ভারতের প্রায় ১০ কোটি ক্রেডিট ও ডেবিট কার্ডধারীর ডাটা ডার্ক ওয়েবে অজ্ঞাত পরিমাণ অর্থের বিনিময়ে বিক্রি করা হয়েছে। গত রোববার দেশটির স্বতন্ত্র সাইবার সিকিউরিটি গবেষক রাজশেখর রাজহরিয়া এমন দাবি করেছেন। খবর ইটি টেলিকম।
রাজশেখর রাজহরিয়ার দাবি অনুযায়ী, বেঙ্গালুরুভিত্তিক ডিজিটাল পেমেন্ট গেটওয়ে জাসপের সার্ভার থেকে হ্যাকিংয়ের মাধ্যমে হাতিয়ে নেয়া এ বিপুল পরিমাণ ডাটা ডার্ক ওয়েবে বিক্রি করা হয়েছে।
যদিও জাসপে জানিয়েছে, সাইবার হামলার ঘটনায় কোনো কার্ডের নম্বর কিংবা আর্থিক তথ্য বেহাত হয়নি। ই-মেইল ও ফোন নম্বরের মতো কিছু ডাটা ফাঁস হলেও প্রকৃত সংখ্যাটি ১০ কোটির চেয়ে অনেক কম।
বিবৃতিতে সংস্থাটির এক মুখপাত্র বলেছেন, গত বছরের ১৮ আগস্ট তাদের সার্ভারগুলোতে একটি হ্যাকিংয়ের চেষ্টা চলমান থাকার সময়ই তা শনাক্ত করা হয় এবং তাত্ক্ষণিকভাবে সেটিকে প্রতিহত করা হয়েছিল। এ ঘটনায় কোনো কার্ড নম্বর, আর্থিক বিবরণী কিংবা লেনদের তথ্য বেহাত হয়নি। পরিবর্তে হ্যাকাররা অজ্ঞাতনামা কিছু ডাটা, প্লেইন-টেক্সট ই-মেইল ও ফোন নম্বর সংবলিত কিছু ডাটা রেকর্ড হাতিয়ে নিতে সক্ষম হয়েছে।
কিন্তু রাজশেখর রাজহরিয়ার দাবি, ডার্ক ওয়েবে ডাটাগুলো বিটকয়েনের মাধ্যমে অঘোষিত মূল্যে বিক্রি করা হয়েছিল। এ বিপুলসংখ্যক ডাটার জন্য হ্যাকাররা টেলিগ্রামের মাধ্যমে যোগাযোগ করেছে। যদিও জাসপে ব্যবহারকারীদের কার্ডের তথ্য সংরক্ষণে পেমেন্ট কার্ড ইন্ডাস্ট্রির ডাটা সিকিউরিটি স্ট্যান্ডার্ড (পিসিআই ডিএসএস) অনুসরণ করেছে। তবে হ্যাকাররা যদি কার্ডের ফিঙ্গারপ্রিন্ট তৈরি করতে ব্যবহূত হ্যাশ অ্যালগরিদমটি জানতে পারে, তাহলে তারা লুকানো কার্ড নম্বরটি ডিক্রিপ্ট করতে সক্ষম হবে। এ অবস্থায় ১০ কোটি কার্ডধারী ঝুঁকির মধ্যে রয়েছেন।
সাইবার সিকিউরিটি গবেষক রাজশেখর রাজহরিয়ার দাবি, জাসপের ফাঁস হওয়া তথ্যের আকার ২ গিগাবাইট। এসব তথ্যের মধ্যে রয়েছে ব্যবহারকারীর অ্যাকাউন্টের তথ্য এবং ব্যবহারকারীর সুইচ অন মোবাইল অ্যালার্ট আছে কি নেই।
তিনি বলেন, আর্থিক তথ্য হ্যাকার এবং স্ক্যামারদের জন্য অত্যন্ত মূল্যবান। কারণ তারা ফিশিং বা অন্যান্য হামলার জন্য ব্যক্তিগত তথ্যের বিশদ ব্যবহার করতে পারে।? যদিও ফাঁস হওয়া তথ্যে কোনো কার্ড নম্বর যুক্ত নেই।
রাজশেখর রাজহরিয়ার মতে, ব্যাংকে ক্রেডিট/ডেবিট কার্ডের জন্য যোগাযোগ করা থার্ড পার্টি সেবার মাধ্যমে এসব তথ্য বেহাত হতে পারে। বিপুলসংখ্যক কার্ড ব্যবহারকারীর প্যান নম্বরও ফাঁস হয়েছে বলে জানিয়েছেন তিনি।
সংস্থাটি স্বীকার করেছে, হ্যাকাররা জাসপের ডেভেলপার কীগুলোর একটিতে প্রবেশাধিকার পেয়েছিল এবং যেকোনো প্রবেশযোগ্য ডাটায় প্রবেশের চেষ্টায় ডেভেলপার অ্যাকাউন্টে নতুন গণনা সার্ভার তৈরি করেছিল। তাছাড়া লুকানো যে কার্ড নম্বরগুলো ফাঁস হয়েছে, সেগুলো সংবেদনশীল বলে বিবেচনা করা হয় না।
সংস্থাটির মুখপাত্র বলেন, কেবল কয়েকটি ফোন নম্বর ও ই-মেইল ঠিকানা ফাঁস হয়েছে, যেগুলোর ডামি ভ্যালু রয়েছে। ঘটনার দিনই জাসপে ব্যবসায়ী অংশীদারদের ডাটা ফাঁস সম্পর্কে অবহিত করেছিল। হ্যাকাররা কোনো কার্ড নম্বরে প্রবেশ করতে পারেনি। কারণ এগুলো সম্পূর্ণ আলাদা বিচ্ছিন্ন সিস্টেমে সংরক্ষণ করা হয়। কোনো লেনদেন কিংবা অর্ডারের তথ্য বেহাত হয়নি। আমরা সুরক্ষা ও তথ্য বিশেষজ্ঞদের সঙ্গে ডাটা ব্যবস্থাপনা শক্তিশালী করতে দীর্ঘমেয়াদি বিনিয়োগ করছি।
২০১২ সালে প্রতিষ্ঠিত জাসপে গত বছর সিরিজ বি তহবিল রাউন্ডের মাধ্যমে ২ কোটি ১৬ লাখ ডলার বিনিয়োগ সংগ্রহ করেছিল। এ রাউন্ডের নেতৃত্বে ছিল সুইডেনের ভোস্টক ইমার্জি ফিন্যান্স (ভিইএফ) নামের একটি প্রতিষ্ঠান। সংস্থাটি ভারতে প্রথমবারের মতো বিনিয়োগের লক্ষ্যে প্রযুক্তি প্রতিষ্ঠানে ১ কোটি ৩০ লাখ ডলার বিনিয়োগ করেছে।