ঢাবি পোর্টাল হ্যাক হয়েছে, ২০ হাজার ইউজারের তথ্য বেহাত
ঢাকা বিশ্ববিদ্যালয়ের (ঢাবি) অনলাইন পোর্টাল হ্যাক করার মাধ্যমে সম্প্রতি প্রায় ৭০ গিগাবাইট (জিবি) ডাটা হাতিয়ে নেওয়ার দাবি করেছে হ্যাকাররা। এতে শিক্ষক, শিক্ষার্থী, কর্মকর্তা, অ্যালামনাইসহ প্রায় ২০ হাজার ব্যবহারকারীর ইউজার আইডি, পাসওয়ার্ডসহ বিভিন্ন ব্যক্তিগত ও গোপনীয় তথ্য হ্যাকারদের হাতে চলে গেছে বলে ধারণা করা হচ্ছে।
এ ছাড়া সার্ভারের ইএনভি ফাইলে বিশ্ববিদ্যালয়ের ডাটাবেজের ক্রেডেন্সিয়াল সংরক্ষিত থাকায় মূল ডাটাবেজের একটি কপিও হ্যাকাররা হাতিয়ে নিয়ে থাকতে পারে বলে আশঙ্কা করা হচ্ছে। সেক্ষেত্রে বিশ্ববিদ্যালয়ের সবার ব্যক্তিগত বিভিন্ন তথ্যও হ্যাকারদের আয়ত্তে চলে যাওয়ার সুযোগ রয়েছে।
এরই মধ্যে গত ২৪ ডিসেম্বর হ্যাকারদের ‘সিস্টেমবিডিএডমিন (অফিসিয়াল)’ নামের একটি টেলিগ্রাম চ্যানেলে জানানো হয়, সিস্টেমএডমিনবিডি কর্তৃক ঢাকা বিশ্ববিদ্যালয়ের ডাটাবেজ (৭০ জিবির বেশি) ফাঁস করা হবে। শফিউর রহমান ফারাবীকে (লেখক অভিজিৎ রায় হত্যা মামলার অন্যতম আসামি) মুক্তি না দেওয়া অবধি তাদের এই ‘অপারেশন ফ্রিডম’ চলমান থাকবে।
হ্যাকিংয়ের বিষয়টি স্বীকার করে বিশ্ববিদ্যালয় কর্তৃপক্ষ বলছে, সিস্টেমে কিছু ত্রুটির কারণে পোর্টাল হ্যাক হয়েছিল। তবে দ্রুততার সঙ্গে ওয়েবসাইট হ্যাকারদের কবল থেকে মুক্ত করা হয়েছে। ভবিষ্যতে হ্যাকাররা আর পোর্টালটি হ্যাক করতে পারবে না বলেই তাদের বিশ্বাস। তবে ৭০ জিবি ডাটা হাতিয়ে নেওয়ার অভিযোগ সত্য নয় বলেও দাবি তাদের।
জানা যায়, গত ২৮ নভেম্বর রাতে ঢাবির অনলাইন পোর্টালটি (Ssl.du.ac.bd) হ্যাকিংয়ের শিকার হয়। তখন এতে প্রবেশ করার পর ইংরেজিতে ‘হ্যাকড বাই সিস্টেমএডমিনবিডি, উই আর মুসলিম ব্ল্যাকহ্যাটস অ্যান্ড স্পাই এজেন্টস’ লেখা দেখা যায়। পরদিন বিশ্ববিদ্যালয়ের জনসংযোগ দপ্তরের এক বিজ্ঞপ্তিতে বলা হয়, ঢাকা বিশ্ববিদ্যালয়ের মূল ওয়েবসাইটের একটি অংশ হ্যাকড হওয়ার পর দ্রুততার সঙ্গে সেটি পুনরুদ্ধার করা হয়েছে। হ্যাকিংয়ের বিষয়টি বিশ্ববিদ্যালয় কর্তৃপক্ষের দৃষ্টিগোচর হওয়ার পর আইসিটি সেলের প্রযুক্তিবিদরা দ্রুততম সময়ের মধ্যে ওয়েবসাইটটি পুনরুদ্ধার করেন।
সে সময় বিভিন্ন সংবাদমাধ্যমে ঢাবির পোর্টালটি একবার হ্যাক হওয়ার খবর প্রকাশ হলেও গত নভেম্বরের পর থেকে পোর্টালটি মোট তিন দফায় হ্যাকারদের কবলে পড়েছে বলে সংশ্লিষ্ট কয়েকজন জানিয়েছেন। তারা জানান, তিনবার হ্যাকিংয়ের মাধ্যমে হ্যাকাররা মূল সার্ভারের পূর্ণ নিয়ন্ত্রণ নিতে সক্ষম হয়েছিলেন। যার কারণে সার্ভারের অধিকাংশ তথ্যই হ্যাকাররা হাতিয়ে নিতে সক্ষম হয়েছে বলে মনে করা হচ্ছে। যদিও বিশ্ববিদ্যালয়ের আইসিটি সেলপ্রধানের দাবি, হ্যাকাররা বেশি তথ্য নিতে পারেনি।
তবে বিশ্ববিদ্যালয়ের আইসিটি সেল সূত্রে জানা গেছে, ২০২৪ সালের এপ্রিল থেকে নভেম্বর পর্যন্ত বিশ্ববিদ্যালয়ের অনলাইন পোর্টালে শিক্ষক, শিক্ষার্থী ও কর্মকর্তাসহ যত ব্যবহারকারী লগইন করেছেন, তাদের সবার ইউজার আইডি, পাসওয়ার্ডসহ ব্যক্তিগত ও গোপনীয় তথ্য হ্যাকারদের হাতে চলে গেছে। ক্ষতিগ্রস্ত এই ব্যবহারকারীর সংখ্যা প্রায় ২০ হাজার। হ্যাকার গ্রুপটির দাবি অনুযায়ী, বিশ্ববিদ্যালয়ের সার্ভার থেকে এসব ব্যবহারকারীর প্রায় ৭০ হাজার মেগাবাইট (৭০ গিগাবাইট) ডাটা তারা হাতিয়ে নিয়েছে।
এদিকে, গত ৬ জানুয়ারি ঢাবি আইসিটি সেলের এক কর্মকর্তা ঢাকা বিশ্ববিদ্যালয়ের উপাচার্য বরাবর একটি অভিযোগপত্র দায়ের করেন। এতে বলা হয়, আইসিটি সেল থেকে এ পর্যন্ত যত সফটওয়্যার তৈরি হয়েছে, তার সবকটিই অপেশাদারভাবে তৈরি করা হয়েছে এবং এ ক্ষেত্রে সফটওয়্যার ইঞ্জিনিয়ারিং ও ডেভেলপমেন্টের কোনো নিয়মই অনুসরণ করা হয়নি। বিশ্ববিদ্যালয়ের জন্য তৈরি করা সফটওয়্যারগুলোর কোনো টেকনিক্যাল ডকুমেন্টেশন এখনো তৈরি করা হয়নি। কোনো সফটওয়্যার তৈরি হলে যিনি এর সঙ্গে জড়িত, তাকে ছাড়া সেই সফটওয়্যার রক্ষণাবেক্ষণ, হালনাগাদ বা ফিচার বাড়ানো অসম্ভব। যার কারণে সব সময় এক ব্যক্তির ওপরই নির্ভর করতে হয়।
পাশাপাশি আইসিটি সেলের কম্পিউটার প্রোগ্রামার সাদিক সারোয়ারের বিরুদ্ধেও কিছু অভিযোগ জানান ওই কর্মকর্তা। তার অভিযোগ, সাদিক সারোয়ার সফটওয়্যারের সব এক্সেস নিজের কাছে রাখতে চান এবং অন্যদের দিয়ে কাজ করিয়ে নিজের করা কাজ বলে চালিয়ে দেন, যে কারণে সহকর্মীরা তার প্রতি অসন্তুষ্ট। আর যে কোনো বিশ্ববিদ্যালয়ের অনলাইন পোর্টালে প্রবেশ করার ইউআরএল সাধারণত একটি স্ট্যান্ডার্ড নাম দিয়ে শুরু হয়, কিন্তু বর্তমানে ঢাবির ইউআরএল হলো https://ssl.du.ac.bd এখানকার এসএসএল দিয়ে ‘সাদিক সারোয়ার লিমিটেড’ বোঝানো হয়েছে, যা কর্তৃপক্ষকের অনুমোদন নিয়ে করা হয়নি।
হ্যাকিংয়ের বিষয়ে জানতে চাইলে ঢাবি আইসিটি সেলের কম্পিউটার প্রোগ্রামার সাদিক সারোয়ার বলেন, ‘হ্যাকিংয়ের পর আমাদের একটি কমিটি হয়েছে। কমিটি এ ব্যাপারে কথা বলবে।’
তার বিরুদ্ধে ওঠা অভিযোগ সম্পর্কে জানতে চাইলে তিনি বলেন, ‘আমাকে বিশ্ববিদ্যালয় যে কাজ দেয় সেই কাজ করি, সেটাই আমার দায়িত্ব। আমরা সহকর্মীরা যথেষ্ট মিলেমিশেই চলি, কারও কোনো সমস্যা নেই।’ এ ছাড়া ঢাবির ইউআরএলে থাকা ‘এসএসএল’-এর সঙ্গে তার নামের কোনো সংযোগ নেই বলেও দাবি করেন তিনি।
আইসিটি সেলের সাবেক অনারারি পরিচালক অধ্যাপক ড. মুহাম্মাদ আসিফ হোসাইন খান বলেন, ‘আমি দায়িত্ব ছাড়ার পর পোর্টাল হ্যাক হয়েছে। আমি এ বিষয়ে কিছু বলতে পারব না। আর সাদিক সারওয়ারের বিষয়ে বর্তমান পরিচালককে জিজ্ঞেস করলে ভালো হয়।’
ঢাকা বিশ্ববিদ্যালয়ের আইসিটি সেলের বর্তমান অনারারি পরিচালক অধ্যাপক ড. মোসাদ্দেক হোসাইন কামাল বলেন, ‘হ্যাকারদের ৭০ গিগাবাইট তথ্য হাতিয়ে নেওয়ার বিষয়টি সত্যি নয়। তারা এত ডাটা নিতে পারেনি। বিগত সরকারের সময় দুই বছর আগে থেকেই এই হ্যাকিংয়ের প্রচেষ্টা চলছিল। সিস্টেমে কিছু ত্রুটি ছিল। যার কারণে হ্যাকড হয়। এরপর কমিটি করে আমরা ওয়েবসাইট সিকিউরড করেছি।’
তিনি বলেন, ‘এখন আমাদের সার্ভার শতভাগ নিরাপদ যে, সেটা বলব না। তবে এখন আর হ্যাক করতে পারবে না বলে আমাদের বিশ্বাস। আমরা সবকিছু রিডিজাইন করছি। আগে ডিজাইনে কিছু দুর্বলতা ছিল এটা সত্য। আমাদের আইসিটি সেলে জনবল সংকট রয়েছে। এজন্য যাকে যে দায়িত্ব দেওয়া হয়, সে সেই দায়িত্বই পালন করে। সার্বিক কল্যাণে লোকবল বাড়ানো প্রয়োজন।’