বাংলাদেশের তিনটি ব্যাংকের ডাটা (তথ্য) নিজেরা কুক্ষিগত করেছে বলে দাবি করেছে তুরস্কের একটি হ্যাকার দল।

‘বোজকার্টলার’ (স্থানীয়ভাবে ‘ধূসর নেকড়ে’) নামের ওই হ্যাকার গ্রুপের কাছে দক্ষিণ এশিয়ার মোট পাঁচটি ব্যাংকের বিপুল পরিমাণ তথ্য রয়েছে বলে জানিয়েছে যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তাবিষয়ক ওয়েবসাইট ‘ডাটাব্রিচটুডে ডটকম’।

বাংলাদেশের যে তিনটি ব্যাংকের তথ্য চুরি হয়েছে সেগুলো হচ্ছে ডাচ-বাংলা ব্যাংক, দ্য সিটি ব্যাংক ও ট্রাস্ট ব্যাংক। এ ছাড়া নেপালের বিজনেস ইউনিভার্সাল ডেভেলপমেন্ট ব্যাংক ও সানিমা ব্যাংকের তথ্য চুরি করেছে হ্যাকার দলটি।

গত ১০ মে ‘বোজকার্টলার’ এসব তথ্য নিজেদের ওয়েবসাইটে তুলে দেয়। পরদিন (১১ মে) তথ্যগুলো নিজেদের টুইটার অ্যাকাউন্টে শেয়ার করে। পাশাপাশি হ্যাকার দলটি হুমকি দেয়, খুব তাড়াতাড়িই এশিয়ার আরো ব্যাংকের তথ্য কুক্ষিগত করে তারা প্রকাশ করবে।

কুক্ষিগত করা পাঁচটি ব্যাংকের সব তথ্যই হ্যাকার দলটি অনলাইনে পোস্ট করেছে বলে অনুমান করেছেন সাইবার নিরাপত্তাবিষয়ক বিশেষজ্ঞরা। এরই মধ্যে হ্যাকাররা ডাচ-বাংলা ব্যাংক এবং নেপালের সানিমা ব্যাংকের তথ্য ‘ওয়েবশেল’ সিস্টেমে আপলোড করেছে।

উইকিপিডিয়ার তথ্যমতে, ‘ওয়েবশেল’ হলো ব্যাংকের নিরাপত্তায় একটি বিশেষ কোড বা সংকেত। আর এই ‘ওয়েবশেল’ কম্পিউটার সার্ভারে ঢুকিয়ে যে কেউ সংশ্লিষ্ট ব্যাংকের পুরো ব্যবস্থা নিয়ন্ত্রণের সুযোগ পায়। এ ছাড়া এর মাধ্যমে মূল নিরাপত্তাব্যবস্থায় থাকা সংরক্ষিত তথ্যাবলিও হাতিয়ে নেওয়া যায়।

এর আগে এই হ্যাকার দলটি কাতারের ন্যাশনাল ব্যাংক (কিউএনবি) এবং সংযুক্ত আরব আমিরাতের (ইউএই) ইনভেস্ট ব্যাংকেরও তথ্য কুক্ষিগত করে ফাঁস করেছিল বলে জানিয়েছে ‘ডাটাব্রিচটুডে ডটকম’।

তবে এই তথ্য চুরির বিষয়ে যোগাযোগ করে ‘হ্যাকিংয়ের শিকার’ ব্যাংকগুলোর কাছ থেকে কোনো প্রতিক্রিয়া পাওয়া যায়নি বলে জানিয়েছে যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তাবিষয়ক ওয়েবসাইট। এদিকে আজ শুক্রবার সাপ্তাহিক ছুটির দিন থাকায় বাংলাদেশের ব্যাংক তিনটির সঙ্গে যোগাযোগ করা সম্ভব হয়নি।

‘ডাটাব্রিচটুডে’-তে প্রকাশিত তথ্য অনুযায়ী, কুক্ষিগত করা তথ্যের মধ্যে সিটি ব্যাংকের ১১ দশমিক ২ মেগাবাইট, ডাচ-বাংলা ব্যাংকের ৩১২ কিলোবাইট ও ট্রাস্ট ব্যাংকের ৯৫ কিলোবাইট আকারের স্প্রেডশিট এবং অন্যান্য ফাইল রয়েছে। এ ছাড়া নেপালের বিজনেস ইউনিভার্সাল ডেভেলপমেন্ট ব্যাংক ও সানিমা ব্যাংকের ফাইলগুলোর আকার যথাক্রমে ২৫১ ও ৪৭ মেগাবাইট।

ব্যাংকের ফাঁস হওয়া বিপুল এই তথ্যের মধ্যে আছে গ্রাহকের ব্যক্তিগত তথ্য (পরিচয়, ঠিকানাসহ বিস্তারিত), ব্যাংক লেনদেনের রেকর্ড (ইউজার আইডি, ই-মেইল ঠিকানা, ইউজার নেইম ও এনক্রিপটেড পাসওয়ার্ড) এবং এটিএম কার্ডের আইডি পাসওয়ার্ড। তবে কাতারের কিউএনবি ও সংযুক্ত আরব আমিরাতের ইনভেস্ট ব্যাংকের মতো এগুলোতে কোনো ক্রেডিট কার্ড নম্বর নেই বলে বিশেষজ্ঞদের বরাত দিয়ে ‘ডাটাব্রিচটুডে’ উল্লেখ করেছে।

উইকিপিডিয়ার তথ্য অনুযায়ী, সারা বিশ্বে হ্যাকিংয়ের জন্য কুখ্যাত হ্যাকার দল ‘বোজকার্টলার’ বা ‘ধূসর নেকড়ে’ নিজেদের একটি তুর্কি জাতীয়তাবাদী সংগঠন হিসেবে দাবি করে। তবে ‘উগ্র জাতীয়তাবাদী’ অথবা ‘নব্য ফ্যাসিস্ট’ হিসেবেও কুখ্যাতি আছে তাদের। ‘ন্যাশনালিস্ট মুভমেন্ট পার্টি’ নামে একটি যুব সংগঠনের সঙ্গে এই হ্যাকার দলটি ওতপ্রোতভাবে জড়িত, যারা নিজেদের ‘সশস্ত্র যুব শাখা’ হিসেবেও দাবি করে থাকে।

কোন ব্যাংকের কী তথ্য চুরি

সিটি ব্যাংক : সিটি ব্যাংকের ১১ দশমিক ২ মেগাবাইটের ফাঁস হওয়া তথ্যের মধ্যে আছে একটি স্প্রেডশিট। যাতে কমপক্ষে ১০ লাখ গ্রাহকের নাম, বাবার নাম, মায়ের নাম, জন্ম তারিখ, বয়স, ই-মেইল এবং স্থায়ী ঠিকানা রয়েছে। তবে এই স্প্রেডশিটটির সর্বশেষ তথ্য ২০১৫ সালের জুন মাসের বলে জানিয়েছে ‘ডাটাব্রিচটুডে’।

ডাচ-বাংলা ব্যাংক : ডাচ-বাংলা ব্যাংকের ৩১২ কিলোবাইট আর্কাইভের মধ্যে রয়েছে বিপুলসংখ্যক গ্রাহকের ব্যাংক লেনদেনের রেকর্ড (সরাসরি অথবা ইন্টারনেট ব্যাংকিং)। একজন ইন্টারনেট ব্যাংকিং নিরাপত্তা বিশেষজ্ঞের বরাতে ‘ডাটাব্রিচটুডে’ জানায়, ফাঁস হওয়া তথ্য থেকে ব্যাংকের এটিএম ট্রানজেকশন অ্যানালাইজারে প্রবেশ করানো যাচ্ছে।

ওই গবেষক আরো জানান, ব্যাংকটির অধিকাংশ ব্যাবহারকারীর ইউজার নেইম ও পাসওয়ার্ড খুবই সহজ বা ডিফল্ট। এ ছাড়া ডাচ-বাংলা ব্যাংকের ওয়েবসাইটে ঝুঁকির উপাদান আছে বলেও উল্লেখ করেন ওই নিরাপত্তা বিশেষজ্ঞ।

ট্রাস্ট ব্যাংক :  ট্রাস্ট ব্যাংকের ফাঁস হওয়া ৯৬ কিলোবাইট তথ্যের মধ্যে রয়েছে দুটি স্প্রেডশিট। আর এর মধ্যে গ্রাহকদের ইউজার নেইম-আইডি, ই-মেইল ঠিকানা এবং এনক্রিপটেড পাসওয়ার্ড রয়েছে। তবে এই ব্যাংকের ক্ষেত্রেও হ্যাক হওয়া স্প্রেডশিটগুলোর সর্বশেষ তথ্য ২০১৫ সালের জুন মাসের বলে জানা গেছে।

এদিকে তুরস্কের হ্যাকারদের ‘তথ্য চুরির’ ঘটনাটির আগেও চলতি বছর বাংলাদেশের ব্যাংক সেক্টরে বড় দুটি জালিয়াতির ঘটনা ঘটেছিল।

গত ৬ থেকে ১২ ফেব্রুয়ারির মধ্যে রাজধানীর এটিএম বুথে ‘স্কিমিং ডিভাইস’ বসিয়ে গ্রাহকের ব্যক্তিগত তথ্য ঘটনা জানাজানি হলে আলোড়ন সৃষ্টি হয়। সে সময় গ্রাহকের ব্যক্তিগত তথ্য চুরির পর ডেবিট কার্ড ক্লোন করে টাকা তুলে নেওয়া হয়েছিল। বেসরকারি ইস্টার্ন, সিটি, ইউনাইটেড কমার্শিয়াল (ইউসিবি) ও মিউচুয়্যাল ট্রাস্ট ব্যাংকের গুলশান, বনানী ও মিরপুর কালশী এলাকার ছয়টি এটিএম বুথে এই জালিয়াতির ঘটনা ঘটেছিল বলে জানিয়েছে বাংলাদেশ ব্যাংক।

তথ্য অনুযায়ী, এসব ব্যাংকের ৩৬টি কার্ড ক্লোন করে ২০ লাখ ৬০ হাজার টাকা তুলে নেয় জালিয়াতরা। ওই চক্র অন্তত এক হাজার ২০০ কার্ডের তথ্য চুরি করে বলেও তদন্তে জানা যায়।

এ ছাড়া ফেব্রুয়ারির শুরুতে সুইফট মেসেজিং সিস্টেমের মাধ্যমে ভুয়া বার্তা পাঠিয়ে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে রক্ষিত বাংলাদেশের রিজার্ভের ১০ কোটি ১০ লাখ মার্কিন ডলার চুরি হয়।

চুরি যাওয়া ওই অর্থের মধ্যে শ্রীলঙ্কা থেকে দুই কোটি ডলার উদ্ধার করা হয়েছে। আর ফিলিপাইনে চলে যাওয়া আট কোটি ১০ লাখ ডলারের সিংহভাগেরই কোনো হদিস মিলছে না। এ ঘটনায় আনুষ্ঠানিকভাবে বাংলাদেশ ও ফিলিপাইনে আলাদা তদন্ত চলছে।