বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা

Author Topic: বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা  (Read 1204 times)

Offline nafees_research

  • Sr. Member
  • ****
  • Posts: 344
  • Servant of ALLAH
    • View Profile
বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা

বিকাশ মোবাইল ওয়ালেট ব্যবহারকারী একজনের সেলফোনে ফোন আসে ১৬ মে দুপুরে। বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে অন্য প্রান্ত থেকে বলা হয়, সেবার মান বৃদ্ধির কাজ চলছে— দয়া করে আপনার বিকাশ অ্যাকাউন্টের পিন নম্বরটি দিন। বিষয়টি সন্দেহজনক মনে হওয়ায় নিজের পিন নম্বরটি গোপন করে চার ডিজিটের অন্য একটি পিন নম্বর দেন ওই গ্রাহক। এরপর ফোনটি কেটে দেন।

মিনিট তিনেক পর ওই গ্রাহকের ফোন নম্বর (মাস্কিং করা) থেকে আবার ফোন আসে। নিজের নম্বর থেকে ফোন আসায় গ্রাহকের সন্দেহ আরো বেড়ে যায়। দ্রুত সেলফোনটি বন্ধ করে দেন। চালু করেন ১৭ মে রাত ৪টায়। সঙ্গে সঙ্গে বেশ কয়েকটি ভেরিফিকেশন কোডের এসএমএস ভেসে ওঠে স্ক্রিনে। পরে বিকাশ অ্যাকাউন্ট চেক করে দেখেন তিন দফায় ১৫ হাজার ৪০০ টাকা উধাও।

পরদিন বিকাশের গ্রাহকসেবা কেন্দ্রে যান ওই গ্রাহক। পুরো বিষয়টি খুলে বলার পর সেখান থেকে জানানো হয়, উচ্চপ্রযুক্তির মাধ্যমে অ্যাকাউন্ট হ্যাক করে টাকা চুরি করে নেয়া হয়েছে। এ বিষয়ে তাদের (বিকাশ) কিছু করার নেই। বিকাশ অ্যাকাউন্ট থেকে টাকা খোয়া যাওয়ার ঘটনায় পরে পুলিশের কাছে আনুষ্ঠানিক অভিযোগ করেন ওই গ্রাহক।

বিকাশ অ্যাপের নিরাপত্তা দুর্বলতার কারণে অ্যাকাউন্ট থেকে টাকা চুরির আরো কিছু অভিযোগ পেয়েছে পুলিশ। এসব অভিযোগ তদন্ত করে দেখছে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। বিষয়টি নিশ্চিত করে সিআইডির মুখপাত্র ও অর্গানাইজড ক্রাইমের বিশেষ পুলিশ সুপার মোল্যা নজরুল ইসলাম বণিক বার্তাকে বলেন, এ ধরনের বেশ কয়েকটি অভিযোগ আমাদের কাছে এসেছে। সেগুলো তদন্ত করে দেখা হচ্ছে। তদন্ত শেষে জড়িতদের বিষয়ে ব্যবস্থা নেয়া হবে।

তদন্ত-সংশ্লিষ্টরা বলছেন, দুটি পদ্ধতিতে বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা কাজে লাগাচ্ছে অপরাধীরা। সবচেয়ে বেশি প্রচলিত পদ্ধতিটি হচ্ছে— গ্রাহককে বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে তার অ্যাকাউন্ট নম্বর ও নাম জেনে নেয়া। তারপর কৌশলে গ্রাহককে দিয়ে কিছু নম্বর চেপে সিমটি

ডাইভার্ট করিয়ে নেয়া। এক্ষেত্রে ইউএসএসডি মেনুর শর্টকোড ব্যবহার করা হয়। গ্রাহকও অনেক সময় এটি বুঝে উঠতে পারেন না। এরপর বিকাশ অ্যাপের মাধ্যমে ভেরিফিকেশন কোডের আবেদন জানানো হয়। ফিরতি মেসেজে বিকাশ যে ভেরিফিকেশন কোডটি পাঠায়, সেটি চলে যায় সরাসরি অপরাধীদের হাতে। ওই ভেরিফিকেশন কোড দিয়েই অ্যাপে প্রবেশ করে পিন নম্বর পরিবর্তনের আবেদন জানায় অপরাধীরা। পরে তারা নতুন পিন নম্বর সৃষ্টি করে ওই অ্যাকাউন্টের টাকা সরিয়ে নেয়। এ পদ্ধতিতে সফল না হলে বিকল্প হিসেবে মাস্কিং ও ক্লোনিংয়ের মাধ্যমে গ্রাহকের অ্যাকাউন্টে প্রবেশের সুযোগ নেয় অপরাধীরা।

তদন্ত কর্মকর্তাদের মতে, যে পদ্ধতিই অনুসরণ করা হোক না কেন, সংশ্লিষ্ট গ্রাহকের অ্যাকাউন্টের বিভিন্ন তথ্য জানা অপরাধীদের জন্য গুরুত্বপূর্ণ। পাশাপাশি ওই গ্রাহক অ্যাপ ব্যবহার করছেন কিনা সেটাও জানা থাকতে হবে। এক্ষেত্রে দুটি উপায়ে এ তথ্য পাওয়া সম্ভব। সেবাদাতা প্রতিষ্ঠানের কেন্দ্রীয় সার্ভার হ্যাকিংয়ের মাধ্যমে তাতে প্রবেশ করে তথ্য সংগ্রহ করা যেতে পারে। প্রতিষ্ঠানের অভ্যন্তরীণ কর্মীদের মাধ্যমেও এসব তথ্য সংগ্রহ করা সম্ভব। গ্রাহকের পিন নম্বর ও অ্যাকাউন্ট ব্যালান্সের তথ্য থাকার পরও যাচাইকরণ কোডটিও গুরুত্বপূর্ণ। এটি তারা সংগ্রহ করছে গ্রাহককে প্রলুব্ধ করে অথবা সিম ক্লোনিংয়ের মাধ্যমে।

নতুন অ্যাপটির বিষয়ে বিকাশের একাধিক এজেন্টের সঙ্গে যোগাযোগ করা হলে তারাও এর নিরাপত্তা নিয়ে আশঙ্কার কথা জানান। তারা বলছেন, অ্যাপটির মাধ্যমে লেনদেন সহজ হলেও নিরাপত্তার বিষয়টি নিশ্চিত করা সম্ভব হয়নি। কারণ যেকোনো ডিভাইস থেকে অ্যাপটির অ্যাকসেস পাওয়া সম্ভব। ফলে অন্যের ফোন নম্বর ও পিন নম্বর জানা থাকলে যেকোনো ডিভাইস থেকেই অ্যাপটির মাধ্যমে লেনদেনও করা যায়।

তবে নিরাপত্তাজনিত সব ধরনের ঝুঁকি যাচাই-বাছাই করেই অ্যাপটি চালু করা হয়েছে বলে জানান বিকাশের প্রধান নির্বাহী কর্মকর্তা কামাল কাদীর। বণিক বার্তাকে তিনি বলেন, তার পরও এতে নিরাপত্তা-সংক্রান্ত কোনো ঝুঁকি থেকে থাকলে তা গুরুত্বের সঙ্গে পর্যালোচনা করে ব্যবস্থা নেবে বিকাশ।

বিকাশ অ্যাপে ভেরিফিকেশনের যে ব্যবস্থা রাখা হয়েছে, তাতে নিরাপত্তা নিয়ে ঝুঁকির আশঙ্কা আছে বলে মনে করেন প্রযুক্তি বিশেষজ্ঞরা। কারণ হিসেবে তারা বলছেন, বিকাশের অ্যাপটির নিরাপত্তার বিষয়টি এখন পর্যন্ত এসএমএসভিত্তিক। সিম ও ডিভাইস শনাক্তকরণের কোনো ব্যবস্থা রাখা হয়নি এতে। নিরাপত্তার এ ত্রুটির সুযোগ নিয়ে অপরাধীরা সহজেই যেকোনো বিকাশ অ্যাপ ব্যবহারকারীর অ্যাকাউন্টের তথ্য চুরি করে টাকা হাতিয়ে নিতে পারছেন।

এশিয়া-প্যাসিফিক নেটওয়ার্ক অপারেটর গ্রুপের (এপনিক) পলিসি সিগের কো-চেয়ার ও সাইবার নিরাপত্তা বিশেষজ্ঞ সুমন আহমেদ সাবির বণিক বার্তাকে বলেন, সাধারণত ভাইবার, হোয়াটসঅ্যাপের মতো একবার ব্যবহারযোগ্য পাসওয়ার্ড (ওটিপি) ভিত্তিক বিভিন্ন অ্যাপ আর্থিক লেনদেনের জন্য ব্যবহার হয় না। তবে ব্যক্তিগত তথ্যের সুরক্ষার জন্য প্রাথমিক নিরাপত্তা ব্যবস্থা হিসেবে এগুলোয় ওটিপি রাখা হয়। আর্থিক লেনদেনের জন্য নিরাপত্তার বিষয়টি নিয়ে সেভাবে ভাবতে হবে। সিম ক্লোন হয়ে গেলে এবং যদি সেটি চালু রাখা যায়, তবে খুব সহজেই অ্যাকাউন্টের নিরাপত্তা ভেঙে ফেলা সম্ভব। সিম ক্লোনিং একটা বাস্তবতা। ফলে এটি মেনে নিয়েই শুধু ওটিপির ওপর নির্ভর করলে এমন ঘটনা ঘটতে পারে। এক্ষেত্রে নানা ধরনের অথেনটিকেশন ও ভেরিফিকেশনের ব্যবস্থা রাখা যেতে পারে।

মোবাইল ওয়ালেটের নিরাপত্তা নিশ্চিতে কোনো কোনো সেবাদাতা প্রতিষ্ঠান সেলফোন নম্বরের সঙ্গে অতিরিক্ত নম্বর যোগ করছে। এছাড়া সিমনির্ভর নিরাপত্তা ব্যবস্থাও রাখা হয়েছে। ফলে কোনো গ্রাহকের সিম রিপ্লেসমেন্টের ঘটনা ঘটলে তাত্ক্ষণিকভাবে সংশ্লিষ্ট ওয়ালেট বন্ধ হয়ে যাচ্ছে। নির্দিষ্ট সময় পর গ্রাহকের পরিচয় নিশ্চিত হয়ে ওয়ালেটটি পুনরায় চালু করা হচ্ছে।

উল্লেখ্য, গত ১৫ মে আনুষ্ঠানিকভাবে নিজেদের প্রথম অ্যাপ চালুর ঘোষণা দেয় বিকাশ। তবে গুগল প্লে স্টোরে এটি ২৫ এপ্রিল থেকে পাওয়া যায়। এর আগে থেকে প্রতিষ্ঠানটির ইউএসএসডিভিত্তিক লেনদেন ব্যবস্থা চালু ছিল। অ্যাপের ব্যবহার বাড়াতে এতে লেনদেনে কম চার্জ নেয়ার ঘোষণা দিয়েছে প্রতিষ্ঠানটি। অ্যাপে ক্যাশ আউট করলে হাজারে খরচ হবে ১৫ টাকা। আর অ্যাপের বাইরে লেনদেনে ক্যাশ আউটের খরচ ১৮ টাকা।

Source: http://bonikbarta.net/bangla/news/2018-06-06/160262/%E0%A6%AC%E0%A6%BF%E0%A6%95%E0%A6%BE%E0%A6%B6-%E0%A6%85%E0%A7%8D%E0%A6%AF%E0%A6%BE%E0%A6%AA%E0%A7%87%E0%A6%B0--%E0%A6%A8%E0%A6%BF%E0%A6%B0%E0%A6%BE%E0%A6%AA%E0%A6%A4%E0%A7%8D%E0%A6%A4%E0%A6%BE-%E0%A6%A6%E0%A7%81%E0%A6%B0%E0%A7%8D%E0%A6%AC%E0%A6%B2%E0%A6%A4%E0%A6%BE/
Nafees Imtiaz Islam
Deputy Director, IQAC, DIU and
Ph.D. Candidate in International Trade
University of Dhaka

Tel.:  65324 (DSC-IP)
e-mail address:
nafees-research@daffodilvarsity.edu.bd  and
iqac-office@daffodilvarsity.edu.bd

Offline Farhadalam

  • Full Member
  • ***
  • Posts: 105
  • Test
    • View Profile
I am preparing a report on fradulent activities by using bkash. will publish soon. Thank u sir.

Offline Raisa

  • Hero Member
  • *****
  • Posts: 908
  • Sky is the limit
    • View Profile
:)