ব্যবহারকারীদের সংবেদনশীল মেসেজ, নম্বর সংরক্ষণ করছে পাঠাও!

হাতে থাকা স্মার্টফোনটির নিরাপত্তায় নিত্য নতুন যোগ হচ্ছে নানা প্রযুক্তি। এর মধ্যে রয়েছে ফিঙ্গার প্রিন্ট, পিন কোডের ব্যবহারসহ বিভিন্ন প্রযুক্তি। এসব প্রযুক্তি ব্যবহার করে একজন ব্যবহারকারী তার মোবাইল ফোনে থাকা মেসেজ, নম্বরসহ অন্যান্য সব তথ্য বেহাত হওয়া থেকে রক্ষা করেন। আর এসব সংবেদনশীল তথ্যই গ্রাহকদের অজান্তে নিয়ে নিচ্ছে দেশীয় রাইড শেয়ারিং প্রতিষ্ঠান পাঠাও। শুধু নিয়ে যাওয়া নয়, নিজস্ব সার্ভারে সেগুলো সংরক্ষণও করছে।

গ্রাহকের অভিযোগের পরিপ্রেক্ষিতে প্রিয়.কমের অনুসন্ধানে বিষয়টির সত্যতা মিলেছে। পাঠাও কর্তৃপক্ষও বিষয়টি স্বীকার করেছে। তবে তাদের দাবি, গ্রাহকদের ‘সর্বোচ্চ নিরাপত্তা’ দিতেই তারা এসব তথ্য সংগৃহ করছেন।

অনুসন্ধানে দেখা গেছে, পাঠাও অ্যাপস ডাউনলোড করার পর থেকেই মোবাইল ফোন থেকে পাঠাওয়ের কাছে চলে যাচ্ছে সব মেসেজ, ফোন নম্বর, ইন্সটল করা অ্যাপস সংক্রান্ত তথ্য। একই সঙ্গে চলে যাচ্ছে মোবাইলের হার্ডওয়ার সংক্রান্ত তথ্যও। এসব তথ্য যোগ হচ্ছে পাঠাওয়ের রিমোট সার্ভারে।

পাঠাওয়ের প্রাইভেসি পলিসিতে পাঠাও কী কী তথ্য সংরক্ষণ করে এই বিষয়ে বিস্তারিত লেখা রয়েছে। সেখানে ব্যবহারকারীর নম্বর সংরক্ষণের কথা উল্লেখ থাকলেও মোবাইল ফোনে থাকা অন্যান্য তথ্যসহ নম্বর সংরক্ষণের বিষয়ে কিছু লেখা নেই।

পাঠাওয়ের ঘোষিত পলিসি অনুযায়ী, তারা তাদের কাছে ব্যবহারকারীদের সংরক্ষিত তথ্য তৃতীয় পক্ষের সঙ্গে শেয়ার করতে পারবে। ব্যবহারকারীদের এসব তথ্য পর্যালোচনার কাজে ব্যবহার করতে পারবে পাঠাও।

অ্যাপ বিশেষজ্ঞরা কী বলছেন

বিষয়টি নিয়ে কাজ করেছেন আশিক ইসতিয়াক ইমন নামের এক ব্যক্তি। তিনি জানান, তিনি একজন ইনফরমেশন সিকিউরিটি রিসার্চার।

ইমন জানান, তিনি এই পরীক্ষার জন্য লিনাক্স অপারেটিং সিস্টেম, এমআইটিএম প্রক্সি প্রযুক্তি এবং বুরপ সুইট কমিউনিটি এডিশন ভি১.৭.৩৬ নামে একটি সফটওয়্যার ব্যবহার করেন।

তিনি আরও জানান, সফটওয়্যারটির মাধ্যমে একটি অ্যাপ কী তথ্য পাঠাচ্ছে তা মনিটর করা সম্ভব। মনিটরের এক পর্যায়ে তিনি দেখেন, এপিআই.পাঠাও.কম এই লিঙ্কের মাধ্যমে ব্যবহারকারীর সব এসএমএস, কন্টাক্ট নম্বর নিয়ে নিচ্ছে পাঠাও। এসব তথ্য যোগ হয় পাঠাওয়ের রিমোট সার্ভারে।

ইমনের আশঙ্কা, এর মাধ্যমে ব্যবহারকারীদের ব্যক্তিগত তথ্য হাতিয়ে নিচ্ছে পাঠাও। ফলে পাঠাওয়ের সার্ভারে হ্যাকাররা হানা দিলে বেহাত হয়ে যেতে পারে পাঠাও গ্রাহকদের গোপনীয় তথ্য।

তিনি প্রিয়.কমকে আরও জানান, পাঠাওয়ের কাছে সব মেসেজ সংরক্ষণ থাকায় তারা একজন ব্যবহারকারীর গোপন বার্তা সম্পর্কে জানতে পারছে। একই সঙ্গে যেসব মাধ্যমে ওয়ান টাইম পাসওয়ার্ডের (ওটিপি) প্রয়োজন হয় সেসবও তাদের কাছে চলে যাচ্ছে। এসব তথ্য কোনোভাবে হ্যাকারদের কাছে চলে গেলে ভয়াবহ পরিস্থিতি সৃষ্টি হতে পারে।

অ্যাপ বিশেষজ্ঞ নুরুল হুদা রবিন বলেন, ‘যেসব অ্যাপে ওটিপি কোডের মাধ্যমে মোবাইল ভেরিফিকেশনের প্রয়োজন পড়ে তারা সাধারণত এসএমএস পড়ার অনুমতি নিয়ে থাকে যাতে ভেরিফিকেশন কোড স্বয়ংক্রিয়ভাবে বসে যায়। কিন্তু অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (এপিআই) দিয়ে তা সার্ভারে সংরক্ষণ হলে তা কেন করা হচ্ছে তা গ্রাহককে জানানো প্রয়োজন।

‘এসব এসএমএস যথাযথ এনক্রিপ্ট (যা সাধারণ মানুষ পড়তে পারবে না) না করে সংরক্ষণ হলে হ্যাকারদের কবলে পড়ে আপনার গুরুত্বপূর্ণ তথ্য বেহাত হয়ে যেতে পারে। যার মাঝে থাকতে পারে আপনজনকে পাঠানো ব্যক্তিগত এস এম এস, আপনার বেতন বা অ্যাকাউন্ট নম্বরের মতো গুরুত্বপূর্ণ তথ্য।’

‘ফিচারের প্রয়োজনে অ্যাপ অনেক রকম পারমিশন চাইতে পারে। কিন্তু তা কীভাবে ব্যবহার করা হবে তা জানা গ্রাহকের অধিকার। এ ছাড়া কোন ব্যক্তিগত তথ্য সংরক্ষণ করা হলে তা মুছে ফেলা বা নিয়ন্ত্রণের অধিকারও গ্রাহকের থাকা উচিত। কিছুদিন আগে ফেসবুকের মতো প্রতিষ্ঠান গ্রাহকের প্রাইভেসি ইস্যুতে প্রশ্নবিদ্ধ হয় এবং তাদের সিস্টেমে অনেক পরিবর্তন করতে বাধ্য হয়। আমাদের দেশে গ্রাহকের ব্যক্তিগত তথ্যের নিরাপত্তার জন্য যথেষ্ট নীতিমালার অভাব থেকে থাকতে পারে’, যোগ করেন রবিন।

পাঠাওয়ের ভাষ্য

এ বিষয়ে জানতে পাঠাও কর্তৃপক্ষের সঙ্গে যোগাযোগ করে প্রিয়.কম। পাঠাও কর্তৃপক্ষের দাবি, ব্যবহারকারীদের সর্বোচ্চ নিরাপত্তা দিতেই মেসেজ ও নম্বর সংরক্ষণ করে থাকে পাঠাও।

পাঠাও কর্তৃপক্ষ ওটিপি কোডের জন্য মেসেজ পড়ার অনুমতি পেলেও মেসেজ সংরক্ষণের ক্ষমতা রাখে কি না জানতে চাইলে পাঠাওয়ের ভাইস প্রেসিডেন্ট আহমেদ ফাহাদ বলেন, ‘আমরা ইনফরমেশনগুলো নিচ্ছি কিছু সুর্নিদিষ্ট কারণে। একটি হচ্ছে ওটিপির কারণে। আরেকটি হচ্ছে, মনে করেন কোনো একটি মেয়ে প্রতিদিন রাতের বেলা ৯টার দিকে বের হন। তার একটি সেফটির (নিরাপত্তা) বিষয় রয়েছে। সে অফলাইনে রাইড নিচ্ছে না অনলাইনে রাইড নিচ্ছে। সে যদি বিপদে পড়ে তাহলে তার কাছের মানুষদের কীভাবে আমি কন্টাক্ট করবো? যদি আমার কাছে টেক্সট মেসেজ না থাকে, কন্টাক্ট নম্বর না থাকে তাহলে আমি তার পরিবারের সঙ্গে কীভাবে যোগাযোগ করবো? আমি নিচ্ছি, এ কারণেই নিচ্ছি।’

গ্রাহকের মেসেজ সংরক্ষণ ব্যাতীত পাঠাও অ্যাপের কার্যক্রমে কোনো সমস্যার সৃষ্টি হবে কি না, এমন প্রশ্নের জবাবে তিনি একই উদাহরণ টেনে বলেন, ‘প্রশ্নটি আপনার এমন হওয়া উচিত যে, আমরা কাস্টমারকে সেফ রাখতে পারবো কি না? বেলা (কাল্পনিক নাম) যদি আমার ফোনটি না ধরে তাহলে আমি কাউকে অ্যালার্ট করতে পারবো কি না। আমি কাকে ইনফর্ম করবো যদি আমি নাই জানি তার নাম বা নম্বরগুলো? ও যদি এসএমএস না পাঠাতে পারে তাহলে ও কীভাবে বলবে সে ডেঞ্জারে (বিপদে)?’

যারা এই ডাটা সমৃদ্ধ সার্ভার মেইনটেইন করছে তারা এই তথ্য হাতিয়ে নিতে পারে- এমন আশঙ্কার বিষয়ে ফাহাদের দাবি, যারাই এই সার্ভারের সঙ্গে নিযুক্ত রয়েছেন তাদের এই তথ্য এক্সেস করার অনুমতি বা ক্ষমতা নেই।

তিনি বলেন, ‘এসব মেসেজ কারও পড়া বা দেখার সুযোগ নেই। কারণ পলিসি লেভেলেই এই বিষয়ে পদক্ষেপ নেওয়া রয়েছে।’

ফাহাদ বলেন, ‘আমাদের পলিসি খুব শক্তিশালী। আমরা ব্যবহারকারীদের মেসেজ পড়তে পারবো না। সে ইঞ্জিনিয়ারই হোক বা ডাটা সিকিউরিটির দায়িত্বে থাকা কোনো ব্যক্তিই হোক। আমরা চাই মানুষ আমাদের ওপর ভরসা রাখুক। কারণ আমাদের দ্বারা তাদের কোনো ক্ষতি হবে না।’

এদিকে ফাহাদ তথা পাঠাও কর্তৃপক্ষের এই যুক্তিকে অযৌক্তিক হিসেবে দাবি করছেন অ্যাপ ডেভেলাপররা। তাদের মতে পাঠাও রাইডার বা পাঠাও চালকের ব্যক্তিগত তথ্যের পাশাপাশি জিপিএস সংক্রান্ত তথ্য পাঠাওয়ের কাছে যাচ্ছে। যা একজন ব্যবহারকারীকে উদ্ধারের জন্য পর্যাপ্ত।

আজাহার উদ্দিন নামে এক অ্যাপ ডেভেলাপার বলেন, ‘নম্বর বা মেসেজ, এই ব্যক্তিগত তথ্য পাঠাওয়ের পড়ার ক্ষমতা থাকলেও তার সেটি সংরক্ষণের অধিকার নেই। কিন্তু তা তারা করছে। আর কেউ বিপদে পড়লে তাকে উদ্ধার করার দায়িত্ব পাঠাওয়ের না, দেশের আইনশৃঙ্খলা বাহিনীর। প্রয়োজন পড়লে পাঠাও তাদের তথ্য দিয়ে সহায়তা করতে পারে।’

ডিজিটাল নিরাপত্তা আইন কী বলছে

চলতি বছরের ৮ অক্টোবর ডিজিটাল নিরাপত্তা আইন ২০১৮ গেজেট আকারে প্রকাশ হয়েছে। আইনের কোথাও ‘ব্যক্তিগত গোপনীয়তা’ নামে কোনো বিষয় সংজ্ঞায়িত করা হয়নি। একই সঙ্গে আইনে মোবাইল ফোনের নম্বর বা মেসেজ সংরক্ষণ বা এর ব্যবহার বিধি সম্পর্কে কোনো কিছু লেখা নেই।

তবে ‘ব্যক্তি’ শব্দটির সংজ্ঞা দেওয়া হয়েছে। এই সংজ্ঞা অনুযায়ী, কোনো ব্যক্তি বা প্রতিষ্ঠান, কোম্পানি, অংশীদারি কারবার, ফার্ম বা অন্য কোনো সংস্থা, ডিজিটাল ডিভাইসের ক্ষেত্রে উহার নিয়ন্ত্রণকারী এবং আইনের মাধ্যমে সৃষ্ট কোনো সত্তা বা কৃত্রিম আইনগত সত্তাও ইহার অন্তর্ভুক্ত হইবে।

আইনের ২৬ ধারায় বলা হয়েছে, যদি কোনো ব্যক্তি আইনগত কর্তৃত্ব ব্যতিরেখে অপর কোনো ব্যক্তির পরিচিতি তথ্য সংগ্রহ, বিক্রয়, দখল, সরবরাহ বা ব্যবহার করেন, তাহা হইলে উক্ত ব্যক্তির অনুরূপ কার্য হইবে একটি অপরাধ।

‘পরিচিতি তথ্য’ শব্দটির অর্থ হিসেবে বলা হয়েছে, কোনো বাহ্যিক, জৈবিক বা শারীরিক তথ্য বা অন্য কোনো তথ্য যাহা এককভাবে বা যৌথভাবে একজন ব্যক্তি বা সিস্টেমকে শনাক্ত করে, যাহার নাম, ছবি, ঠিকানা, জন্ম তারিখ, মাতার নাম, পিতার নাম, স্বাক্ষর, জাতীয় পরিচয়পত্র, জন্ম ও মৃত্যু নিবন্ধন নম্বর, ফিঙ্গার প্রিন্ট, পাসপোর্ট নম্বর, ব্যাংক হিসাব নম্বর, ড্রাইভিং লাইসেন্স, ই-টিআইএন নম্বর, ইলেকট্রনিক বা ডিজিটাল স্বাক্ষর, ব্যবহারকারীর নাম, ক্রেডিট বা ডেবিট কার্ড নম্বর, ভয়েজ প্রিন্ট, রেটিনা ইমেজ, আইরেস ইমেজ, ডিএনএ প্রোফাইল, নিরাপত্তামূলক প্রশ্ন বা অন্য কোনো পরিচিতি যাহা প্রযুক্তির উৎকর্ষতার জন্য সহজলভ্য।

আইনে কোনো ব্যক্তি অনুমতি ছাড়া এই পরিচিতি তথ্য সংগ্রহ, ব্যবহার করলে আর্থিক ও কারাদণ্ডের বিধান রয়েছে।