'আরোগ্য সেতু' অ্যাপের সুরক্ষা বিধি নিয়ে বিতর্ক ক্রমশ বাড়ছে। সুরক্ষা অ্যাপ কর্তৃপক্ষের আশ্বাসের পরও ফরাসি হ্যাকার দাবি করেছেন, কয়েকটি সমস্যার সমাধান হয়েছে মাত্র।
রবার্ট ব্যাপটাইজ নামে ওই হ্যাকার বিশ্লেষণ করে দেখান, সংসদ ভবনের মতো গুরুত্বপূর্ণ জায়গায় কতজন করোনায় আক্রান্ত হয়েছেন, সেই তথ্য তিনি কীভাবে সংগ্রহ করতে পারেন। তাতে অবশ্য বিপদ দেখছেন না অ্যাপের ডেভেলপাররা। তাঁদের দাবি, অ্যাপটি এমনভাবে তৈরি করা হয়েছে, যাতে ব্যবহারকারীরা জানতে পারেন, আশপাশের এলাকায় কতজন অসুস্থ আছেন, আক্রান্ত হয়েছেন বা সুস্থ আছেন। তবে সেই যুক্তি উড়িয়ে দিয়েছেন এলিয়ট অ্যালডারসন ছদ্মনাম ব্যবহারকারী ওই হ্যাকার। একই কথা বলেছেন এক সাইবার বিশেষজ্ঞ।
বিভিন্ন বিশেষজ্ঞরা যে আশঙ্কা প্রকাশ করেছিলেন অ্যালডারসনও সেই একই বিষয়ে প্রশ্ন তুলেছেন। অ্যালডারসনের দাবি, লোকেশনের কার্যকারিতার সঙ্গে Triangulation নামে একটি কৌশল ব্যবহার করা যেতে পারে। যার ফলে প্রযুক্তিগত স্তরে প্রোগামটিকে যে কেউ প্রভাবিত করতে পারবেন এবং কোনও নির্দিষ্ট জায়গায় (এক মিটারের মধ্যে) কে আক্রান্ত, তা সহজেই বের করা যেতে পারে।
Triangulation বলতে সেই একাধিক ডেটা পয়েন্ট ব্যবহারের কৌশলকে বোঝায়, যা নির্দিষ্ট কোনও তথ্য বা লোকেশনকে ছোটো করে আনে। সাইবার সুরক্ষা গবেষক আনন্দ ভি বলেন, ‘API-তে একাধিক কলের মাধ্যমে লোকেশন ট্র্যাকিং হল Triangulation। যা প্রতিবার একটি কম ভ্যালু নির্বাচন করে। ধরুন প্রথমবার পাঁচ কিলোমিটার হচ্ছে, পরেরবার তা এক কিলোমিটার হবে।’ তিনি জানান, পুরো অ্যাপের নকল করা যেতে পারে।
আনন্দের কথায়, ‘অ্যালডারসন যেটা করেছেন, তা হল তিনি আরোগ্য সেতুর পরিবর্তিত অ্যাপ তৈরি করেছেন। যেটা হওয়ার কথা নয়। আর সেই বিষয়টি ডেভেলপাররা ততক্ষণ ধরতে পারেননি, যতক্ষণ না অ্যালডারসন বিষয়টি নজরে এনেছেন।’ সেজন্য রীতিমতো আশঙ্কিত আনন্দ। তাঁর বক্তব্য, ‘ভাবুন, কোনও রিপোর্ট না করে এটা যদি আইএসআই বা অন্যরা করত। ’ বিশেষজ্ঞদের মতে, অ্যাপটি বাধ্যতামূলক হওয়ায় তা দেশি-বিদেশি অপরাধীদের কাছে বড়সড় সুযোগ হয়ে উঠেছে।
তা যে অমূলক নয়, ইতিমধ্যে তার ইঙ্গিত কিছুটা মিলেছে। গত ৩০ এপ্রিল আধিকারিকদের উদ্ধৃত করে সংবাদসংস্থা পিটিআই জানিয়েছে, আরোগ্য সেতু অ্য়াপের নকল ভার্সন থেকে সেনা, আধাসামরিক বাহিনীর জওয়ানদের সতর্ক থাকতে বলা হয়েছে।
যদিও MyGov-এর সিইও অভিষেক সিংয়ের বক্তব্য, অ্যালডারসনের দাবি ভুল। ন'কোটি ব্যবহারকারীর মধ্যে মাত্র ০.০৫ শতাংশের তথ্য সার্ভারে রয়েছে। তিনি বলেন, ‘অ্যাপটি প্রাথমিক তথ্য নেয়। যেমন গোপনীয়তা নীতিতে বলা রয়েছে। ব্যক্তিগত তথ্য একবার সংগ্রহ করা হয় এবং তা এনক্রিপ্টেড থাকে। এরপর ডিভাইস আইডি তৈরি করা হয়। তারপর থেকে যাবতীয় আদানপ্রদান ডিভাইস আইডির মাধ্যমে হয়।’
মঙ্গলবার রাতে অ্যাপ কর্তৃপক্ষের তরফে একইরকম দাবি করা হয়েছে। একটি বিবৃতিতে বলা হয়েছে, 'কোনও গ্রাহকের কোনও ব্যক্তিগত তথ্য বিপদে আছে বলে প্রমাণ পাওয়া যায়নি।' অ্যাপ থেকেই সেটির গোপনীয়তা নীতি (প্রাইভেসি নীতি) পড়া যায় বলে জানানো হয়েছে। কর্তৃপক্ষের দাবি, অ্যাপটি গ্রাহকের লোকেশন সংগ্রহ করে তা সার্ভারে জমা করে, যা সুরক্ষিত, এনক্রিপটেড, পরিচয়হীন। কোনও গ্রাহক যখন রেজিস্টার করেন, নিজে মূল্যায়ন করেন, এবং অ্যাপের মাধ্যমে স্ব-ইচ্ছায় সংস্পর্শে আসা সংক্রান্ত তথ্য দেন, তখনই তাঁর লোকেশন সংক্রান্ত তথ্য নেওয়া হয়।
তবে আনন্দের মতে, বুধবার যে দুর্বলতাগুলি সামনে এসেছে, তা 'আরোগ্য সেতু'-র অন্যতম মূল বিষয়। তাঁর কথায়, ‘লোকেশন তথ্য সংগ্রহ করা অর্থহীন। এটা গোপনীয়তার দুঃস্বপ্ন। আর আজকের (বুধবার) সামনে আসা তথ্য ঠিক সেই কারণটাই বলছে।’
তবে শুধু একটাই নয়, অ্যাপের কমপক্ষে আরও দুটি বিষয় নিয়ে উদ্বিগ্ন বিশেষজ্ঞরা। সংস্পর্শে আসা ব্যক্তিদের ইতিহাস জমা রাখার জন্য একটি static ID ব্যবহার করে 'আরোগ্য সেতু'। এটার অর্থ, যে দু'জন ব্যক্তি সংস্পর্শে এসেছেন, তাঁদের সেই তথ্যের হিসেব রাখা হয়। যদি সংস্পর্শে আসা দু'জন ব্যক্তির মধ্যে সংক্রমণ ছড়ায়, তাহলে 'র্যান্ডমলি জেনারেটেড আইডেন্টিফায়ার' ব্যবহার করে সংশ্লিষ্ট ডিভাইসটি চিহ্নিত করে রাখা হয়। এই আইডেন্টিফায়ার পরিবর্তিত হয় না। যার অর্থ, কেউ যদি এই static ID-এর চাবি খুলে ফেলেন, তাহলে সংশ্লিষ্ট ব্যক্তির স্বাস্থ্য পরিস্থিতি ট্র্যাক করতে পারবেন। অ্যালডারসনও বিষয়টি দেখান যে তিনি কীভাবে অ্যাপের মধ্যে ঢুকে অ্যাপের যে কোনও ফাইল (যেগুলি অ্যাপ ব্যবহার করতে পারে) ব্যবহার করতে পারছেন না। তার মধ্যে static ID জমা করা ফাইলও রয়েছে।
আনন্দের মতে, তৃতীয় বিষয়টি হল যে অ্যাপের কোড ওপেন সোর্স নয়। অর্থাৎ অ্যাপের কার্যকারিতা ও দুর্বলতা পরীক্ষা করা যাবে না। তিনি বলেন, ‘আস্থা গড়ে তুলতে এটা ওপেন সোর্স করা হোক। ফাঁদ পাতবেন না এবং অন্যদিকে চলে যাবেন না, যা মহামারী চলে যাওয়ার পরও দীর্ঘদিন থাকবে।’
অন্যদিকে রবার্টের বক্তব্য, ‘আমি খুশি যে ওরা (অ্যাপ কর্তৃপক্ষ) দ্রুত উত্তর দিয়েছে এবং কয়েকটি সমস্যার সমাধান করেছে। কিন্তু সত্যি কথা বলতে, মিথ্যা কথা বলা বন্ধ করুন, অগ্রাহ্য করা বন্ধ করুন।’
যদিও তথ্য ও প্রযুক্তি মন্ত্রকের এক কর্তার বক্তব্য, কোনওটাই প্রমাণ করছে না যে 'আরোগ্য সেতু' হ্যাক করা গিয়েছে। নাম গোপন রাখার শর্তে তিনি বলেন, ‘আরোগ্য সেতুতে কোনওরকম হ্যাকিং বা গোপনীয়তা ফাঁস হয়নি। লোকেশন পরিবর্তন ও তথ্যের মধ্যে কো-রিলেশন করে হ্যাকিং হিসেবে দেখানোর অপেশাদার চেষ্টার উপর ভিত্তি করে অভিযোগ তোলা হচ্ছে। কোনও একটি নির্দিষ্ট জায়গায় যে কাউকেই একই তথ্য দেখাবে। মহামারীর মধ্যে দৃষ্টি আকর্ষণের বাজে চেষ্টা করবেন না।’