নিরাপত্তা দুর্বলতা রয়েছে বিকাশ অ্যাপের

::ভোরের পাতা ডেস্ক::

বিকাশ মোবাইল ওয়ালেট ব্যবহারকারী একজনের সেলফোনে ফোন আসে ১৬ মে দুপুরে। বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে অন্য প্রান্ত থেকে বলা হয়, সেবার মান বৃদ্ধির কাজ চলছে— দয়া করে আপনার বিকাশ অ্যাকাউন্টের পিন নম্বরটি দিন। বিষয়টি সন্দেহজনক মনে হওয়ায় নিজের পিন নম্বরটি গোপন করে চার ডিজিটের অন্য একটি পিন নম্বর দেন ওই গ্রাহক। এরপর ফোনটি কেটে দেন।

মিনিট তিনেক পর ওই গ্রাহকের ফোন নম্বর (মাস্কিং করা) থেকে আবার ফোন আসে। নিজের নম্বর থেকে ফোন আসায় গ্রাহকের সন্দেহ আরো বেড়ে যায়। দ্রুত সেলফোনটি বন্ধ করে দেন। চালু করেন ১৭ মে রাত ৪টায়। সঙ্গে সঙ্গে বেশ কয়েকটি ভেরিফিকেশন কোডের এসএমএস ভেসে ওঠে স্ক্রিনে। পরে বিকাশ অ্যাকাউন্ট চেক করে দেখেন তিন দফায় ১৫ হাজার ৪০০ টাকা উধাও।

পরদিন বিকাশের গ্রাহকসেবা কেন্দ্রে যান ওই গ্রাহক। পুরো বিষয়টি খুলে বলার পর সেখান থেকে জানানো হয়, উচ্চপ্রযুক্তির মাধ্যমে অ্যাকাউন্ট হ্যাক করে টাকা চুরি করে নেয়া হয়েছে। এ বিষয়ে তাদের (বিকাশ) কিছু করার নেই। বিকাশ অ্যাকাউন্ট থেকে টাকা খোয়া যাওয়ার ঘটনায় পরে পুলিশের কাছে আনুষ্ঠানিক অভিযোগ করেন ওই গ্রাহক।

বিকাশ অ্যাপের নিরাপত্তা দুর্বলতার কারণে অ্যাকাউন্ট থেকে টাকা চুরির আরো কিছু অভিযোগ পেয়েছে পুলিশ। এসব অভিযোগ তদন্ত করে দেখছে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। বিষয়টি নিশ্চিত করে সিআইডির মুখপাত্র ও অর্গানাইজড ক্রাইমের বিশেষ পুলিশ সুপার মোল্যা নজরুল ইসলাম বলেন, এ ধরনের বেশ কয়েকটি অভিযোগ আমাদের কাছে এসেছে। সেগুলো তদন্ত করে দেখা হচ্ছে। তদন্ত শেষে জড়িতদের বিষয়ে ব্যবস্থা নেয়া হবে।

তদন্ত-সংশ্লিষ্টরা বলছেন, দুটি পদ্ধতিতে বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা কাজে লাগাচ্ছে অপরাধীরা। সবচেয়ে বেশি প্রচলিত পদ্ধতিটি হচ্ছে— গ্রাহককে বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে তার অ্যাকাউন্ট নম্বর ও নাম জেনে নেয়া। তারপর কৌশলে গ্রাহককে দিয়ে কিছু নম্বর চেপে সিমটি

ডাইভার্ট করিয়ে নেয়া। এক্ষেত্রে ইউএসএসডি মেনুর শর্টকোড ব্যবহার করা হয়। গ্রাহকও অনেক সময় এটি বুঝে উঠতে পারেন না। এরপর বিকাশ অ্যাপের মাধ্যমে ভেরিফিকেশন কোডের আবেদন জানানো হয়। ফিরতি মেসেজে বিকাশ যে ভেরিফিকেশন কোডটি পাঠায়, সেটি চলে যায় সরাসরি অপরাধীদের হাতে। ওই ভেরিফিকেশন কোড দিয়েই অ্যাপে প্রবেশ করে পিন নম্বর পরিবর্তনের আবেদন জানায় অপরাধীরা। পরে তারা নতুন পিন নম্বর সৃষ্টি করে ওই অ্যাকাউন্টের টাকা সরিয়ে নেয়। এ পদ্ধতিতে সফল না হলে বিকল্প হিসেবে মাস্কিং ও ক্লোনিংয়ের মাধ্যমে গ্রাহকের অ্যাকাউন্টে প্রবেশের সুযোগ নেয় অপরাধীরা।

তদন্ত কর্মকর্তাদের মতে, যে পদ্ধতিই অনুসরণ করা হোক না কেন, সংশ্লিষ্ট গ্রাহকের অ্যাকাউন্টের বিভিন্ন তথ্য জানা অপরাধীদের জন্য গুরুত্বপূর্ণ। পাশাপাশি ওই গ্রাহক অ্যাপ ব্যবহার করছেন কিনা সেটাও জানা থাকতে হবে। এক্ষেত্রে দুটি উপায়ে এ তথ্য পাওয়া সম্ভব। সেবাদাতা প্রতিষ্ঠানের কেন্দ্রীয় সার্ভার হ্যাকিংয়ের মাধ্যমে তাতে প্রবেশ করে তথ্য সংগ্রহ করা যেতে পারে। প্রতিষ্ঠানের অভ্যন্তরীণ কর্মীদের মাধ্যমেও এসব তথ্য সংগ্রহ করা সম্ভব। গ্রাহকের পিন নম্বর ও অ্যাকাউন্ট ব্যালান্সের তথ্য থাকার পরও যাচাইকরণ কোডটিও গুরুত্বপূর্ণ। এটি তারা সংগ্রহ করছে গ্রাহককে প্রলুব্ধ করে অথবা সিম ক্লোনিংয়ের মাধ্যমে।

নতুন অ্যাপটির বিষয়ে বিকাশের একাধিক এজেন্টের সঙ্গে যোগাযোগ করা হলে তারাও এর নিরাপত্তা নিয়ে আশঙ্কার কথা জানান। তারা বলছেন, অ্যাপটির মাধ্যমে লেনদেন সহজ হলেও নিরাপত্তার বিষয়টি নিশ্চিত করা সম্ভব হয়নি। কারণ যেকোনো ডিভাইস থেকে অ্যাপটির অ্যাকসেস পাওয়া সম্ভব। ফলে অন্যের ফোন নম্বর ও পিন নম্বর জানা থাকলে যেকোনো ডিভাইস থেকেই অ্যাপটির মাধ্যমে লেনদেনও করা যায়।

তবে নিরাপত্তাজনিত সব ধরনের ঝুঁকি যাচাই-বাছাই করেই অ্যাপটি চালু করা হয়েছে বলে জানান বিকাশের প্রধান নির্বাহী কর্মকর্তা কামাল কাদীর। তিনি বলেন, তার পরও এতে নিরাপত্তা-সংক্রান্ত কোনো ঝুঁকি থেকে থাকলে তা গুরুত্বের সঙ্গে পর্যালোচনা করে ব্যবস্থা নেবে বিকাশ।

বিকাশ অ্যাপে ভেরিফিকেশনের যে ব্যবস্থা রাখা হয়েছে, তাতে নিরাপত্তা নিয়ে ঝুঁকির আশঙ্কা আছে বলে মনে করেন প্রযুক্তি বিশেষজ্ঞরা। কারণ হিসেবে তারা বলছেন, বিকাশের অ্যাপটির নিরাপত্তার বিষয়টি এখন পর্যন্ত এসএমএসভিত্তিক। সিম ও ডিভাইস শনাক্তকরণের কোনো ব্যবস্থা রাখা হয়নি এতে। নিরাপত্তার এ ত্রুটির সুযোগ নিয়ে অপরাধীরা সহজেই যেকোনো বিকাশ অ্যাপ ব্যবহারকারীর অ্যাকাউন্টের তথ্য চুরি করে টাকা হাতিয়ে নিতে পারছেন।

এশিয়া-প্যাসিফিক নেটওয়ার্ক অপারেটর গ্রুপের (এপনিক) পলিসি সিগের কো-চেয়ার ও সাইবার নিরাপত্তা বিশেষজ্ঞ সুমন আহমেদ সাবির বলেন, সাধারণত ভাইবার, হোয়াটসঅ্যাপের মতো একবার ব্যবহারযোগ্য পাসওয়ার্ড (ওটিপি) ভিত্তিক বিভিন্ন অ্যাপ আর্থিক লেনদেনের জন্য ব্যবহার হয় না। তবে ব্যক্তিগত তথ্যের সুরক্ষার জন্য প্রাথমিক নিরাপত্তা ব্যবস্থা হিসেবে এগুলোয় ওটিপি রাখা হয়। আর্থিক লেনদেনের জন্য নিরাপত্তার বিষয়টি নিয়ে সেভাবে ভাবতে হবে। সিম ক্লোন হয়ে গেলে এবং যদি সেটি চালু রাখা যায়, তবে খুব সহজেই অ্যাকাউন্টের নিরাপত্তা ভেঙে ফেলা সম্ভব। সিম ক্লোনিং একটা বাস্তবতা। ফলে এটি মেনে নিয়েই শুধু ওটিপির ওপর নির্ভর করলে এমন ঘটনা ঘটতে পারে। এক্ষেত্রে নানা ধরনের অথেনটিকেশন ও ভেরিফিকেশনের ব্যবস্থা রাখা যেতে পারে।

মোবাইল ওয়ালেটের নিরাপত্তা নিশ্চিতে কোনো কোনো সেবাদাতা প্রতিষ্ঠান সেলফোন নম্বরের সঙ্গে অতিরিক্ত নম্বর যোগ করছে। এছাড়া সিমনির্ভর নিরাপত্তা ব্যবস্থাও রাখা হয়েছে। ফলে কোনো গ্রাহকের সিম রিপ্লেসমেন্টের ঘটনা ঘটলে তাত্ক্ষণিকভাবে সংশ্লিষ্ট ওয়ালেট বন্ধ হয়ে যাচ্ছে। নির্দিষ্ট সময় পর গ্রাহকের পরিচয় নিশ্চিত হয়ে ওয়ালেটটি পুনরায় চালু করা হচ্ছে।

উল্লেখ্য, গত ১৫ মে আনুষ্ঠানিকভাবে নিজেদের প্রথম অ্যাপ চালুর ঘোষণা দেয় বিকাশ। তবে গুগল প্লে স্টোরে এটি ২৫ এপ্রিল থেকে পাওয়া যায়। এর আগে থেকে প্রতিষ্ঠানটির ইউএসএসডিভিত্তিক লেনদেন ব্যবস্থা চালু ছিল। অ্যাপের ব্যবহার বাড়াতে এতে লেনদেনে কম চার্জ নেয়ার ঘোষণা দিয়েছে প্রতিষ্ঠানটি। অ্যাপে ক্যাশ আউট করলে হাজারে খরচ হবে ১৫ টাকা। আর অ্যাপের বাইরে লেনদেনে ক্যাশ আউটের খরচ ১৮ টাকা।

সূত্র: বণিক বার্তা

একটি উত্তর ত্যাগ

Please enter your comment!
Please enter your name here