হোটেল চেক-ইন ব্যবস্থার একটি নিরাপত্তা ত্রুটির কারণে বিশ্বের বিভিন্ন দেশের অন্তত ১০ লাখের বেশি গ্রাহকের পাসপোর্ট, ড্রাইভিং লাইসেন্স এবং পরিচয় যাচাইয়ের সেলফি ছবি উন্মুক্ত অবস্থায় ইন্টারনেটে পড়ে ছিল। পরে বিষয়টি প্রকাশ্যে আসার পর সংশ্লিষ্ট প্রতিষ্ঠান তথ্যগুলো অফলাইনে সরিয়ে নেয়।
ঘটনাটি ঘটেছে ‘টাবিক’ নামের একটি হোটেল চেক-ইন সিস্টেমে, যা পরিচালনা করে জাপানভিত্তিক প্রযুক্তি স্টার্টআপ রেক্রিয়া। প্রতিষ্ঠানটির ওয়েবসাইট অনুযায়ী, জাপানের কয়েকটি হোটেলে এই সিস্টেম ব্যবহার করা হয়। এতে মুখ শনাক্তকরণ প্রযুক্তি ও পরিচয়পত্র স্ক্যানের মাধ্যমে অতিথিদের চেক-ইন সম্পন্ন করা হয়।
স্বাধীন সাইবার নিরাপত্তা গবেষক অনুরাগ সেন সম্প্রতি বিষয়টি শনাক্ত করে সংবাদমাধ্যমকে জানান। তার দাবি, গ্রাহকদের তথ্য সংরক্ষণের জন্য ব্যবহৃত অ্যামাজনের ক্লাউড স্টোরেজ বালতিগুলোর (স্টোরেজ বাকেট) একটি ভুলবশত সবার জন্য উন্মুক্ত করে রাখা হয়েছিল।
ফলে কোনো পাসওয়ার্ড ছাড়াই শুধু ‘টাবিক’ নামটি জানা থাকলেই ওয়েব ব্রাউজারের মাধ্যমে সংবেদনশীল তথ্যগুলো দেখা যাচ্ছিল।
প্রযুক্তি বিষয়ক ওয়েবসাইট টেকক্রাঞ্চ বিষয়টি জানালে প্রতিষ্ঠানটি দ্রুত সেই স্টোরেজ বাকেটের প্রবেশাধিকার সীমিত করে। একই সঙ্গে জাপানের সাইবার নিরাপত্তা সমন্বয় সংস্থা জেপিসিইআরটিকেও অবহিত করা হয়।
প্রতিষ্ঠানটির পরিচালক মাসাতাকা হাশিমোতো এক ইমেইল বার্তায় বলেন, তথ্য ফাঁসের পুরো পরিধি নির্ধারণে তারা আইনি পরামর্শক ও অন্যান্য বিশেষজ্ঞদের সহায়তায় তদন্ত চালাচ্ছেন।
তবে কীভাবে স্টোরেজটি উন্মুক্ত হয়ে গিয়েছিল, সে বিষয়ে এখনো নিশ্চিত নয় প্রতিষ্ঠানটি। সাধারণত অ্যামাজনের ক্লাউড স্টোরেজ ডিফল্টভাবে ব্যক্তিগত বা সুরক্ষিত অবস্থায় থাকে। কয়েক বছর আগে একাধিক তথ্য ফাঁসের ঘটনার পর অ্যামাজন এ ধরনের স্টোরেজ উন্মুক্ত করার আগে একাধিক সতর্কবার্তাও যুক্ত করে।
প্রতিষ্ঠানটি জানিয়েছে, তদন্ত শেষ হলে ক্ষতিগ্রস্ত ব্যক্তিদের অবহিত করা হবে। তবে তথ্যগুলো অন্য কেউ ব্যবহার করেছে কি না, তা এখনো নিশ্চিত হওয়া যায়নি। এ বিষয়ে সার্ভার লগ পরীক্ষা করা হচ্ছে।
প্রকাশিত তথ্যভান্ডারে ২০২০ সালের শুরুর দিক থেকে চলতি মাস পর্যন্ত আপলোড করা নথি ছিল। এতে বিভিন্ন দেশের ভ্রমণকারীদের পাসপোর্ট, ড্রাইভিং লাইসেন্স এবং পরিচয় যাচাইয়ের নথি অন্তর্ভুক্ত ছিল।
বিশেষজ্ঞরা বলছেন, সাম্প্রতিক সময়ে বিভিন্ন প্রতিষ্ঠান বয়স যাচাই বা “নো ইউর কাস্টমার” (কেওয়াইসি) প্রক্রিয়ার জন্য গ্রাহকদের সংবেদনশীল নথি অনলাইনে আপলোড করতে বলছে। কিন্তু এসব তথ্য তৃতীয় পক্ষের কাছে সংরক্ষিত থাকায় নিরাপত্তা ঝুঁকিও বাড়ছে।
এর আগে চলতি বছর অর্থ লেনদেন সেবা ‘ডাক অ্যাপ’-এর গ্রাহকদের পাসপোর্ট ও লাইসেন্স ফাঁসের ঘটনাও সামনে আসে। এছাড়া গত বছর গাড়ি ভাড়া সেবা হার্টজ-এর তথ্য ফাঁসে অন্তত এক লাখ গ্রাহকের ড্রাইভিং লাইসেন্সের তথ্য হাতিয়ে নেয় হ্যাকাররা।
সূত্র: টেকক্রাঞ্চ
