বাংলা নিউজ > ঘরে বাইরে > ‘যদি সমস্যা নজরে না আনা হত’, 'আরোগ্য সেতু' নিয়ে আশঙ্কার মেঘ বিশেষজ্ঞ মহলে
'আরোগ্য সেতু' অ্যাপের সুরক্ষা বিধি নিয়ে বিতর্ক ক্রমশ বাড়ছে। সুরক্ষা অ্যাপ কর্তৃপক্ষের আশ্বাসের পরও ফরাসি হ্যাকার দাবি করেছেন, কয়েকটি সমস্যার সমাধান হয়েছে মাত্র।
রবার্ট ব্যাপটাইজ নামে ওই হ্যাকার বিশ্লেষণ করে দেখান, সংসদ ভবনের মতো গুরুত্বপূর্ণ জায়গায় কতজন করোনায় আক্রান্ত হয়েছেন, সেই তথ্য তিনি কীভাবে সংগ্রহ করতে পারেন। তাতে অবশ্য বিপদ দেখছেন না অ্যাপের ডেভেলপাররা। তাঁদের দাবি, অ্যাপটি এমনভাবে তৈরি করা হয়েছে, যাতে ব্যবহারকারীরা জানতে পারেন, আশপাশের এলাকায় কতজন অসুস্থ আছেন, আক্রান্ত হয়েছেন বা সুস্থ আছেন। তবে সেই যুক্তি উড়িয়ে দিয়েছেন এলিয়ট অ্যালডারসন ছদ্মনাম ব্যবহারকারী ওই হ্যাকার। একই কথা বলেছেন এক সাইবার বিশেষজ্ঞ।
বিভিন্ন বিশেষজ্ঞরা যে আশঙ্কা প্রকাশ করেছিলেন অ্যালডারসনও সেই একই বিষয়ে প্রশ্ন তুলেছেন। অ্যালডারসনের দাবি, লোকেশনের কার্যকারিতার সঙ্গে Triangulation নামে একটি কৌশল ব্যবহার করা যেতে পারে। যার ফলে প্রযুক্তিগত স্তরে প্রোগামটিকে যে কেউ প্রভাবিত করতে পারবেন এবং কোনও নির্দিষ্ট জায়গায় (এক মিটারের মধ্যে) কে আক্রান্ত, তা সহজেই বের করা যেতে পারে।
Triangulation বলতে সেই একাধিক ডেটা পয়েন্ট ব্যবহারের কৌশলকে বোঝায়, যা নির্দিষ্ট কোনও তথ্য বা লোকেশনকে ছোটো করে আনে। সাইবার সুরক্ষা গবেষক আনন্দ ভি বলেন, ‘API-তে একাধিক কলের মাধ্যমে লোকেশন ট্র্যাকিং হল Triangulation। যা প্রতিবার একটি কম ভ্যালু নির্বাচন করে। ধরুন প্রথমবার পাঁচ কিলোমিটার হচ্ছে, পরেরবার তা এক কিলোমিটার হবে।’ তিনি জানান, পুরো অ্যাপের নকল করা যেতে পারে।
আনন্দের কথায়, ‘অ্যালডারসন যেটা করেছেন, তা হল তিনি আরোগ্য সেতুর পরিবর্তিত অ্যাপ তৈরি করেছেন। যেটা হওয়ার কথা নয়। আর সেই বিষয়টি ডেভেলপাররা ততক্ষণ ধরতে পারেননি, যতক্ষণ না অ্যালডারসন বিষয়টি নজরে এনেছেন।’ সেজন্য রীতিমতো আশঙ্কিত আনন্দ। তাঁর বক্তব্য, ‘ভাবুন, কোনও রিপোর্ট না করে এটা যদি আইএসআই বা অন্যরা করত। ’ বিশেষজ্ঞদের মতে, অ্যাপটি বাধ্যতামূলক হওয়ায় তা দেশি-বিদেশি অপরাধীদের কাছে বড়সড় সুযোগ হয়ে উঠেছে।
তা যে অমূলক নয়, ইতিমধ্যে তার ইঙ্গিত কিছুটা মিলেছে। গত ৩০ এপ্রিল আধিকারিকদের উদ্ধৃত করে সংবাদসংস্থা পিটিআই জানিয়েছে, আরোগ্য সেতু অ্য়াপের নকল ভার্সন থেকে সেনা, আধাসামরিক বাহিনীর জওয়ানদের সতর্ক থাকতে বলা হয়েছে।
যদিও MyGov-এর সিইও অভিষেক সিংয়ের বক্তব্য, অ্যালডারসনের দাবি ভুল। ন'কোটি ব্যবহারকারীর মধ্যে মাত্র ০.০৫ শতাংশের তথ্য সার্ভারে রয়েছে। তিনি বলেন, ‘অ্যাপটি প্রাথমিক তথ্য নেয়। যেমন গোপনীয়তা নীতিতে বলা রয়েছে। ব্যক্তিগত তথ্য একবার সংগ্রহ করা হয় এবং তা এনক্রিপ্টেড থাকে। এরপর ডিভাইস আইডি তৈরি করা হয়। তারপর থেকে যাবতীয় আদানপ্রদান ডিভাইস আইডির মাধ্যমে হয়।’
মঙ্গলবার রাতে অ্যাপ কর্তৃপক্ষের তরফে একইরকম দাবি করা হয়েছে। একটি বিবৃতিতে বলা হয়েছে, 'কোনও গ্রাহকের কোনও ব্যক্তিগত তথ্য বিপদে আছে বলে প্রমাণ পাওয়া যায়নি।' অ্যাপ থেকেই সেটির গোপনীয়তা নীতি (প্রাইভেসি নীতি) পড়া যায় বলে জানানো হয়েছে। কর্তৃপক্ষের দাবি, অ্যাপটি গ্রাহকের লোকেশন সংগ্রহ করে তা সার্ভারে জমা করে, যা সুরক্ষিত, এনক্রিপটেড, পরিচয়হীন। কোনও গ্রাহক যখন রেজিস্টার করেন, নিজে মূল্যায়ন করেন, এবং অ্যাপের মাধ্যমে স্ব-ইচ্ছায় সংস্পর্শে আসা সংক্রান্ত তথ্য দেন, তখনই তাঁর লোকেশন সংক্রান্ত তথ্য নেওয়া হয়।
তবে আনন্দের মতে, বুধবার যে দুর্বলতাগুলি সামনে এসেছে, তা 'আরোগ্য সেতু'-র অন্যতম মূল বিষয়। তাঁর কথায়, ‘লোকেশন তথ্য সংগ্রহ করা অর্থহীন। এটা গোপনীয়তার দুঃস্বপ্ন। আর আজকের (বুধবার) সামনে আসা তথ্য ঠিক সেই কারণটাই বলছে।’
তবে শুধু একটাই নয়, অ্যাপের কমপক্ষে আরও দুটি বিষয় নিয়ে উদ্বিগ্ন বিশেষজ্ঞরা। সংস্পর্শে আসা ব্যক্তিদের ইতিহাস জমা রাখার জন্য একটি static ID ব্যবহার করে 'আরোগ্য সেতু'। এটার অর্থ, যে দু'জন ব্যক্তি সংস্পর্শে এসেছেন, তাঁদের সেই তথ্যের হিসেব রাখা হয়। যদি সংস্পর্শে আসা দু'জন ব্যক্তির মধ্যে সংক্রমণ ছড়ায়, তাহলে 'র্যান্ডমলি জেনারেটেড আইডেন্টিফায়ার' ব্যবহার করে সংশ্লিষ্ট ডিভাইসটি চিহ্নিত করে রাখা হয়। এই আইডেন্টিফায়ার পরিবর্তিত হয় না। যার অর্থ, কেউ যদি এই static ID-এর চাবি খুলে ফেলেন, তাহলে সংশ্লিষ্ট ব্যক্তির স্বাস্থ্য পরিস্থিতি ট্র্যাক করতে পারবেন। অ্যালডারসনও বিষয়টি দেখান যে তিনি কীভাবে অ্যাপের মধ্যে ঢুকে অ্যাপের যে কোনও ফাইল (যেগুলি অ্যাপ ব্যবহার করতে পারে) ব্যবহার করতে পারছেন না। তার মধ্যে static ID জমা করা ফাইলও রয়েছে।
আনন্দের মতে, তৃতীয় বিষয়টি হল যে অ্যাপের কোড ওপেন সোর্স নয়। অর্থাৎ অ্যাপের কার্যকারিতা ও দুর্বলতা পরীক্ষা করা যাবে না। তিনি বলেন, ‘আস্থা গড়ে তুলতে এটা ওপেন সোর্স করা হোক। ফাঁদ পাতবেন না এবং অন্যদিকে চলে যাবেন না, যা মহামারী চলে যাওয়ার পরও দীর্ঘদিন থাকবে।’
অন্যদিকে রবার্টের বক্তব্য, ‘আমি খুশি যে ওরা (অ্যাপ কর্তৃপক্ষ) দ্রুত উত্তর দিয়েছে এবং কয়েকটি সমস্যার সমাধান করেছে। কিন্তু সত্যি কথা বলতে, মিথ্যা কথা বলা বন্ধ করুন, অগ্রাহ্য করা বন্ধ করুন।’
যদিও তথ্য ও প্রযুক্তি মন্ত্রকের এক কর্তার বক্তব্য, কোনওটাই প্রমাণ করছে না যে 'আরোগ্য সেতু' হ্যাক করা গিয়েছে। নাম গোপন রাখার শর্তে তিনি বলেন, ‘আরোগ্য সেতুতে কোনওরকম হ্যাকিং বা গোপনীয়তা ফাঁস হয়নি। লোকেশন পরিবর্তন ও তথ্যের মধ্যে কো-রিলেশন করে হ্যাকিং হিসেবে দেখানোর অপেশাদার চেষ্টার উপর ভিত্তি করে অভিযোগ তোলা হচ্ছে। কোনও একটি নির্দিষ্ট জায়গায় যে কাউকেই একই তথ্য দেখাবে। মহামারীর মধ্যে দৃষ্টি আকর্ষণের বাজে চেষ্টা করবেন না।’
ঘরে বাইরে খবর