বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা

Author Topic: বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা  (Read 187 times)

Offline nafees_research

  • Sr. Member
  • ****
  • Posts: 308
  • Test
    • View Profile
বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা

বিকাশ মোবাইল ওয়ালেট ব্যবহারকারী একজনের সেলফোনে ফোন আসে ১৬ মে দুপুরে। বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে অন্য প্রান্ত থেকে বলা হয়, সেবার মান বৃদ্ধির কাজ চলছে— দয়া করে আপনার বিকাশ অ্যাকাউন্টের পিন নম্বরটি দিন। বিষয়টি সন্দেহজনক মনে হওয়ায় নিজের পিন নম্বরটি গোপন করে চার ডিজিটের অন্য একটি পিন নম্বর দেন ওই গ্রাহক। এরপর ফোনটি কেটে দেন।

মিনিট তিনেক পর ওই গ্রাহকের ফোন নম্বর (মাস্কিং করা) থেকে আবার ফোন আসে। নিজের নম্বর থেকে ফোন আসায় গ্রাহকের সন্দেহ আরো বেড়ে যায়। দ্রুত সেলফোনটি বন্ধ করে দেন। চালু করেন ১৭ মে রাত ৪টায়। সঙ্গে সঙ্গে বেশ কয়েকটি ভেরিফিকেশন কোডের এসএমএস ভেসে ওঠে স্ক্রিনে। পরে বিকাশ অ্যাকাউন্ট চেক করে দেখেন তিন দফায় ১৫ হাজার ৪০০ টাকা উধাও।

পরদিন বিকাশের গ্রাহকসেবা কেন্দ্রে যান ওই গ্রাহক। পুরো বিষয়টি খুলে বলার পর সেখান থেকে জানানো হয়, উচ্চপ্রযুক্তির মাধ্যমে অ্যাকাউন্ট হ্যাক করে টাকা চুরি করে নেয়া হয়েছে। এ বিষয়ে তাদের (বিকাশ) কিছু করার নেই। বিকাশ অ্যাকাউন্ট থেকে টাকা খোয়া যাওয়ার ঘটনায় পরে পুলিশের কাছে আনুষ্ঠানিক অভিযোগ করেন ওই গ্রাহক।

বিকাশ অ্যাপের নিরাপত্তা দুর্বলতার কারণে অ্যাকাউন্ট থেকে টাকা চুরির আরো কিছু অভিযোগ পেয়েছে পুলিশ। এসব অভিযোগ তদন্ত করে দেখছে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। বিষয়টি নিশ্চিত করে সিআইডির মুখপাত্র ও অর্গানাইজড ক্রাইমের বিশেষ পুলিশ সুপার মোল্যা নজরুল ইসলাম বণিক বার্তাকে বলেন, এ ধরনের বেশ কয়েকটি অভিযোগ আমাদের কাছে এসেছে। সেগুলো তদন্ত করে দেখা হচ্ছে। তদন্ত শেষে জড়িতদের বিষয়ে ব্যবস্থা নেয়া হবে।

তদন্ত-সংশ্লিষ্টরা বলছেন, দুটি পদ্ধতিতে বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা কাজে লাগাচ্ছে অপরাধীরা। সবচেয়ে বেশি প্রচলিত পদ্ধতিটি হচ্ছে— গ্রাহককে বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে তার অ্যাকাউন্ট নম্বর ও নাম জেনে নেয়া। তারপর কৌশলে গ্রাহককে দিয়ে কিছু নম্বর চেপে সিমটি

ডাইভার্ট করিয়ে নেয়া। এক্ষেত্রে ইউএসএসডি মেনুর শর্টকোড ব্যবহার করা হয়। গ্রাহকও অনেক সময় এটি বুঝে উঠতে পারেন না। এরপর বিকাশ অ্যাপের মাধ্যমে ভেরিফিকেশন কোডের আবেদন জানানো হয়। ফিরতি মেসেজে বিকাশ যে ভেরিফিকেশন কোডটি পাঠায়, সেটি চলে যায় সরাসরি অপরাধীদের হাতে। ওই ভেরিফিকেশন কোড দিয়েই অ্যাপে প্রবেশ করে পিন নম্বর পরিবর্তনের আবেদন জানায় অপরাধীরা। পরে তারা নতুন পিন নম্বর সৃষ্টি করে ওই অ্যাকাউন্টের টাকা সরিয়ে নেয়। এ পদ্ধতিতে সফল না হলে বিকল্প হিসেবে মাস্কিং ও ক্লোনিংয়ের মাধ্যমে গ্রাহকের অ্যাকাউন্টে প্রবেশের সুযোগ নেয় অপরাধীরা।

তদন্ত কর্মকর্তাদের মতে, যে পদ্ধতিই অনুসরণ করা হোক না কেন, সংশ্লিষ্ট গ্রাহকের অ্যাকাউন্টের বিভিন্ন তথ্য জানা অপরাধীদের জন্য গুরুত্বপূর্ণ। পাশাপাশি ওই গ্রাহক অ্যাপ ব্যবহার করছেন কিনা সেটাও জানা থাকতে হবে। এক্ষেত্রে দুটি উপায়ে এ তথ্য পাওয়া সম্ভব। সেবাদাতা প্রতিষ্ঠানের কেন্দ্রীয় সার্ভার হ্যাকিংয়ের মাধ্যমে তাতে প্রবেশ করে তথ্য সংগ্রহ করা যেতে পারে। প্রতিষ্ঠানের অভ্যন্তরীণ কর্মীদের মাধ্যমেও এসব তথ্য সংগ্রহ করা সম্ভব। গ্রাহকের পিন নম্বর ও অ্যাকাউন্ট ব্যালান্সের তথ্য থাকার পরও যাচাইকরণ কোডটিও গুরুত্বপূর্ণ। এটি তারা সংগ্রহ করছে গ্রাহককে প্রলুব্ধ করে অথবা সিম ক্লোনিংয়ের মাধ্যমে।

নতুন অ্যাপটির বিষয়ে বিকাশের একাধিক এজেন্টের সঙ্গে যোগাযোগ করা হলে তারাও এর নিরাপত্তা নিয়ে আশঙ্কার কথা জানান। তারা বলছেন, অ্যাপটির মাধ্যমে লেনদেন সহজ হলেও নিরাপত্তার বিষয়টি নিশ্চিত করা সম্ভব হয়নি। কারণ যেকোনো ডিভাইস থেকে অ্যাপটির অ্যাকসেস পাওয়া সম্ভব। ফলে অন্যের ফোন নম্বর ও পিন নম্বর জানা থাকলে যেকোনো ডিভাইস থেকেই অ্যাপটির মাধ্যমে লেনদেনও করা যায়।

তবে নিরাপত্তাজনিত সব ধরনের ঝুঁকি যাচাই-বাছাই করেই অ্যাপটি চালু করা হয়েছে বলে জানান বিকাশের প্রধান নির্বাহী কর্মকর্তা কামাল কাদীর। বণিক বার্তাকে তিনি বলেন, তার পরও এতে নিরাপত্তা-সংক্রান্ত কোনো ঝুঁকি থেকে থাকলে তা গুরুত্বের সঙ্গে পর্যালোচনা করে ব্যবস্থা নেবে বিকাশ।

বিকাশ অ্যাপে ভেরিফিকেশনের যে ব্যবস্থা রাখা হয়েছে, তাতে নিরাপত্তা নিয়ে ঝুঁকির আশঙ্কা আছে বলে মনে করেন প্রযুক্তি বিশেষজ্ঞরা। কারণ হিসেবে তারা বলছেন, বিকাশের অ্যাপটির নিরাপত্তার বিষয়টি এখন পর্যন্ত এসএমএসভিত্তিক। সিম ও ডিভাইস শনাক্তকরণের কোনো ব্যবস্থা রাখা হয়নি এতে। নিরাপত্তার এ ত্রুটির সুযোগ নিয়ে অপরাধীরা সহজেই যেকোনো বিকাশ অ্যাপ ব্যবহারকারীর অ্যাকাউন্টের তথ্য চুরি করে টাকা হাতিয়ে নিতে পারছেন।

এশিয়া-প্যাসিফিক নেটওয়ার্ক অপারেটর গ্রুপের (এপনিক) পলিসি সিগের কো-চেয়ার ও সাইবার নিরাপত্তা বিশেষজ্ঞ সুমন আহমেদ সাবির বণিক বার্তাকে বলেন, সাধারণত ভাইবার, হোয়াটসঅ্যাপের মতো একবার ব্যবহারযোগ্য পাসওয়ার্ড (ওটিপি) ভিত্তিক বিভিন্ন অ্যাপ আর্থিক লেনদেনের জন্য ব্যবহার হয় না। তবে ব্যক্তিগত তথ্যের সুরক্ষার জন্য প্রাথমিক নিরাপত্তা ব্যবস্থা হিসেবে এগুলোয় ওটিপি রাখা হয়। আর্থিক লেনদেনের জন্য নিরাপত্তার বিষয়টি নিয়ে সেভাবে ভাবতে হবে। সিম ক্লোন হয়ে গেলে এবং যদি সেটি চালু রাখা যায়, তবে খুব সহজেই অ্যাকাউন্টের নিরাপত্তা ভেঙে ফেলা সম্ভব। সিম ক্লোনিং একটা বাস্তবতা। ফলে এটি মেনে নিয়েই শুধু ওটিপির ওপর নির্ভর করলে এমন ঘটনা ঘটতে পারে। এক্ষেত্রে নানা ধরনের অথেনটিকেশন ও ভেরিফিকেশনের ব্যবস্থা রাখা যেতে পারে।

মোবাইল ওয়ালেটের নিরাপত্তা নিশ্চিতে কোনো কোনো সেবাদাতা প্রতিষ্ঠান সেলফোন নম্বরের সঙ্গে অতিরিক্ত নম্বর যোগ করছে। এছাড়া সিমনির্ভর নিরাপত্তা ব্যবস্থাও রাখা হয়েছে। ফলে কোনো গ্রাহকের সিম রিপ্লেসমেন্টের ঘটনা ঘটলে তাত্ক্ষণিকভাবে সংশ্লিষ্ট ওয়ালেট বন্ধ হয়ে যাচ্ছে। নির্দিষ্ট সময় পর গ্রাহকের পরিচয় নিশ্চিত হয়ে ওয়ালেটটি পুনরায় চালু করা হচ্ছে।

উল্লেখ্য, গত ১৫ মে আনুষ্ঠানিকভাবে নিজেদের প্রথম অ্যাপ চালুর ঘোষণা দেয় বিকাশ। তবে গুগল প্লে স্টোরে এটি ২৫ এপ্রিল থেকে পাওয়া যায়। এর আগে থেকে প্রতিষ্ঠানটির ইউএসএসডিভিত্তিক লেনদেন ব্যবস্থা চালু ছিল। অ্যাপের ব্যবহার বাড়াতে এতে লেনদেনে কম চার্জ নেয়ার ঘোষণা দিয়েছে প্রতিষ্ঠানটি। অ্যাপে ক্যাশ আউট করলে হাজারে খরচ হবে ১৫ টাকা। আর অ্যাপের বাইরে লেনদেনে ক্যাশ আউটের খরচ ১৮ টাকা।

Source: http://bonikbarta.net/bangla/news/2018-06-06/160262/%E0%A6%AC%E0%A6%BF%E0%A6%95%E0%A6%BE%E0%A6%B6-%E0%A6%85%E0%A7%8D%E0%A6%AF%E0%A6%BE%E0%A6%AA%E0%A7%87%E0%A6%B0--%E0%A6%A8%E0%A6%BF%E0%A6%B0%E0%A6%BE%E0%A6%AA%E0%A6%A4%E0%A7%8D%E0%A6%A4%E0%A6%BE-%E0%A6%A6%E0%A7%81%E0%A6%B0%E0%A7%8D%E0%A6%AC%E0%A6%B2%E0%A6%A4%E0%A6%BE/
Nafees Imtiaz Islam
Deputy Director
Research Centre (Office of the Chairman, BoTs, DIU) and Institutional Quality Assurance Cell (IQAC)
​​Daffodil International University (DIU)
​​Telephone: 9138234-5 (Ext.: 387)
e-mail:nafees-research@daffodilvarsity.edu.bd
Web: www.daffodilvarsity.edu.bd

Offline Farhadalam

  • Full Member
  • ***
  • Posts: 105
  • Test
    • View Profile
I am preparing a report on fradulent activities by using bkash. will publish soon. Thank u sir.

Offline Raisa

  • Hero Member
  • *****
  • Posts: 790
  • Sky is the limit
    • View Profile
:)