বাংলাদেশ ব্যাংকের ওয়েবসাইটে ভয়াবহ দূর্বলতা -সর্বোচ্চ ঝুঁকির ত্রুটি; অতীতের $১০১ মিলিয়ন ডলার হ্যাকের পর আবারও চরম সতর্কবার্তা

ঢাকা, ১০ ডিসেম্বর, ২০২৫: দেশের অর্থনীতি ও আর্থিক ব্যবস্থার মূল চালিকাশক্তি বাংলাদেশ ব্যাংক (Bangladesh Bank)-এর ডিজিটাল অবকাঠামো আবারও গুরুতর সাইবার নিরাপত্তা হুমকির সম্মুখীন। সোনিসিয়াম কোয়ান্টাম ল্যাব (Sonicium Quantum Lab) দ্বারা পরিচালিত এক বিশেষ স্ক্যানে কেন্দ্রীয় ব্যাংকের ওয়েবসাইটে সর্বোচ্চ ১০.০ সিভিএসএস (CVSS) স্কোর সহ মোট চারটি অত্যন্ত বিপজ্জনক নিরাপত্তা ত্রুটি চিহ্নিত হয়েছে। এই দুর্বলতাগুলি দেশের আর্থিক তথ্যের সুরক্ষার ক্ষেত্রে বড় ধরনের প্রশ্নচিহ্ন তৈরি করেছে এবং অতীতের ভয়াবহ হ্যাকের পুনরাবৃত্তির আশঙ্কা বাড়িয়ে দিয়েছে। ছয় বছর আগের সেই কালো অধ্যায়: $১০১ মিলিয়নের দুঃস্বপ্ন সাইবার নিরাপত্তা বিশেষজ্ঞরা মনে করছেন, বর্তমান ঝুঁকিটি দেশের সাইবার ইতিহাসের সবচেয়ে কালো অধ্যায় – ২০১৬ সালের সেই ভয়াবহ ব্যাংক ডাকাতির...

923

ঢাকা, ১০ ডিসেম্বর, ২০২৫: দেশের অর্থনীতি ও আর্থিক ব্যবস্থার মূল চালিকাশক্তি বাংলাদেশ ব্যাংক (Bangladesh Bank)-এর ডিজিটাল অবকাঠামো আবারও গুরুতর সাইবার নিরাপত্তা হুমকির সম্মুখীন। সোনিসিয়াম কোয়ান্টাম ল্যাব (Sonicium Quantum Lab) দ্বারা পরিচালিত এক বিশেষ স্ক্যানে কেন্দ্রীয় ব্যাংকের ওয়েবসাইটে সর্বোচ্চ ১০.০ সিভিএসএস (CVSS) স্কোর সহ মোট চারটি অত্যন্ত বিপজ্জনক নিরাপত্তা ত্রুটি চিহ্নিত হয়েছে। এই দুর্বলতাগুলি দেশের আর্থিক তথ্যের সুরক্ষার ক্ষেত্রে বড় ধরনের প্রশ্নচিহ্ন তৈরি করেছে এবং অতীতের ভয়াবহ হ্যাকের পুনরাবৃত্তির আশঙ্কা বাড়িয়ে দিয়েছে।

দেশ-বিদেশের সর্বশেষ খবরের আপডেট পেতে আমাদের সাথেই থাকুন:

ফলো করুন

হোয়াটসঅ্যাপ মেসেঞ্জার ইউটিউব

ছয় বছর আগের সেই কালো অধ্যায়: $১০১ মিলিয়নের দুঃস্বপ্ন

সাইবার নিরাপত্তা বিশেষজ্ঞরা মনে করছেন, বর্তমান ঝুঁকিটি দেশের সাইবার ইতিহাসের সবচেয়ে কালো অধ্যায় – ২০১৬ সালের সেই ভয়াবহ ব্যাংক ডাকাতির স্মৃতি ফিরিয়ে আনছে। ওই বছর অজ্ঞাত হ্যাকাররা বাংলাদেশ ব্যাংকের সুইফট (SWIFT) সিস্টেমে প্রবেশ করে নিউ ইয়র্ক ফেডারেল রিজার্ভ ব্যাংকে থাকা অ্যাকাউন্ট থেকে প্রায় $১০১ মিলিয়ন ডলার চুরি করেছিল। এর মধ্যে $৮১ মিলিয়ন ডলার ফিলিপাইনের ক্যাসিনোগুলোতে এবং বাকি অর্থ শ্রীলঙ্কায় চলে যায়। বিশ্বজুড়ে এটি ছিল সবচেয়ে আলোচিত এবং অন্যতম সফল ব্যাংক হ্যাক।

সে সময়ের তদন্তে বেরিয়ে এসেছিল যে, হ্যাকাররা মূলত কেন্দ্রীয় ব্যাংকের অভ্যন্তরীণ নিরাপত্তা প্রোটোকলের দুর্বলতা, ফায়ারওয়ালের ঘাটতি এবং দুর্বল নেটওয়ার্ক আর্কিটেকচারের সুযোগ নিয়েছিল। এই ঘটনা বিশ্ব মঞ্চে বাংলাদেশের সাইবার স্থিতিস্থাপকতা নিয়ে গভীর উদ্বেগ তৈরি করেছিল। বিশেষজ্ঞরা বারবার সতর্ক করেছেন যে, দেশের আর্থিক কেন্দ্র হিসেবে বাংলাদেশ ব্যাংকের সাইবার সুরক্ষায় সামান্যতম ত্রুটি মারাত্মক পরিণতি ডেকে আনতে পারে। বর্তমান রিপোর্টে চিহ্নিত দুর্বলতাগুলি স্পষ্ট ইঙ্গিত দিচ্ছে যে, পূর্বের সেই শিক্ষা এখনও সম্পূর্ণরূপে কাজে লাগানো হয়নি।

সোনিসিয়াম কোয়ান্টাম ল্যাবের রিপোর্টে ধরা পড়া ভয়াবহ ত্রুটিসমূহ

সম্প্রতি সোনিসিয়াম কোয়ান্টাম ল্যাবের বিশেষজ্ঞ দল বাংলাদেশ ব্যাংকের পাবলিক-ফেসিং ডোমেন (https://www.bb.org.bd/en/index.php)-এ তাদের নিজস্ব কোয়ান্টাম বাগ বাউন্টি মডিউল ব্যবহার করে নিবিড় স্ক্যান পরিচালনা করে। তাদের রিপোর্ট অনুযায়ী, মোট ৪টি দুর্বলতা চিহ্নিত হয়েছে, যার মধ্যে ২টি ক্রিটিক্যাল (Critical) এবং ২টি হাই (High) ঝুঁকির। এই ত্রুটিগুলোর প্রকৃতি অত্যন্ত মারাত্মক, যা আক্রমণকারীদেরকে কেবল তথ্য চুরি নয়, বরং সরাসরি সিস্টেম নিয়ন্ত্রণের সুযোগ দিতে পারে।

১. সর্বোচ্চ ঝুঁকির ত্রুটি (CVSS Score: 10.0) – সরাসরি অভ্যন্তরীণ নেটওয়ার্কে প্রবেশের পথ

সবচেয়ে গুরুতর দুর্বলতাটির সিভিএসএস স্কোর হলো ১০.০—এটি সর্বোচ্চ ঝুঁকি নির্দেশ করে।

• বিপদ বিশ্লেষণ: এই বিশেষ ত্রুটিটি আক্রমণকারীকে বাংলাদেশ ব্যাংকের ওয়েব সার্ভার থেকে প্রতিষ্ঠানের অভ্যন্তরীণ নেটওয়ার্কের গোপন রিসোর্সগুলিতে অননুমোদিত অনুরোধ পাঠাতে সক্ষম করে। এর মাধ্যমে আক্রমণকারী সহজেই ব্যাংকের অভ্যন্তরীণ সার্ভার, ক্লাউড মেটাডেটা এন্ডপয়েন্ট (যা সিস্টেম কনফিগারেশনের তথ্য সংরক্ষণ করে), এবং অন্যান্য অভ্যন্তরীণ পরিষেবাগুলো স্ক্যান করতে পারে। সবচেয়ে ভয়াবহ ঝুঁকি হলো, এই ত্রুটি ব্যবহার করে অভ্যন্তরীণ পরিষেবার মাধ্যমে রিমোট কোড এক্সিকিউশন (RCE) ঘটানো সম্ভব, যার ফলস্বরূপ হ্যাকাররা কেন্দ্রীয় ব্যাংকের সার্ভারের পূর্ণ নিয়ন্ত্রণ নিয়ে নিতে পারে। এর মাধ্যমে দেশের আর্থিক ডেটাবেস, মুদ্রানীতি সংক্রান্ত গোপনীয় তথ্য এবং অর্থনৈতিক সিদ্ধান্ত গ্রহণের তথ্য বেহাত হতে পারে।
• জরুরি সমাধান: বিশেষজ্ঞদের মতে, অবিলম্বে অনুমোদিত ডোমেইনগুলোর একটি সুনির্দিষ্ট হোয়াইটলিস্ট তৈরি করা, ইউআরএল ইনপুটগুলিকে কঠোরভাবে যাচাই করা, ব্যক্তিগত আইপি রেঞ্জ ব্লক করা এবং নেটওয়ার্ককে কার্যকরভাবে বিভাজন (Network Segmentation) করা অত্যন্ত জরুরি।

২. দ্বিতীয় সর্বোচ্চ ঝুঁকির ত্রুটি (CVSS Score: 9.8) – ডেটাবেস লুঠের পথ

দ্বিতীয় ক্রিটিক্যাল দুর্বলতাটির সিভিএসএস স্কোর হলো ৯.৮, যা ডেটাবেস অনুপ্রবেশের ঝুঁকি সৃষ্টি করে।

• বিপদ বিশ্লেষণ: এই ত্রুটিটি ওয়েব অ্যাপ্লিকেশনের ইনপুট যাচাইকরণ প্রক্রিয়াকে পাশ কাটানোর সুযোগ দেয়। আক্রমণকারী এই সুযোগ ব্যবহার করে বাংলাদেশ ব্যাংকের মূল ডেটাবেসে প্রবেশ করতে পারে। তারা কেবল সংবেদনশীল তথ্য যেমন—কর্মচারী এবং উচ্চপদস্থ কর্মকর্তাদের ব্যক্তিগত ডেটা, আর্থিক লেনদেন সংক্রান্ত গোপনীয় তথ্য এক্সট্রাক্ট করতে পারে না, বরং ডেটাবেসের রেকর্ডগুলো পরিবর্তন বা সম্পূর্ণ মুছেও ফেলতে পারে। এর ফলে ব্যাংকের তথ্যের অখণ্ডতা (Integrity) ও গোপনীয়তা (Confidentiality) মারাত্মকভাবে লঙ্ঘিত হবে।
• জরুরি সমাধান: সমস্ত ডেটাবেস অপারেশনের জন্য অত্যাধুনিক প্যারামিটারাইজড কোয়েরি (Parameterized Queries) এবং প্রস্তুত স্টেটমেন্ট (Prepared Statements) ব্যবহার করা এবং ব্যবহারকারীর ইনপুটগুলিকে কঠোরভাবে স্যানিটাইজ করা অপরিহার্য।

৩. উচ্চ ঝুঁকির ত্রুটি (CVSS Score: 9.8) – এনক্রিপশন দুর্বলতা

তৃতীয় দুর্বলতাটির সিভিএসএস স্কোরও ৯.৮, যা সাইটের এনক্রিপশন ব্যবস্থাকে দুর্বল করে।

• বিপদ বিশ্লেষণ: বাংলাদেশ ব্যাংকের সার্ভার পুরোনো এবং দুর্বল টিএলএস (Transport Layer Security) প্রোটোকলগুলিকে সমর্থন করায় এই ত্রুটিটি দেখা দিয়েছে। এর ফলে সার্ভারটি BEAST এবং POODLE-এর মতো সুপরিচিত আক্রমণের জন্য ঝুঁকিপূর্ণ হয়ে ওঠে। এই আক্রমণকারীরা এনক্রিপশন দুর্বলতার সুযোগ নিয়ে ব্যবহারকারীদের সংবেদনশীল ট্র্যাফিক ডিক্রিপ্ট করতে পারে এবং সেশন ডেটা বা লগইন ক্রেডেনশিয়াল চুরি করতে পারে।
• জরুরি সমাধান: সার্ভারকে অবিলম্বে শুধুমাত্র আধুনিক ও নিরাপদ TLS 1.2 বা তার উপরের প্রোটোকল সমর্থন করার জন্য কনফিগার করতে হবে এবং সমস্ত দুর্বল বা মেয়াদোত্তীর্ণ সাইফারগুলি নিষ্ক্রিয় করতে হবে।

৪. উচ্চ ঝুঁকির ত্রুটি (CVSS Score: 7.6) – সেশন হাইজ্যাকিংয়ের ঝুঁকি

চতুর্থ দুর্বলতাটির সিভিএসএস স্কোর হলো ৭.৬, যা সেশন হাইজ্যাকিংয়ের সম্ভাবনা বাড়ায়।

• বিপদ বিশ্লেষণ: এই ত্রুটিটি আক্রমণকারীকে ব্যবহারকারীর ব্রাউজারে ক্ষতিকারক কোড (JavaScript) প্রবেশ করিয়ে কার্যকর করতে দেয়। এর প্রধান প্রভাবগুলির মধ্যে রয়েছে সেশন হাইজ্যাকিং, যার মাধ্যমে হ্যাকাররা বৈধ ব্যবহারকারীর সেশন দখল করতে পারে, ফিশিং আক্রমণ পরিচালনা করতে পারে এবং ব্যাংকের ওয়েবসাইটের মাধ্যমে ম্যালওয়্যার বিতরণ করতে পারে।
• জরুরি সমাধান: কঠোর Content-Security-Policy (CSP) হেডার প্রয়োগ করা, সমস্ত ব্যবহারকারী ইনপুটকে সতর্কতার সাথে স্যানিটাইজ করা এবং আউটপুট এনকোড করা এই ঝুঁকি নিরসনের জন্য অত্যাবশ্যক।

সোনিসিয়াম কোয়ান্টাম ল্যাবের জরুরি আহ্বান

সোনিসিয়াম কোয়ান্টাম ল্যাবের সিইও হুসাইন বিল্লাহ এক প্রেস বিজ্ঞপ্তিতে জানিয়েছেন যে, এই দুর্বলতাগুলি অত্যন্ত সংবেদনশীল হওয়ায় তারা একটি বিশেষ প্রক্রিয়ার মাধ্যমে বাংলাদেশ ব্যাংকের কাছে পূর্ণ রিপোর্টটি হস্তান্তর করতে চান। নিরাপত্তার চূড়ান্ত স্তর বজায় রাখতে, ল্যাব কর্তৃপক্ষ বাংলাদেশ ব্যাংকের নিরাপত্তা বিভাগকে একটি অফিসিয়াল ফোন নম্বর ইমেইলে নিশ্চিত করতে বলেছে। সেই নম্বরটি যাচাই হওয়ার পরেই কেবল পূর্ণাঙ্গ প্রযুক্তিগত বিবরণ এবং সমাধানের প্রস্তাবনা সরবরাহ করা হবে।

নিরাপত্তা বিশেষজ্ঞদের মতে, দেশের আর্থিক স্থিতিশীলতা নিশ্চিত করতে বাংলাদেশ ব্যাংককে সাইবার নিরাপত্তাকে সর্বোচ্চ অগ্রাধিকার দিতে হবে। এই গুরুতর দুর্বলতাগুলো দ্রুত সমাধান না করা হলে, ২০১৬ সালের চেয়েও বড় এবং অনিয়ন্ত্রিত আর্থিক বিপর্যয়ের ঝুঁকি তৈরি হতে পারে, যা দেশের অর্থনীতিতে গভীর নেতিবাচক প্রভাব ফেলবে।