সাইবার অপরাধীদের খেলার মাঠে পরিণত হয়েছে বাংলাদেশের সরকারি ওয়েবসাইট
সাইবার অপরাধীদের খেলার মাঠে পরিণত সরকারি ওয়েবসাইট

বাংলাদেশের সরকারি ওয়েবসাইটের বেশ কয়েকটি 'gov.bd' ডোমেইন পর্নোগ্রাফি, প্রাপ্তবয়স্ক কন্টেন্ট, জুয়া এবং লিক করা OnlyFans ভিডিওর বিজ্ঞাপনের জন্য ব্যবহার করা হচ্ছে। শিক্ষা মন্ত্রণালয়ের অধীনে পরিচালিত শিক্ষকদের শিক্ষা পোর্টাল 'শিক্ষক বাতায়ন'-এর একটি ব্লগ পোস্টে অশ্লীল টেক্সট এবং বহিরাগত প্রাপ্তবয়স্ক সাইটের সরাসরি লিংক যুক্ত করা হয়েছে।

আক্রমণের ধরন: কোনো জটিলতা নেই

দ্য ডিসেন্টের তদন্তে চারটি প্রধান আক্রমণ পদ্ধতি চিহ্নিত করা হয়েছে। প্রথমটি হলো এসইও পয়জনিং, যেখানে অপরাধীরা সরকারি ওয়েবপেজে নির্দিষ্ট সার্চ কীওয়ার্ডের জন্য অপ্টিমাইজড কন্টেন্ট যুক্ত করে। দ্বিতীয়টি হলো স্টোরড এইচটিএমএল ইনজেকশন এবং ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস), যেখানে ব্যবহারকারীর ইনপুট স্যানিটাইজ না করার কারণে আক্রমণকারীরা অশ্লীল টেক্সট এবং লিংক যুক্ত করতে পারে। তৃতীয় পদ্ধতি হলো ম্যালিশিয়াস ফাইল আপলোড ইনজেকশন, যেখানে অভিযোগ প্রতিকার ব্যবস্থা (জিআরএস) পোর্টালে স্বয়ংক্রিয় স্ক্রিপ্টের মাধ্যমে পর্নোগ্রাফিক পিডিএফ ফাইল আপলোড করা হয়েছে। চতুর্থ পদ্ধতি হলো সাবডোমেইন হাইজ্যাকিং, যেখানে কুমিল্লা শিক্ষা বোর্ডের চারটি সাবডোমেইনে জুয়ার লিংক পাওয়া গেছে।

প্রতিরোধে করণীয়

প্রতিটি ওয়েব ফর্ম, টেক্সট এডিটর এবং ফাইল আপলোড ফিল্ডে ব্যবহারকারীর ইনপুট যাচাই ও স্যানিটাইজ করা আবশ্যক। ওয়েব সার্ভারে ন্যূনতম সুবিধার নীতি প্রয়োগ করতে হবে। ডিপ্লয়মেন্টের আগে নিরাপত্তা পরীক্ষা ও পেনিট্রেশন টেস্টিং বাধ্যতামূলক। নিয়মিত প্যাচ ম্যানেজমেন্ট এবং কেন্দ্রীয় মনিটরিং ব্যবস্থা স্থাপন করতে হবে।

Pickt নিবন্ধের পরে ব্যানার — পারিবারিক চিত্রসহ সহযোগী শপিং লিস্ট অ্যাপ
Pickt প্রশস্ত ব্যানার — টেলিগ্রামের জন্য সহযোগী শপিং লিস্ট অ্যাপ

সামাজিক ও অর্থনৈতিক ক্ষতি

সরকারি লিংকে ক্লিক করে সাধারণ নাগরিক ফিশিং ও ম্যালওয়ারের শিকার হতে পারেন। শিশু সামাজিক সুরক্ষা পোর্টালে প্রাপ্তবয়স্ক কন্টেন্ট যুক্ত হওয়া গুরুতর নিরাপত্তা ব্যর্থতা। ব্র্যান্ড ও বিজ্ঞাপন নেটওয়ার্কের আর্থিক ক্ষতি হচ্ছে। বিদেশি বিনিয়োগকারীদের আস্থা নষ্ট হচ্ছে।

সরকারের সুনামের ক্ষতি

বিচার বিভাগীয় পোর্টাল, জাতীয় রাজস্ব বোর্ড, বাংলাদেশ কম্পিউটার কাউন্সিল, শিশু সামাজিক সুরক্ষা পোর্টালসহ গুরুত্বপূর্ণ প্রতিষ্ঠানের ওয়েবসাইট আপোস করা হয়েছে। এটি সরকারের ডিজিটাল সেবার প্রতি আস্থা নষ্ট করে।

প্রতিরোধের কাঠামো

জরুরি ভিত্তিতে সব সক্রিয় gov.bd ডোমেইনের অডিট করতে হবে। ওয়েবসাইট চালুর আগে ওয়াস্প টপ ১০ চেকলিস্ট অনুযায়ী পেনিট্রেশন টেস্ট বাধ্যতামূলক করতে হবে। কেন্দ্রীয় ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (ডব্লিউএএফ) স্থাপন করতে হবে। নিয়মিত থার্ড-পার্টি নিরাপত্তা অডিট এবং পাবলিক ডিসক্লোজার নিশ্চিত করতে হবে।

দ্য ডিসেন্টের তদন্তে দেখা গেছে, এটি কোনো জটিল আক্রমণ নয়, বরং অবহেলার সুযোগ নেওয়া। আক্রমণকারীরা সরকারি ওয়েবসাইটের দরজা ভাঙেনি, বরং খোলা দরজা দিয়ে ঢুকে পড়েছে।