বিদেশে পড়াশোনা, চাকরি কিংবা ব্যবসায়িক প্রয়োজনে নথি সত্যায়নের সরকারি ই–অ্যাপোস্টিল সেবা ব্যবহার করতে গিয়ে ভয়াবহ তথ্যঝুঁকির মুখে পড়েছেন শতাধিক নাগরিক। একটি ভুয়া ওয়েবসাইটের মাধ্যমে অন্তত ১ হাজার ১০০ জনের সংবেদনশীল ব্যক্তিগত নথি প্রকাশ্যে চলে এসেছে—যার মধ্যে রয়েছে জাতীয় পরিচয়পত্র, পাসপোর্ট, বিয়ের সনদ, শিক্ষা সনদ, ট্রেড লাইসেন্স ও ব্যবসায়িক চুক্তিপত্রের মতো গুরুত্বপূর্ণ তথ্য।

ভুক্তভোগীদের বড় একটি অংশ জানিয়েছেন, তাঁরা সরাসরি সরকারি ওয়েবসাইটে আবেদন না করে দোকান বা মধ্যস্থতাকারীর সহায়তা নিয়েছিলেন। তবে সাইবার নিরাপত্তা বিশেষজ্ঞদের মতে, নাগরিক নিজে আবেদন করুক বা অন্যের মাধ্যমে—সরকারি সেবার আদলে তৈরি ভুয়া প্ল্যাটফর্মে এত বিপুল তথ্য জমা পড়া ডিজিটাল গভর্ন্যান্সে গুরুতর দুর্বলতার ইঙ্গিত দেয়।

কী এই ই–অ্যাপোস্টিল সেবা

বিদেশে ব্যবহারের জন্য বাংলাদেশের সরকারি নথি আইনগতভাবে গ্রহণযোগ্য করতে পররাষ্ট্র মন্ত্রণালয়ের সত্যায়ন প্রয়োজন হয়। এই প্রক্রিয়া সহজ ও ডিজিটাল করতে তথ্য ও যোগাযোগপ্রযুক্তি বিভাগের এটুআই প্রোগ্রামের আওতায় মাইগভ প্ল্যাটফর্মে চালু করা হয় ই–অ্যাপোস্টিল সেবা। সনদের সঙ্গে থাকা কিউআর কোড স্ক্যান করলেই নথির সত্যতা যাচাই করা যায়। এটুআইয়ের তথ্য অনুযায়ী, গত ১১ মাসে প্রায় ১৭ লাখ আবেদন নিষ্পত্তি হয়েছে।

ভুয়া সাইটে তথ্য উন্মুক্ত

সরকারি ই–অ্যাপোস্টিল সাইটটি ডট বিডি ডোমেইনে পরিচালিত হলেও, যেখান থেকে তথ্য ফাঁস হয়েছে সেটি ডট নিউজ ডোমেইনের একটি নকল ওয়েবসাইট। এটুআই কর্মকর্তারা বলছেন, সরকারি সাইটের অবিকল নকশায় তৈরি এই ভুয়া প্ল্যাটফর্মে প্রতারণার ফাঁদ পেতেছে একটি চক্র।

পরিদর্শনে দেখা গেছে, গত ১২ অক্টোবর থেকে ১১ ডিসেম্বরের মধ্যে অন্তত ১ হাজার ১০০টি ভুয়া ই–অ্যাপোস্টিল সনদ তৈরি করা হয়েছে। সনদের সঙ্গে সংশ্লিষ্ট ব্যক্তিদের এনআইডি, পাসপোর্ট, নিকাহনামা ও ব্যবসায়িক কাগজপত্র উন্মুক্ত অবস্থায় ছিল—যা যে কেউ সহজেই দেখতে পারছে।

আরও উদ্বেগজনক হলো, কিউআর কোড স্ক্যান করার পর যে ওয়েব ঠিকানায় তথ্য দেখানো হয় সেখানে ধারাবাহিক নম্বর ব্যবহার করা হয়েছে। নম্বর সামান্য বদলালেই অন্য ব্যক্তির নথিতে প্রবেশ করা সম্ভব—কোনো লগইন বা পরিচয় যাচাই ছাড়াই।

পরিচিত নিরাপত্তা ত্রুটি, বড় ঝুঁকি

সাইবার বিশেষজ্ঞরা বলছেন, এটি ‘ইনসিকিউর ডিরেক্ট অবজেক্ট রেফারেন্স (IDOR)’ নামে পরিচিত একটি মারাত্মক নিরাপত্তা ত্রুটি। ধারাবাহিক নম্বরের বদলে এলোমেলো ও ইউনিক আইডেন্টিফায়ার ব্যবহার করলে এ ধরনের অননুমোদিত প্রবেশ অনেকাংশে রোধ করা যেত।

প্রথম আলো তথ্য ফাঁস হওয়া ২০ জনের সঙ্গে যোগাযোগের চেষ্টা করে ৯ জনের সঙ্গে কথা বলেছে। সবাই নিশ্চিত করেছেন, প্রকাশ্যে থাকা নথিগুলো তাঁদেরই। তবে কেউই আগে জানতেন না যে তাঁদের তথ্য ফাঁস হয়ে গেছে। বিষয়টি জানার পর ভুক্তভোগীদের মধ্যে চরম উদ্বেগ দেখা দেয়।

একাধিক ভুয়া ডোমেইন শনাক্ত

তথ্যপ্রযুক্তি বিভাগের এটুআই সাইবার নিরাপত্তা দল তদন্ত চালিয়ে মাইগভ ও ই–অ্যাপোস্টিল সেবার নামে অন্তত ছয়টি ভুয়া ও লুক–এ–লাইকের ওয়েবসাইট শনাক্ত করেছে। এসব ডোমেইনে ‘মাইগভ’ ও ‘অ্যাপোস্টিল’-এর কাছাকাছি বানান ব্যবহার করে নাগরিকদের বিভ্রান্ত করা হচ্ছিল। তদন্তে ফিশিং, ব্যক্তিগত তথ্য চুরি ও আর্থিক প্রতারণার উচ্চ ঝুঁকির কথাও উঠে এসেছে।

সরকারের ভাষায় ‘স্যাবোটাজ’

ডাক, টেলিযোগাযোগ ও তথ্যপ্রযুক্তি মন্ত্রণালয়ের দায়িত্বপ্রাপ্ত প্রধান উপদেষ্টার বিশেষ সহকারী ফয়েজ আহমদ তৈয়্যব এই ঘটনাকে ‘স্যাবোটাজ’ হিসেবে উল্লেখ করেছেন। তাঁর ভাষায়, তদন্ত প্রতিবেদন হাতে এসেছে এবং সংশ্লিষ্ট সংস্থাকে ব্যবস্থা নিতে বলা হবে। তিনি বলেন, ইতিমধ্যে দেশের কোটি কোটি নাগরিকের তথ্য ডার্ক ওয়েবে ছড়িয়ে পড়েছে—এই তথ্য ব্যবহার করেই সরকারি ডিজিটাল সেবার ওপর আস্থা নষ্ট করার চেষ্টা চলছে।

আস্থার সংকট

বিশেষজ্ঞদের মতে, পাসপোর্ট বা বিয়ের সনদের মতো নথি ফাঁস হলে পরিচয় চুরি, জালিয়াতি ও ব্যক্তিগত নিরাপত্তাঝুঁকি বহুগুণ বেড়ে যায়। ঢাকা বিশ্ববিদ্যালয়ের অধ্যাপক বি এম মইনুল হোসেন বলেন, ব্যক্তিগত তথ্য কোনো পাসওয়ার্ড নয়—একবার ফাঁস হলে তা আজীবনের জন্য ঝুঁকিতে থেকে যায়। বারবার এ ধরনের ঘটনায় ডিজিটাল সেবার প্রতি নাগরিকদের আস্থা মারাত্মকভাবে ক্ষতিগ্রস্ত হচ্ছে।

এই প্রেক্ষাপটে, নাগরিকদের তথ্য সুরক্ষায় আন্তর্জাতিক মানের নিরাপত্তা কাঠামো ও কঠোর নজরদারি ছাড়া ডিজিটাল গভর্ন্যান্স টেকসই করা কঠিন—এমন সতর্কবার্তাই দিচ্ছেন সংশ্লিষ্টরা।