Daffodil International University

Faculties and Departments => Business & Entrepreneurship => Business Administration => Topic started by: nafees_research on June 07, 2018, 04:37:28 PM

Title: বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা
Post by: nafees_research on June 07, 2018, 04:37:28 PM

বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা

বিকাশ মোবাইল ওয়ালেট ব্যবহারকারী একজনের সেলফোনে ফোন আসে ১৬ মে দুপুরে। বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে অন্য প্রান্ত থেকে বলা হয়, সেবার মান বৃদ্ধির কাজ চলছে— দয়া করে আপনার বিকাশ অ্যাকাউন্টের পিন নম্বরটি দিন। বিষয়টি সন্দেহজনক মনে হওয়ায় নিজের পিন নম্বরটি গোপন করে চার ডিজিটের অন্য একটি পিন নম্বর দেন ওই গ্রাহক। এরপর ফোনটি কেটে দেন।

মিনিট তিনেক পর ওই গ্রাহকের ফোন নম্বর (মাস্কিং করা) থেকে আবার ফোন আসে। নিজের নম্বর থেকে ফোন আসায় গ্রাহকের সন্দেহ আরো বেড়ে যায়। দ্রুত সেলফোনটি বন্ধ করে দেন। চালু করেন ১৭ মে রাত ৪টায়। সঙ্গে সঙ্গে বেশ কয়েকটি ভেরিফিকেশন কোডের এসএমএস ভেসে ওঠে স্ক্রিনে। পরে বিকাশ অ্যাকাউন্ট চেক করে দেখেন তিন দফায় ১৫ হাজার ৪০০ টাকা উধাও।

পরদিন বিকাশের গ্রাহকসেবা কেন্দ্রে যান ওই গ্রাহক। পুরো বিষয়টি খুলে বলার পর সেখান থেকে জানানো হয়, উচ্চপ্রযুক্তির মাধ্যমে অ্যাকাউন্ট হ্যাক করে টাকা চুরি করে নেয়া হয়েছে। এ বিষয়ে তাদের (বিকাশ) কিছু করার নেই। বিকাশ অ্যাকাউন্ট থেকে টাকা খোয়া যাওয়ার ঘটনায় পরে পুলিশের কাছে আনুষ্ঠানিক অভিযোগ করেন ওই গ্রাহক।

বিকাশ অ্যাপের নিরাপত্তা দুর্বলতার কারণে অ্যাকাউন্ট থেকে টাকা চুরির আরো কিছু অভিযোগ পেয়েছে পুলিশ। এসব অভিযোগ তদন্ত করে দেখছে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। বিষয়টি নিশ্চিত করে সিআইডির মুখপাত্র ও অর্গানাইজড ক্রাইমের বিশেষ পুলিশ সুপার মোল্যা নজরুল ইসলাম বণিক বার্তাকে বলেন, এ ধরনের বেশ কয়েকটি অভিযোগ আমাদের কাছে এসেছে। সেগুলো তদন্ত করে দেখা হচ্ছে। তদন্ত শেষে জড়িতদের বিষয়ে ব্যবস্থা নেয়া হবে।

তদন্ত-সংশ্লিষ্টরা বলছেন, দুটি পদ্ধতিতে বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা কাজে লাগাচ্ছে অপরাধীরা। সবচেয়ে বেশি প্রচলিত পদ্ধতিটি হচ্ছে— গ্রাহককে বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে তার অ্যাকাউন্ট নম্বর ও নাম জেনে নেয়া। তারপর কৌশলে গ্রাহককে দিয়ে কিছু নম্বর চেপে সিমটি

ডাইভার্ট করিয়ে নেয়া। এক্ষেত্রে ইউএসএসডি মেনুর শর্টকোড ব্যবহার করা হয়। গ্রাহকও অনেক সময় এটি বুঝে উঠতে পারেন না। এরপর বিকাশ অ্যাপের মাধ্যমে ভেরিফিকেশন কোডের আবেদন জানানো হয়। ফিরতি মেসেজে বিকাশ যে ভেরিফিকেশন কোডটি পাঠায়, সেটি চলে যায় সরাসরি অপরাধীদের হাতে। ওই ভেরিফিকেশন কোড দিয়েই অ্যাপে প্রবেশ করে পিন নম্বর পরিবর্তনের আবেদন জানায় অপরাধীরা। পরে তারা নতুন পিন নম্বর সৃষ্টি করে ওই অ্যাকাউন্টের টাকা সরিয়ে নেয়। এ পদ্ধতিতে সফল না হলে বিকল্প হিসেবে মাস্কিং ও ক্লোনিংয়ের মাধ্যমে গ্রাহকের অ্যাকাউন্টে প্রবেশের সুযোগ নেয় অপরাধীরা।

তদন্ত কর্মকর্তাদের মতে, যে পদ্ধতিই অনুসরণ করা হোক না কেন, সংশ্লিষ্ট গ্রাহকের অ্যাকাউন্টের বিভিন্ন তথ্য জানা অপরাধীদের জন্য গুরুত্বপূর্ণ। পাশাপাশি ওই গ্রাহক অ্যাপ ব্যবহার করছেন কিনা সেটাও জানা থাকতে হবে। এক্ষেত্রে দুটি উপায়ে এ তথ্য পাওয়া সম্ভব। সেবাদাতা প্রতিষ্ঠানের কেন্দ্রীয় সার্ভার হ্যাকিংয়ের মাধ্যমে তাতে প্রবেশ করে তথ্য সংগ্রহ করা যেতে পারে। প্রতিষ্ঠানের অভ্যন্তরীণ কর্মীদের মাধ্যমেও এসব তথ্য সংগ্রহ করা সম্ভব। গ্রাহকের পিন নম্বর ও অ্যাকাউন্ট ব্যালান্সের তথ্য থাকার পরও যাচাইকরণ কোডটিও গুরুত্বপূর্ণ। এটি তারা সংগ্রহ করছে গ্রাহককে প্রলুব্ধ করে অথবা সিম ক্লোনিংয়ের মাধ্যমে।

নতুন অ্যাপটির বিষয়ে বিকাশের একাধিক এজেন্টের সঙ্গে যোগাযোগ করা হলে তারাও এর নিরাপত্তা নিয়ে আশঙ্কার কথা জানান। তারা বলছেন, অ্যাপটির মাধ্যমে লেনদেন সহজ হলেও নিরাপত্তার বিষয়টি নিশ্চিত করা সম্ভব হয়নি। কারণ যেকোনো ডিভাইস থেকে অ্যাপটির অ্যাকসেস পাওয়া সম্ভব। ফলে অন্যের ফোন নম্বর ও পিন নম্বর জানা থাকলে যেকোনো ডিভাইস থেকেই অ্যাপটির মাধ্যমে লেনদেনও করা যায়।

তবে নিরাপত্তাজনিত সব ধরনের ঝুঁকি যাচাই-বাছাই করেই অ্যাপটি চালু করা হয়েছে বলে জানান বিকাশের প্রধান নির্বাহী কর্মকর্তা কামাল কাদীর। বণিক বার্তাকে তিনি বলেন, তার পরও এতে নিরাপত্তা-সংক্রান্ত কোনো ঝুঁকি থেকে থাকলে তা গুরুত্বের সঙ্গে পর্যালোচনা করে ব্যবস্থা নেবে বিকাশ।

বিকাশ অ্যাপে ভেরিফিকেশনের যে ব্যবস্থা রাখা হয়েছে, তাতে নিরাপত্তা নিয়ে ঝুঁকির আশঙ্কা আছে বলে মনে করেন প্রযুক্তি বিশেষজ্ঞরা। কারণ হিসেবে তারা বলছেন, বিকাশের অ্যাপটির নিরাপত্তার বিষয়টি এখন পর্যন্ত এসএমএসভিত্তিক। সিম ও ডিভাইস শনাক্তকরণের কোনো ব্যবস্থা রাখা হয়নি এতে। নিরাপত্তার এ ত্রুটির সুযোগ নিয়ে অপরাধীরা সহজেই যেকোনো বিকাশ অ্যাপ ব্যবহারকারীর অ্যাকাউন্টের তথ্য চুরি করে টাকা হাতিয়ে নিতে পারছেন।

এশিয়া-প্যাসিফিক নেটওয়ার্ক অপারেটর গ্রুপের (এপনিক) পলিসি সিগের কো-চেয়ার ও সাইবার নিরাপত্তা বিশেষজ্ঞ সুমন আহমেদ সাবির বণিক বার্তাকে বলেন, সাধারণত ভাইবার, হোয়াটসঅ্যাপের মতো একবার ব্যবহারযোগ্য পাসওয়ার্ড (ওটিপি) ভিত্তিক বিভিন্ন অ্যাপ আর্থিক লেনদেনের জন্য ব্যবহার হয় না। তবে ব্যক্তিগত তথ্যের সুরক্ষার জন্য প্রাথমিক নিরাপত্তা ব্যবস্থা হিসেবে এগুলোয় ওটিপি রাখা হয়। আর্থিক লেনদেনের জন্য নিরাপত্তার বিষয়টি নিয়ে সেভাবে ভাবতে হবে। সিম ক্লোন হয়ে গেলে এবং যদি সেটি চালু রাখা যায়, তবে খুব সহজেই অ্যাকাউন্টের নিরাপত্তা ভেঙে ফেলা সম্ভব। সিম ক্লোনিং একটা বাস্তবতা। ফলে এটি মেনে নিয়েই শুধু ওটিপির ওপর নির্ভর করলে এমন ঘটনা ঘটতে পারে। এক্ষেত্রে নানা ধরনের অথেনটিকেশন ও ভেরিফিকেশনের ব্যবস্থা রাখা যেতে পারে।

মোবাইল ওয়ালেটের নিরাপত্তা নিশ্চিতে কোনো কোনো সেবাদাতা প্রতিষ্ঠান সেলফোন নম্বরের সঙ্গে অতিরিক্ত নম্বর যোগ করছে। এছাড়া সিমনির্ভর নিরাপত্তা ব্যবস্থাও রাখা হয়েছে। ফলে কোনো গ্রাহকের সিম রিপ্লেসমেন্টের ঘটনা ঘটলে তাত্ক্ষণিকভাবে সংশ্লিষ্ট ওয়ালেট বন্ধ হয়ে যাচ্ছে। নির্দিষ্ট সময় পর গ্রাহকের পরিচয় নিশ্চিত হয়ে ওয়ালেটটি পুনরায় চালু করা হচ্ছে।

উল্লেখ্য, গত ১৫ মে আনুষ্ঠানিকভাবে নিজেদের প্রথম অ্যাপ চালুর ঘোষণা দেয় বিকাশ। তবে গুগল প্লে স্টোরে এটি ২৫ এপ্রিল থেকে পাওয়া যায়। এর আগে থেকে প্রতিষ্ঠানটির ইউএসএসডিভিত্তিক লেনদেন ব্যবস্থা চালু ছিল। অ্যাপের ব্যবহার বাড়াতে এতে লেনদেনে কম চার্জ নেয়ার ঘোষণা দিয়েছে প্রতিষ্ঠানটি। অ্যাপে ক্যাশ আউট করলে হাজারে খরচ হবে ১৫ টাকা। আর অ্যাপের বাইরে লেনদেনে ক্যাশ আউটের খরচ ১৮ টাকা।

Source: http://bonikbarta.net/bangla/news/2018-06-06/160262/%E0%A6%AC%E0%A6%BF%E0%A6%95%E0%A6%BE%E0%A6%B6-%E0%A6%85%E0%A7%8D%E0%A6%AF%E0%A6%BE%E0%A6%AA%E0%A7%87%E0%A6%B0--%E0%A6%A8%E0%A6%BF%E0%A6%B0%E0%A6%BE%E0%A6%AA%E0%A6%A4%E0%A7%8D%E0%A6%A4%E0%A6%BE-%E0%A6%A6%E0%A7%81%E0%A6%B0%E0%A7%8D%E0%A6%AC%E0%A6%B2%E0%A6%A4%E0%A6%BE/

Title: Re: বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা
Post by: Farhadalam on June 21, 2018, 02:06:59 PM

I am preparing a report on fradulent activities by using bkash. will publish soon. Thank u sir.

Title: Re: বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা
Post by: Raisa on June 23, 2018, 10:17:52 AM

wow