টাবিক হোটেল চেক-ইন সিস্টেমে তথ্য ফাঁস, ১০ লাখ গ্রাহকের তথ্য উন্মুক্ত

16/05/2026 12:15

হোটেল চেক-ইন ব্যবস্থার একটি নিরাপত্তা ত্রুটির কারণে বিশ্বের বিভিন্ন দেশের অন্তত ১০ লাখের বেশি গ্রাহকের পাসপোর্ট, ড্রাইভিং লাইসেন্স এবং পরিচয় যাচাইয়ের সেলফি ছবি উন্মুক্ত অবস্থায় ইন্টারনেটে পড়ে ছিল। পরে বিষয়টি প্রকাশ্যে আসার পর সংশ্লিষ্ট প্রতিষ্ঠান তথ্যগুলো অফলাইনে সরিয়ে নেয়।

টাবিক সিস্টেমের নিরাপত্তা ত্রুটি

ঘটনাটি ঘটেছে ‘টাবিক’ নামের একটি হোটেল চেক-ইন সিস্টেমে, যা পরিচালনা করে জাপানভিত্তিক প্রযুক্তি স্টার্টআপ রেক্রিয়া। প্রতিষ্ঠানটির ওয়েবসাইট অনুযায়ী, জাপানের কয়েকটি হোটেলে এই সিস্টেম ব্যবহার করা হয়। এতে মুখ শনাক্তকরণ প্রযুক্তি ও পরিচয়পত্র স্ক্যানের মাধ্যমে অতিথিদের চেক-ইন সম্পন্ন করা হয়।

গবেষকের শনাক্তকরণ

স্বাধীন সাইবার নিরাপত্তা গবেষক অনুরাগ সেন সম্প্রতি বিষয়টি শনাক্ত করে সংবাদমাধ্যমকে জানান। তার দাবি, গ্রাহকদের তথ্য সংরক্ষণের জন্য ব্যবহৃত অ্যামাজনের ক্লাউড স্টোরেজ বালতিগুলোর (স্টোরেজ বাকেট) একটি ভুলবশত সবার জন্য উন্মুক্ত করে রাখা হয়েছিল। ফলে কোনো পাসওয়ার্ড ছাড়াই শুধু ‘টাবিক’ নামটি জানা থাকলেই ওয়েব ব্রাউজারের মাধ্যমে সংবেদনশীল তথ্যগুলো দেখা যাচ্ছিল।

—

Pickt প্রশস্ত ব্যানার — টেলিগ্রামের জন্য সহযোগী শপিং লিস্ট অ্যাপ

প্রতিষ্ঠানের প্রতিক্রিয়া

প্রযুক্তি বিষয়ক ওয়েবসাইট টেকক্রাঞ্চ বিষয়টি জানালে প্রতিষ্ঠানটি দ্রুত সেই স্টোরেজ বাকেটের প্রবেশাধিকার সীমিত করে। একই সঙ্গে জাপানের সাইবার নিরাপত্তা সমন্বয় সংস্থা জেপিসিইআরটিকেও অবহিত করা হয়। প্রতিষ্ঠানটির পরিচালক মাসাতাকা হাশিমোতো এক ইমেইল বার্তায় বলেন, তথ্য ফাঁসের পুরো পরিধি নির্ধারণে তারা আইনি পরামর্শক ও অন্যান্য বিশেষজ্ঞদের সহায়তায় তদন্ত চালাচ্ছেন। তবে কীভাবে স্টোরেজটি উন্মুক্ত হয়ে গিয়েছিল, সে বিষয়ে এখনো নিশ্চিত নয় প্রতিষ্ঠানটি।

Pickt নিবন্ধের পরে ব্যানার — পারিবারিক চিত্রসহ সহযোগী শপিং লিস্ট অ্যাপ

অ্যামাজন ক্লাউডের নিরাপত্তা

সাধারণত অ্যামাজনের ক্লাউড স্টোরেজ ডিফল্টভাবে ব্যক্তিগত বা সুরক্ষিত অবস্থায় থাকে। কয়েক বছর আগে একাধিক তথ্য ফাঁসের ঘটনার পর অ্যামাজন এ ধরনের স্টোরেজ উন্মুক্ত করার আগে একাধিক সতর্কবার্তাও যুক্ত করে।

তদন্ত ও পরবর্তী পদক্ষেপ

প্রতিষ্ঠানটি জানিয়েছে, তদন্ত শেষ হলে ক্ষতিগ্রস্ত ব্যক্তিদের অবহিত করা হবে। তবে তথ্যগুলো অন্য কেউ ব্যবহার করেছে কি না, তা এখনো নিশ্চিত হওয়া যায়নি। এ বিষয়ে সার্ভার লগ পরীক্ষা করা হচ্ছে। প্রকাশিত তথ্যভান্ডারে ২০২০ সালের শুরুর দিক থেকে চলতি মাস পর্যন্ত আপলোড করা নথি ছিল। এতে বিভিন্ন দেশের ভ্রমণকারীদের পাসপোর্ট, ড্রাইভিং লাইসেন্স এবং পরিচয় যাচাইয়ের নথি অন্তর্ভুক্ত ছিল।

বিশেষজ্ঞদের মতামত

বিশেষজ্ঞরা বলছেন, সাম্প্রতিক সময়ে বিভিন্ন প্রতিষ্ঠান বয়স যাচাই বা “নো ইউর কাস্টমার” (কেওয়াইসি) প্রক্রিয়ার জন্য গ্রাহকদের সংবেদনশীল নথি অনলাইনে আপলোড করতে বলছে। কিন্তু এসব তথ্য তৃতীয় পক্ষের কাছে সংরক্ষিত থাকায় নিরাপত্তা ঝুঁকিও বাড়ছে। এর আগে চলতি বছর অর্থ লেনদেন সেবা ‘ডাক অ্যাপ’-এর গ্রাহকদের পাসপোর্ট ও লাইসেন্স ফাঁসের ঘটনাও সামনে আসে। এছাড়া গত বছর গাড়ি ভাড়া সেবা হার্টজ-এর তথ্য ফাঁসে অন্তত এক লাখ গ্রাহকের ড্রাইভিং লাইসেন্সের তথ্য হাতিয়ে নেয় হ্যাকাররা।

সূত্র: টেকক্রাঞ্চ