জন্মসনদ জালিয়াতিতে বড় চক্র, মিলেছে চাঞ্চল্যকর তথ্য
চট্টগ্রাম সিটি করপোরেশনের বিভিন্ন ওয়ার্ডের সার্ভার থেকে ‘ভুয়া’ জন্ম নিবন্ধনের ঘটনায় গ্রেপ্তার পাঁচজন নগর পুলিশের কাউন্টার টেরোরিজম ইউনিটকে চাঞ্চল্যকর তথ্য দিয়েছে। তাদের জিজ্ঞাসাবাদে সংস্থাটি নিশ্চিত হয়েছে, রেজিস্ট্রার জেনারেলের কার্যালয়ের মূল নিয়ন্ত্রণে থাকা সার্ভার হ্যাক করেই জন্ম নিবন্ধনগুলো করা হয়েছে।
কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা জানিয়েছেন, হ্যাকিংয়ের মাধ্যমে সার্ভারে অবৈধভাবে প্রবেশ করে জন্ম নিবন্ধনে জড়িত একটি চক্রের মূল হোতা হচ্ছে নড়াইলের এক স্বল্পশিক্ষিত দোকানি। নিজ দোকানে বসেই ওই ব্যক্তি প্রযুক্তি ব্যবহার করে সার্ভারে ঢুকে জন্ম নিবন্ধনের প্রক্রিয়া সম্পন্ন করে। তার সঙ্গে গ্রেপ্তার হওয়া বাকি চারজনও কমবেশি হ্যাকিংয়ের পারদর্শী।
এ অবস্থায় স্পর্শকাতর বিবেচিত জন্ম নিবন্ধন সার্ভারের নিরাপত্তার দুর্বলতা নিয়ে প্রশ্ন উঠেছে। সংশ্লিষ্টদের মতে, সার্ভারে দুর্বলতার কারণেই সহজে সেখানে প্রবেশ করা যাচ্ছে। এমনকি এক মাস আগে নতুনভাবে আপডেট দেয়ার পরও মূল সার্ভারটিকে রক্ষা করা যায়নি।
তবে সার্ভার হ্যাক করার আগে আইডি-পাসওয়ার্ড ব্যবহার করেও সেখানে অনুপ্রবেশের তথ্য পেয়েছেন কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা।
গত ১৬ থেকে ১৮ ফেব্রুয়ারি টানা তিন দিন চট্টগ্রাম, নড়াইল, ঢাকা, গাজীপুর ও সিরাজগঞ্জ জেলায় অভিযান চালিয়ে এক বিশ্ববিদ্যালয় ছাত্রসহ পাঁচ জনকে গ্রেপ্তার করে সিএমপির কাউন্টার টেরোরিজম ইউনিট।
এরা হলেন- চট্টগ্রামের সাগর আহমেদ জোভান (২৩), নড়াইলের শেখ সেজান (২৩), ঢাকার কলাবাগানের মেহেদী হাসান (২৩), সিরাজগঞ্জের শাকিল হোসেন (২৩) এবং গাজীপুরের মাসুদ রানা (২৭)। তাদের কাছ থেকে কম্পিউটার, ল্যাপটপ, ট্যাব, প্রিন্টারসহ হ্যাকিং ও ভুয়া জন্ম নিবন্ধন সনদ প্রদানের নানা সরঞ্জাম উদ্ধার করা হয়।
সংশ্লিষ্ট কর্মকর্তারা জানান, সংঘবদ্ধ এই চক্রের মূল হোতা শেখ সেজান। নড়াইল জেলার লোহাগাড়া উপজেলার দিঘালিয়া বাজারে ‘আদনান কম্পিউটার’ নামে একটি দোকানের মালিক তিনি। জোভান ছিল চক্রের চট্টগ্রাম অঞ্চলের মূল ব্যক্তি। মেহেদী হাসান সোনারগাঁও বিশ্ববিদ্যালয়ের কম্পিউটার সাইয়েন্সের শেষ বর্ষের ছাত্র। শাকিল ও মাসুদ রানাও সার্ভার হ্যাকিংয়ে পারদর্শী।
সিএমপির কাউন্টার টেরোরিজম ইউনিটের অতিরিক্ত উপ কমিশনার (এডিসি) আসিফ মহিউদ্দীন বলেন, ‘শেখ সেজান হ্যাকারদের মূল নেতা। তিনি একজন সাধারণ দোকানি হলেও ওয়েবসাইট তৈরি, সফটওয়্যার ডেভেলপসহ প্রযুক্তিগত বিভিন্ন বিষয়ে তার দক্ষতা আছে। তার দোকানে বসেই সার্ভার হ্যাক করে পাঁচ হাজারের বেশি ভুয়া জন্ম নিবন্ধন করার কথা তিনি আমাদের কাছে স্বীকার করেছে। বাকি চারজন যারা তারাও কিন্তু হ্যাকিংয়ে পারদর্শী। তবে এদের একেকজন একেক স্তরে কাজ করে। সবাই হ্যাকিংয়ে জড়িত এমন নয়। মূল কাজ করে সেজান।’
যেভাবে সার্ভারে অবৈধ প্রবেশ
পাঁচ জনকে গ্রেপ্তারের পর প্রাথমিক জিজ্ঞাসাবাদে পাওয়া তথ্য অনুযায়ী কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা জানান, মূলত ‘ইন্টারনেট কুকি’ ব্যবহার করে দোকানি সেজান জন্ম নিবন্ধনের মূল সার্ভারটি হ্যাক করে।
প্রসঙ্গত, ইন্টারনেট কুকিজ হচ্ছে কিছু ফাইল, যেগুলো ইন্টারনেট ব্রাউজারের ক্যাশ মেমোরিতে সংরক্ষিত হয়। ইন্টারনেট ব্রাউজারে কুকি এনাবল করা থাকলে, একটি ওয়েবসাইট একবার ব্রাউজ করলে, ডাটাগুলো কুকির মাধ্যমে সেই ওয়েবসাইটে থেকে যায়। সে ক্ষেত্রে দ্বিতীয়বার সেই ওয়েবসাইটে গেলে সবকিছু আগের মতোই পাওয়া যায়। আইডি-পাসওয়ার্ড সেভ করে কোনো ওয়েবসাইটে লগইন করলে উইন্ডো বন্ধ করার পর কুকির সাহায্যে সেই আইডি এবং পাসওয়ার্ড পরবর্তীতে পাওয়া যায়।
এ ছাড়া ‘তৃতীয়পক্ষ কুকি’ আছে যা যেকোনো ওয়েবসাইট থেকে সকল অনলাইন লগ-ইন সেশন সংরক্ষণে সক্ষম। যদি কেউ সেই কুকি চুরি করে নিজের ব্রাউজারে বসিয়ে দেয়, তবে সেই ওয়েবসাইটটিতে লগইন করার জন্য তার আর কোনো আইডি বা পাসওয়ার্ড এর প্রয়োজন পড়ে না। এ ছাড়া কোনো লগ-ইন সেশনে ইমেইল অ্যাড্রেস, ক্রেডিট কার্ড নম্বর ইনপুট দিলে সেগুলো তৃতীয়পক্ষ কুকিজের মাধ্যমে নেয়া যায়।
তৃতীয়পক্ষ কুকি ব্যবহারে পারদর্শী সেজান এ প্রক্রিয়ায় জন্ম নিবন্ধনের সার্ভার হ্যাক করে জানিয়ে এডিসি আসিফ মহিউদ্দীন বলেন, ‘থার্ড পার্টি অ্যাপের মাধ্যমে কুকিজ জন্ম নিবন্ধন সার্ভারে সেজান ড্রপ-ইন করায়। এর ফলে কোনো জনপ্রতিনিধি কিংবা সংশ্লিষ্ট অন্য কোনো কার্যালয়ে খুলে রাখা সার্ভারে লগ-ইন সেশন নিয়ে নেয় সে। এই লগ-ইন সেশন দিয়ে মূল সার্ভারে বাইপাস করে ঢুকে সেটা কপি-পেস্ট করে প্রবেশ করতে পারতো। যে সার্ভারের আইডি থেকে লগ-ইন সেশন নেয়া হয়েছে সেটি পরবর্তীতে লগ-আউট করলেও ততক্ষণে আইডি, পাসওয়ার্ড সব হ্যাকারদের দখলে চলে গেছে। তখন হ্যাকাররা নিজেদের ইচ্ছেমতো জন্ম নিবন্ধনের তথ্য ইনপুট দিয়ে সেগুলো অনুমোদন করিয়ে নিতে পারতো।’
‘জন্ম নিবন্ধন অনুমোদনের দুইটা স্তর আছে। একটি নিবন্ধন সহকারীর, আরেকটি জনপ্রতিনিধির। দুই স্তরেই অনুমোদনই তারা দিতে পারতো। কিন্তু মূল অনুমোদন অর্থাৎ রেজিস্ট্রার জেনারেলের কার্যালয়ের অনুমোদনের ক্ষমতা শেখ সেজান নিজের কাছেই রেখেছিল।’
এডিসি আসিফ মহিউদ্দীন জানান, গত দেড় বছর ধরে সেজানের নেতৃত্বে চক্রটি জন্ম নিবন্ধন জালিয়াতি করে আসছে। প্রথমে তারা সরাসরি আইডি-পাসওয়ার্ড ব্যবহার করে করতো। সেই আইডি-পাসওয়ার্ড আবার প্রতি ঘণ্টার জন্য ৮ থেকে ১০ হাজার টাকার বিনিময়ে সে চক্রের অন্য সদস্যদেরও ব্যবহার করতে দিতো। গেল ছয় মাস ধরে কুকি ব্যবহার করে সার্ভার হ্যাক করে জালিয়াতি করে আসছিল। সেই প্রক্রিয়াও আবার বিভিন্নজনের কাছে ভাড়া দিতো।
চট্টগ্রাম সিটি করপোরেশন ছাড়াও ঢাকা উত্তর, ঢাকা দক্ষিণ, কুমিল্লা, সিলেট ও ময়মনসিংহ সিটি করপোরেশন, চট্টগ্রামের দোহাজারি পৌরসভা এবং ফরিদপুর, বাগেরহাট, নরসিংদী জেলায় কয়েক হাজার জন্ম নিবন্ধন সনদ সৃজনের তথ্য পাওয়া গেছে। তবে জব্দ করা ল্যাপটপ ও ডেস্কটপ ফরেনসিক পরীক্ষার পর সেটি নিশ্চিত হওয়া যাবে বলে বলে জানালেন কাউন্টার টেরোরিজমের এডিসি আসিফ মহিউদ্দীন।
কাউন্টার টেরোরিজম ইউনিটের কর্মকর্তারা জানান, গত ৩ জানুয়ারি জন্ম নিবন্ধন সার্ভার সুরক্ষিত করতে নতুনভাবে আপডেট দেয়া হয়। এতে ওটিপি নম্বর ইনপুট দেয়ার মাধ্যমে প্রবেশের অপশন যুক্ত করা হয়, যাতে ব্যবহারকারীর মোবাইল নম্বর দেয়া বাধ্যতামূলক। সেই আপডেটের পরও ২৩ জানুয়ারি পর্যন্ত শেখ সেজানের নেতৃত্বাধীন চক্রটি সার্ভারে প্রবেশ করে জন্ম নিবন্ধন করেছে।
যেভাবে ধরা পড়ে হ্যাকাররা
গত ৮ জানুয়ারি থেকে ২৫ জানুয়ারি পর্যন্ত নগরীর ৬টি ওয়ার্ডে ৭৯৭টি ভুয়া জন্ম নিবন্ধনের প্রমাণ পাবার তথ্য দেয় চট্টগ্রাম সিটি করপোরেশন। ৩৮ নম্বর দক্ষিণ মধ্যম হালিশহর, ১৩ নম্বর পাহাড়তলী, ৪০ নম্বর উত্তর পতেঙ্গা, ১৪ নম্বর লালখান বাজার, ৩২ নম্বর আন্দরকিল্লা এবং ১১ নম্বর দক্ষিণ কাট্টলী ওয়ার্ডে এসব জালিয়াতির ঘটনায় মোট চারটি মামলা দায়ের হয়। মামলাগুলো তদন্ত করছে সিএমপির কাউন্টার টেরোরিজম ইউনিট।
খুলশী থানায় দায়ের হওয়া একটি মামলায় গত ২৪ জানুয়ারি চার জনকে গ্রেপ্তার করা হয়। এরা হল- আব্দুর রহমান আরিফ (২৫), দেলোয়ার হোসেন সাইমন (২৩), মোস্তাকিম (২২) এবং তার ১৬ বছর বয়সী শ্যালক।
২৫ জানুয়ারি রাকিব হোসেন হিমেল নামে চক্রের আরেক সদস্যকে এক গ্রাহকসহ গ্রেপ্তার করা হয়। ৩০ জানুয়ারি নির্বাচন কমিশনের (ইসি) সাময়িক বরখাস্ত হওয়া কর্মচারী জয়নাল আবেদিনকে গ্রেপ্তার করা হয়, যিনি জাতীয় পরিচয়পত্র (এনআইডি) জালিয়াতির ঘটনায় গ্রেপ্তার হয়ে আলোচনায় এসেছিলেন।
সর্বশেষ পাঁচ জনকে গ্রেপ্তার অভিযানে নেতৃত্ব দেয়া সিএমপির কাউন্টার টেরোরিজম ইউনিটের পরিদর্শক সঞ্জয় কুমার সিনহা জানান, মোস্তাকিম ও তার শ্যালকের জবানবন্দিতে জোভানের নাম আসে। তাকে নগরীর বায়েজিদ বোস্তামি থেকে গ্রেপ্তার করা হয়। জোভান এই চক্রের মূল হোতা সেজানের নাম প্রকাশ করে। সেজানকে নড়াইল থেকে গ্রেপ্তারের পর তার দেয়া তথ্যে বাকি তিন জনকে গ্রেপ্তার করা হয়।
‘প্রথম দফায় গত মাসে (জানুয়ারি) যে পাঁচ জনকে গ্রেপ্তার করা হয়েছিল, তারা মূলত ফেসবুকে বিজ্ঞাপন দিয়ে জন্ম নিবন্ধন করে দেয়ার জন্য গ্রাহক সংগ্রহ করে। তারা গ্রাহকের প্রাথমিক তথ্য নিয়ে পিডিএফ ফরম্যাট করার জন্য এক বা একাধিক দ্বিতীয় ব্যক্তির কাছে পাঠানোর কথা বলেছিল। সেই দ্বিতীয় ব্যক্তি হচ্ছে জোভান। জোভান সেটা পিডিএফ ফরম্যাট করে পাঠায় সেজানের কাছে। সেজান সার্ভারে সেটা ইনপুট দিয়ে সনদ পাঠিয়ে দিত জোভানের হোয়াটস অ্যাপ নম্বরে। জোভান সেটা দিত গ্রাহক সংগ্রহকারীদের কাছে। তারা সেটা কালার প্রিন্ট করে সরবরাহ করতো।’
পুলিশ পরিদর্শক সঞ্জয় কুমার সিনহা আরও জানান, জোভান একাধিকবার সেজানের নড়াইলের বাড়িতে গেছে। মেহেদী, শাকিল এবং মাসুদ রানাও গেছে। মাসুদ ও শাকিল মাসখানেক আগে দোহাজারি পৌরসভার সার্ভারে প্রবেশ করে ভুয়া জন্ম নিবন্ধন করে। এ অভিযোগে সাইবার ট্রাইব্যুনালে দায়ের হওয়া এক মামলারও তদন্ত করছে কাউন্টার টেরোরিজম ইউনিট।
‘গ্রেপ্তার নির্বাচন কমিশনের সাবেক কর্মচারী জয়নাল আবেদিনের সঙ্গে জোভানের ভালো যোগাযোগ ছিল। মূলত জয়নাল জোভানের মাধ্যমে ভুয়া জন্ম নিবন্ধন সনদ নিতেন। তারপর সেটা ব্যবহার করে লোকজনকে এনআইডি সরবরাহ করতো। তবে জয়নাল হ্যাকার নন।’
এডিসি আসিফ মহিউদ্দীন বলেন, ‘সামাজিক যোগাযোগ মাধ্যমে জন্ম মৃত্যুর সনদ দেয়ার যেসব বিজ্ঞাপন দেখা যায় সেগুলো সবই জালিয়াত চক্রের দেয়া। এ রকম শত শত সদস্য আছে যারা অবৈধভাবে জন্ম নিবন্ধন সনদ পাইয়ে দেয়ার সঙ্গে জড়িত। আমরা আরও কয়েকজন হ্যাকারের নাম পেয়েছি। তদন্ত চলছে। চক্রের সবাইকে গ্রেপ্তারে আমাদের কার্যক্রম চলছে।’