1. [email protected] : jashim sarkar : jashim sarkar
  2. [email protected] : mohammad uddin : mohammad uddin
মঙ্গলবার, ২৫ জানুয়ারী ২০২২, ০৭:৪০ পূর্বাহ্ন

ব্যবহারকারীদের সংবেদনশীল মেসেজ, নম্বর সংরক্ষণ করছে পাঠাও!

হাতে থাকা স্মার্টফোনটির নিরাপত্তায় নিত্য নতুন যোগ হচ্ছে নানা প্রযুক্তি। এর মধ্যে রয়েছে ফিঙ্গার প্রিন্ট, পিন কোডের ব্যবহারসহ বিভিন্ন প্রযুক্তি। এসব প্রযুক্তি ব্যবহার করে একজন ব্যবহারকারী তার মোবাইল ফোনে থাকা মেসেজ, নম্বরসহ অন্যান্য সব তথ্য বেহাত হওয়া থেকে রক্ষা করেন। আর এসব সংবেদনশীল তথ্যই গ্রাহকদের অজান্তে নিয়ে নিচ্ছে দেশীয় রাইড শেয়ারিং প্রতিষ্ঠান পাঠাও। শুধু নিয়ে যাওয়া নয়, নিজস্ব সার্ভারে সেগুলো সংরক্ষণও করছে।

গ্রাহকের অভিযোগের পরিপ্রেক্ষিতে প্রিয়.কমের অনুসন্ধানে বিষয়টির সত্যতা মিলেছে। পাঠাও কর্তৃপক্ষও বিষয়টি স্বীকার করেছে। তবে তাদের দাবি, গ্রাহকদের ‘সর্বোচ্চ নিরাপত্তা’ দিতেই তারা এসব তথ্য সংগৃহ করছেন।

অনুসন্ধানে দেখা গেছে, পাঠাও অ্যাপস ডাউনলোড করার পর থেকেই মোবাইল ফোন থেকে পাঠাওয়ের কাছে চলে যাচ্ছে সব মেসেজ, ফোন নম্বর, ইন্সটল করা অ্যাপস সংক্রান্ত তথ্য। একই সঙ্গে চলে যাচ্ছে মোবাইলের হার্ডওয়ার সংক্রান্ত তথ্যও। এসব তথ্য যোগ হচ্ছে পাঠাওয়ের রিমোট সার্ভারে।

পাঠাওয়ের প্রাইভেসি পলিসিতে পাঠাও কী কী তথ্য সংরক্ষণ করে এই বিষয়ে বিস্তারিত লেখা রয়েছে। সেখানে ব্যবহারকারীর নম্বর সংরক্ষণের কথা উল্লেখ থাকলেও মোবাইল ফোনে থাকা অন্যান্য তথ্যসহ নম্বর সংরক্ষণের বিষয়ে কিছু লেখা নেই।

পাঠাওয়ের ঘোষিত পলিসি অনুযায়ী, তারা তাদের কাছে ব্যবহারকারীদের সংরক্ষিত তথ্য তৃতীয় পক্ষের সঙ্গে শেয়ার করতে পারবে।ব্যবহারকারীদের এসব তথ্য পর্যালোচনার কাজে ব্যবহার করতে পারবে পাঠাও।

অ্যাপ বিশেষজ্ঞরা কী বলছেন বিষয়টি নিয়ে কাজ করেছেন আশিক ইসতিয়াক ইমন নামের এক ব্যক্তি। তিনি জানান, তিনি একজন ইনফরমেশন সিকিউরিটি রিসার্চার।

ইমন জানান, তিনি এই পরীক্ষার জন্য লিনাক্স অপারেটিং সিস্টেম, এমআইটিএম প্রক্সি প্রযুক্তি এবং বুরপ সুইট কমিউনিটি এডিশন ভি১.৭.৩৬ নামে একটি সফটওয়্যার ব্যবহার করেন।তিনি আরও জানান, সফটওয়্যারটির মাধ্যমে একটি অ্যাপ কী তথ্য পাঠাচ্ছে তা মনিটর করা সম্ভব। মনিটরের এক পর্যায়ে তিনি দেখেন, এপিআই. পাঠাও.কম এই লিঙ্কের মাধ্যমে ব্যবহারকারীর সব এসএমএস, কন্টাক্ট নম্বর নিয়ে নিচ্ছে পাঠাও। এসব তথ্য যোগ হয় পাঠাওয়ের রিমোট সার্ভারে। ইমনের আশঙ্কা, এর মাধ্যমে ব্যবহারকারীদের ব্যক্তিগত তথ্য হাতিয়ে নিচ্ছে পাঠাও। ফলে পাঠাওয়ের সার্ভারে হ্যাকাররা হানা দিলে বেহাত হয়ে যেতে পারে পাঠাও গ্রাহকদের গোপনীয় তথ্য।

তিনি প্রিয়.কমকে আরও জানান, পাঠাওয়ের কাছে সব মেসেজ সংরক্ষণ থাকায় তারা একজন ব্যবহারকারীর গোপন বার্তা সম্পর্কে জানতে পারছে। একই সঙ্গে যেসব মাধ্যমে ওয়ান টাইম পাসওয়ার্ডের (ওটিপি) প্রয়োজন হয় সেসবও তাদের কাছে চলে যাচ্ছে। এসব তথ্যকোনোভাবে হ্যাকারদের কাছে চলে গেলে ভয়াবহ পরিস্থিতি সৃষ্টি হতে পারে।

অ্যাপ বিশেষজ্ঞ নুরুল হুদা রবিন বলেন, ‘যেসব অ্যাপে ওটিপি কোডের মাধ্যমে মোবাইল ভেরিফিকেশনের প্রয়োজন পড়ে তারা সাধারণত এসএমএস পড়ার অনুমতি নিয়ে থাকে যাতে ভেরিফিকেশন কোড স্বয়ংক্রিয়ভাবে বসে যায়। কিন্তু অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (এপিআই) দিয়ে তা সার্ভারে সংরক্ষণ হলে তা কেন করা হচ্ছে তা গ্রাহককে জানানো প্রয়োজন।

‘এসব এসএমএস যথাযথ এনক্রিপ্ট (যা সাধারণ মানুষ পড়তে পারবে না) না করে সংরক্ষণ হলে হ্যাকারদের কবলে পড়ে আপনার গুরুত্বপূর্ণ তথ্য বেহাত হয়ে যেতে পারে। যার মাঝে থাকতে পারে আপনজনকে পাঠানো ব্যক্তিগত এস এম এস, আপনার বেতন বা অ্যাকাউন্ট নম্বরের মতো গুরুত্বপূর্ণ তথ্য।’

‘ফিচারের প্রয়োজনে অ্যাপ অনেক রকম পারমিশন চাইতে পারে। কিন্তু তা কীভাবে ব্যবহার করা হবে তা জানা গ্রাহকের অধিকার। এ ছাড়া কোন ব্যক্তিগত তথ্য সংরক্ষণ করা হলে তা মুছে ফেলা বা নিয়ন্ত্রণের অধিকারও গ্রাহকের থাকা উচিত। কিছুদিন আগে ফেসবুকের মতো প্রতিষ্ঠান গ্রাহকের প্রাইভেসি ইস্যুতে প্রশ্নবিদ্ধ হয় এবং তাদের সিস্টেমে অনেক পরিবর্তন করতে বাধ্য হয়। আমাদের দেশে গ্রাহকের ব্যক্তিগত তথ্যের নিরাপত্তার জন্য যথেষ্ট নীতিমালার অভাব থেকে থাকতে পারে’, যোগ করেন রবিন।

পাঠাওয়ের ভাষ্য

এ বিষয়ে জানতে পাঠাও কর্তৃপক্ষের সঙ্গে যোগাযোগ করে প্রিয়.কম। পাঠাও কর্তৃপক্ষের দাবি, ব্যবহারকারীদের সর্বোচ্চ নিরাপত্তা দিতেই মেসেজ ও নম্বর সংরক্ষণ করে থাকে পাঠাও।

পাঠাও কর্তৃপক্ষ ওটিপি কোডের জন্য মেসেজ পড়ার অনুমতি পেলেও মেসেজ সংরক্ষণের ক্ষমতা রাখে কি না জানতে চাইলে পাঠাওয়ের ভাইস প্রেসিডেন্ট আহমেদ ফাহাদ বলেন, ‘আমরা ইনফরমেশনগুলো নিচ্ছি কিছু সুর্নিদিষ্ট কারণে। একটি হচ্ছে ওটিপির কারণে। আরেকটি হচ্ছে, মনে করেন কোনো একটি মেয়ে প্রতিদিন রাতের বেলা ৯টার দিকে বের হন। তার একটি সেফটির (নিরাপত্তা) বিষয় রয়েছে। সে অফলাইনে রাইড নিচ্ছে না অনলাইনে রাইড নিচ্ছে। সে যদি বিপদে পড়ে তাহলে তার কাছের মানুষদের কীভাবে আমি কন্টাক্ট করবো? যদি আমার কাছে টেক্সট মেসেজ না থাকে, কন্টাক্ট নম্বর না থাকে তাহলে আমি তার পরিবারের সঙ্গে কীভাবে যোগাযোগ করবো? আমি নিচ্ছি, এ কারণেই নিচ্ছি।’

গ্রাহকের মেসেজ সংরক্ষণ ব্যাতীত পাঠাও অ্যাপের কার্যক্রমে কোনো সমস্যার সৃষ্টি হবে কি না, এমন প্রশ্নের জবাবে তিনি একই উদাহরণ টেনে বলেন, ‘প্রশ্নটি আপনার এমন হওয়া উচিত যে, আমরা কাস্টমারকে সেফ রাখতে পারবো কি না? বেলা (কাল্পনিক নাম) যদি আমার ফোনটি না ধরে তাহলে আমি কাউকে অ্যালার্ট করতে পারবো কি না। আমি কাকে ইনফর্ম করবো যদি আমি নাই জানি তার নাম বা নম্বরগুলো? ও যদি এসএমএস না পাঠাতে পারে তাহলে ও কীভাবে বলবে সে ডেঞ্জারে (বিপদে)?’

যারা এই ডাটা সমৃদ্ধ সার্ভার মেইনটেইন করছে তারা এই তথ্য হাতিয়ে নিতে পারে- এমন আশঙ্কার বিষয়ে ফাহাদের দাবি, যারাই এই সার্ভারের সঙ্গে নিযুক্ত রয়েছেন তাদের এই তথ্য এক্সেস করার অনুমতি বা ক্ষমতা নেই।তিনি বলেন, ‘এসব মেসেজ কারও পড়া বা দেখার সুযোগ নেই। কারণ পলিসি লেভেলেই এই বিষয়ে পদক্ষেপ নেওয়া রয়েছে।’ফাহাদ বলেন, ‘আমাদের পলিসি খুব শক্তিশালী। আমরা ব্যবহারকারীদের মেসেজ পড়তে পারবো না। সে ইঞ্জিনিয়ারই হোক বা ডাটা সিকিউরিটির দায়িত্বে থাকা কোনো ব্যক্তিই হোক। আমরা চাই মানুষ আমাদের ওপর ভরসা রাখুক। কারণ আমাদের দ্বারা তাদের কোনো ক্ষতি হবে না।’

এদিকে ফাহাদ তথা পাঠাও কর্তৃপক্ষের এই যুক্তিকে অযৌক্তিক হিসেবে দাবি করছেন অ্যাপ ডেভেলাপররা। তাদের মতে পাঠাও রাইডার বা পাঠাও চালকের ব্যক্তিগত তথ্যের পাশাপাশি জিপিএস সংক্রান্ত তথ্য পাঠাওয়ের কাছে যাচ্ছে। যা একজন ব্যবহারকারীকে উদ্ধারের জন্য পর্যাপ্ত।আজাহার উদ্দিন নামে এক অ্যাপ ডেভেলাপার বলেন, ‘নম্বর বা মেসেজ, এই ব্যক্তিগত তথ্য পাঠাওয়ের পড়ার ক্ষমতা থাকলেও তার সেটি সংরক্ষণের অধিকার নেই। কিন্তু তা তারা করছে। আর কেউ বিপদে পড়লে তাকে উদ্ধার করার দায়িত্ব পাঠাওয়ের না, দেশের আইনশৃঙ্খলা বাহিনীর। প্রয়োজন পড়লে পাঠাও তাদের তথ্য দিয়ে সহায়তা করতে পারে।’

ডিজিটাল নিরাপত্তা আইন কী বলছে

চলতি বছরের ৮ অক্টোবর ডিজিটাল নিরাপত্তা আইন ২০১৮ গেজেট আকারে প্রকাশ হয়েছে। আইনের কোথাও ‘ব্যক্তিগত গোপনীয়তা’ নামে কোনো বিষয় সংজ্ঞায়িত করা হয়নি। একই সঙ্গে আইনে মোবাইল ফোনের নম্বর বা মেসেজ সংরক্ষণ বা এর ব্যবহার বিধি সম্পর্কে কোনো কিছু লেখা নেই।তবে ‘ব্যক্তি’ শব্দটির সংজ্ঞা দেওয়া হয়েছে। এই সংজ্ঞা অনুযায়ী, কোনো ব্যক্তি বা প্রতিষ্ঠান, কোম্পানি, অংশীদারি কারবার, ফার্ম বা অন্য কোনো সংস্থা, ডিজিটাল ডিভাইসের ক্ষেত্রে উহার নিয়ন্ত্রণকারী এবং আইনের মাধ্যমে সৃষ্ট কোনো সত্তা বা কৃত্রিম আইনগত সত্তাও ইহার অন্তর্ভুক্ত হইবে।

আইনের ২৬ ধারায় বলা হয়েছে, যদি কোনো ব্যক্তি আইনগত কর্তৃত্ব ব্যতিরেখে অপর কোনো ব্যক্তির পরিচিতি তথ্য সংগ্রহ, বিক্রয়, দখল, সরবরাহ বা ব্যবহার করেন, তাহা হইলে উক্ত ব্যক্তির অনুরূপ কার্য হইবে একটি অপরাধ।‘পরিচিতি তথ্য’ শব্দটির অর্থ হিসেবে বলা হয়েছে, কোনো বাহ্যিক, জৈবিক বা শারীরিক তথ্য বা অন্য কোনো তথ্য যাহা এককভাবে বা যৌথভাবে একজন ব্যক্তি বা সিস্টেমকে শনাক্ত করে, যাহার নাম, ছবি, ঠিকানা, জন্ম তারিখ, মাতার নাম, পিতার নাম, স্বাক্ষর, জাতীয় পরিচয়পত্র, জন্ম ও মৃত্যু নিবন্ধন নম্বর, ফিঙ্গার প্রিন্ট, পাসপোর্ট নম্বর, ব্যাংক হিসাব নম্বর, ড্রাইভিং লাইসেন্স, ই-টিআইএন নম্বর, ইলেকট্রনিক বা ডিজিটাল স্বাক্ষর, ব্যবহারকারীর নাম, ক্রেডিট বা ডেবিট কার্ড নম্বর, ভয়েজ প্রিন্ট, রেটিনা ইমেজ, আইরেস ইমেজ, ডিএনএ প্রোফাইল, নিরাপত্তামূলক প্রশ্ন বা অন্য কোনো পরিচিতি যাহা প্রযুক্তির উৎকর্ষতার জন্য সহজলভ্য।

আইনে কোনো ব্যক্তি অনুমতি ছাড়া এই পরিচিতি তথ্য সংগ্রহ, ব্যবহার করলে আর্থিক ও কারাদণ্ডের বিধান রয়েছে।

প্রিয় প্রযুক্তি/কামরুল

আরো পড়ুন