে পারে।”
ট্রাস্ট ব্যাংক
ডেটাব্রিচটুডে জানিয়েছে, ট্রাস্ট ব্যাংকের ৯৬ কেবি ডেটার মধ্যে দুটি স্প্রেডশিট রয়েছে, যেগুলোতে ইউজার আইডি, ইমেইল ঠিকানা, ইউজার নেইম ও এনক্রিপটেড পাসওয়ার্ড রয়েছে। এর মধ্যে সর্ব সাম্প্রতিক তথ্য ২০১৫ সালের জুনের।
দ্য সিটি ব্যাংক
এই ব্যাংকের ১১.২ এমবি ডেটার একটি স্প্রেডশিট রয়েছে, যাতে লাখো গ্রাহকের ব্যক্তিগত তথ্য রয়েছে বলে ডেটাব্রিচটুডে জানিয়েছে।
এর মধ্যে গ্রাহকের পরিচয় ও ঠিকানাসহ বিস্তারিত তথ্য রয়েছে। তাদের সর্ব সাম্প্রতিক তথ্য ২০১৫ সালের অগাস্টের।
সম্প্রতি সিটি ব্যাংকসহসহ ঢাকায় চারটি ব্যাংকের এটিএম বুথে ‘স্কিমিং ডিভাইস’ বসিয়ে গ্রাহকের ব্যক্তিগত তথ্য চুরির ঘটনা জানাজানি হলে আলোড়ন সৃষ্টি হয়।
বাংলাদেশ ব্যাংকের তথ্য অনুযায়ী, এসব ব্যাংকগুলোর ৩৬টি কার্ড ক্লোন করে ২০ লাখ ৬০ হাজার টাকা তুলে নেয় জালিয়াতরা। ওই চক্র অন্তত ১২০০ কার্ডের তথ্য চুরি করে বলেও তদন্তে জানা যায়।
এসব ঘটনায় করা এক মামলার এজাহারের সঙ্গে এটিএম বুথের সিসি ক্যামেরার ছবি দেখে পিওতর সিজোফেন নামে এক বিদেশি ও সিটি ব্যাংকের চার কর্মকর্তাকে গ্রেপ্তার করা হয়।
পিওতর এটিএম জালিয়াতিতে ৪০ থেকে ৫০ জন্য জড়িত থাকার তথ্য দিয়েছে বলে পুলিশের ভাষ্য।
এছাড়া ফেব্রুয়ারির শুরুতে সুইফট মেসেজিং সিস্টেমের মাধ্যমে ভুয়া বার্তা পাঠিয়ে ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কে রক্ষিত বাংলাদেশের রিজার্ভের আট কোটি ১০ লাখ ডলার ফিলিপিন্সে সরিয়ে নেওয়া হয়, যাকে বিশ্বের অন্যতম বড় সাইবার চুরির ঘটনা বলা হচ্ছে।