অর্থনৈতিক প্রতিবেদক: প্রায় নয় বছর আগে যে তিনটি ব্যাংকে হ্যাকারের হানা দেওয়ার খবর সংবাদমাধ্যমে এসেছিল তার মধ্যে সিটি ব্যাংকের নামও ছিল। সম্প্রতি ব্যাংকটির গ্রাহকদের লেনদেনের তথ্য আন্ডারগ্রাউন্ড হ্যাকিং গ্রুপগুলোর কাছে বিক্রির তথ্য দিয়েছে বাংলাদেশ সাইবার সিকিউরিটি ইন্টেলিজেন্স (বিসিএসআই)।
সরকারি ডোমেইন ব্যবহার করা সংস্থাটি গত ৫ জানুয়ারি এক ব্লগ পোস্টে এ তথ্য প্রকাশ করেছে।
সিটি ব্যাংক কর্তৃপক্ষ বলছে, সমস্যাটির সমাধান করা হয়েছে। গ্রাহকদের অর্থ হারানোর কোনো ভয় নেই।
তার আগে ২০১৬ সালের মে মাসে ডাচ-বাংলা, সিটি ও ট্রাস্ট ব্যাংকে তুরস্কের একটি হ্যাকার দলের হামলার খবর আসে।
যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তা বিষয়ক ওয়েবসাইট ডেটাব্রিচটুডে জানিয়েছিল, হ্যাকার দলটি এসব ব্যাংকের ডেটা চুরি করেছে। এশিয়ার আরও কয়েকটি ব্যাংকে হামলার হুমকিও দিয়েছে দলটি।
সাম্প্রতিক সময়ে সিটি ব্যাংকের গ্রাহকদের লেনদেনের তথ্য বিক্রিটির ঘটনাটি আরও বেশি উদ্বেগের।
এ বিষয়ে প্রশ্ন করলে সিটি ব্যাংকের ব্যবস্থাপনা পরিচালক মাশরুর আরেফিন বলেন, সেই পোর্টালটি আগেই বন্ধ করে দেওয়া হয়েছে। তাতে এখন ব্যাংকের সাইবার ব্যবস্থা পুরো বিপদমুক্ত। ২ (ডিসেম্বর) তারিখেই এ বিষয়টি সমাধান করা হয়েছে।
আরেক প্রশ্নের জবাবে তিনি বলেন, কেউ কারোও টাকা তুলতে পারবে না। কোনো রকমের আর্থিক ক্ষতি হয়নি, এমনকি একটা টাকাও লেনদেন হয়নি।
দেশের জাতীয় গুরুত্বপূর্ণ তথ্য পরিকাঠামোগুলোতে সাইবার সুরক্ষা দেওয়ার দায়িত্ব জাতীয় সাইবার নিরাপত্তা এজেন্সির। বাংলাদেশ সাইবার সিকিউরিটি ইন্টেলিজেন্স (বিসিএসআই) নামের এই সংস্থাটি জাতীয় দায়িত্বপ্রাপ্ত সাইবার নিরাপত্তা এজেন্সির কোনো ইউনিট নয় বলে নিশ্চিত করেছেন এজেন্সির একজন কর্মকর্তা। তবে এটি যে সরকারি কোনো সংস্থার ইউনিট তা নিশ্চিত করেছেন তিনি।
এই কর্মকর্তা বলেছেন, দেশের একটি গোয়েন্দা সংস্থার তত্ত্বাবধানে কিছু তরুণ বিশেষজ্ঞ দিয়ে বিসিএসআই নামের সংস্থাটি চালানো হচ্ছে। যে কারণে তাদের ওয়েবসাইটটি অন্যান্য সরকারি সংস্থাগুলোর মতো জিওভি ডট বিডি ডোমেইন ব্যবহার করতে পারছে।
এই ইউনিটটির কোনো আইনি ভিত্তি রয়েছে কী না সেটি নিশ্চিত নন তিনি। বিসিএসআই’র ওয়েবসাইটেও তাদের নিয়ে বিস্তারিত কিছু বলা নেই। এছাড়া কোন গোয়েন্দা সংস্থার হয়ে বিসিএসআই কাজ করে তাও বলতে চাননি জাতীয় সাইবার নিরাপত্তা এজেন্সির এই কর্মকর্তার।
বিসিএসআই’র ব্লগ পোস্টে বলা হয়েছে, ২০২৫ সালের শুরুতেই বিসিএসআই একটি গুরুতর বিষয় উদঘাটন করেছে। সেটা হচ্ছে একজন সম্ভাব্য ঝুঁকিপূর্ণ ব্যক্তি আন্ডারগ্রাউন্ড হ্যাকিং ফোরামগুলোতে সিটি ব্যাংকের গ্রাহকদের ‘ফাইন্যান্সিয়াল স্টেটমেন্ট’ বিক্রি করছেন। এই নিরাপত্তা লঙ্ঘনের কারণে গ্রাহকদের কিছু সংবেদনশীল তথ্য উন্মোচিত হয়ে পড়ছে এবং যা আর্থিক প্রতিষ্ঠানগুলোর সাইবার নিরাপত্তার চর্চার ক্ষেত্রে উদ্বেগ তৈরি করছে।
পোস্টে বলা হয়, ২০২৪ সালের মাঝামাঝি বিসিএসআই সিটি ব্যাংকের সিস্টেমে কিছু উল্লেখযোগ্য ঝুঁকির বিষয়ে ব্যাংকটিকে সতর্ক করে। তাদের গবেষকেরা দেখিয়ে দেন, কীভাবে (সাইবার) হামলাকারীরা এই দুর্বলতার সুযোগ নিয়ে গ্রাহকদের অর্থ তুলে নিতে পারে এবং তাদের সংবেদনশীল তথ্য হাতিয়ে নিতে পারে।
সিটি ব্যাংক দ্রুততার সঙ্গে তাৎক্ষণিক সমস্যাগুলোর সমাধান করে তাদের সিস্টেমকে নিরাপদ করে অথবা তারা এটি করেছে বলে বিসিএসআই এর মনে হয়েছে।
বাংলাদেশ সরকারের কম্পিউটার ইনসিডেন্ট রেসপন্স টিম, সিআইআরটি। এর একজন কন্ট্রিবিউটর (সিএস-সিআইআরটি) ২০২৪ সালের ডিসেম্বরের শেষে কিছু সমস্যাযুক্ত ঘটনার বিষয়ে বিসিএসআইকে সতর্ক করেন। তিনি জানান, আন্ডারগ্রাউন্ড হ্যাকিং ফোরামগুলোতে একজন ঝুঁকিপূর্ণ ব্যক্তি টাকা নিয়ে সিটি ব্যাংকের গ্রাহকদের লেনদেনের বিবরণী বিক্রি করছেন। বিষয়টি গুরুতর হিসেবে দ্রুত তদন্ত শুরু করেছিল বিসিএসআই।
পোস্টে বলা হয়, বিসিএসআই নিশ্চিত হয় যে ঝুঁকিপূর্ণ ব্যক্তি যে দাবি করছেন, তা সঠিক। এই ব্যক্তি ঝুঁকিগুলোর কথা বলেছিলেন, বিসিএসআই’র গবেষকেরা সেগুলো চিহ্নিত করেন। তারা দেখেন সিটি ব্যাংকের সাইবার নিরাপত্তার যে অবস্থা তাতে অনুমোদন ছাড়াই গ্রাহকদের লেনদেনের বিবরণী পাওয়া সম্ভব হচ্ছিল।
এই ঝুঁকিটিকে অপব্যহার করা সম্ভব হচ্ছিল দুই কারণে। এক হচ্ছে, দুর্বল সেশন ব্যবস্থাপনার কারণে হামলাকারী মাল্টি ফ্যাক্টর অথেনটিকেশন প্রক্রিয়া এড়াতে সক্ষম। আরেকটি হচ্ছে- একবার লগ ইন করলে আগের অথেনটিকেটেড সেশন আবার ব্যবহার করে অন্য অ্যাকাউন্টগুলোতে ঢোকা যাচ্ছিল।
