মেয়াদোত্তীর্ণ নিরাপত্তা ও অপেশাদার পোর্টালে জবি শিক্ষার্থীদের সংবেদনশীল তথ্য

জগন্নাথ বিশ্ববিদ্যালয় (জবি) শিক্ষার্থীদের বিভিন্ন পরীক্ষার আবেদন ও এডমিশন ফি সংক্রান্ত আর্থিক লেনদেনের তথ্যাদি সংক্রান্ত ওয়েবসাইট ( student.erp.jnu.ac.bd ) এ কপিরাইট লঙ্ঘন, মেয়াদোত্তীর্ণ নিরাপত্তা ব্যবহারের অভিযোগ উঠেছে। যা একইসাথে সংবেদনশীল ও অপেশাদার বলে ভাবছেন শিক্ষার্থী ও প্রযুক্তি সংশ্লিষ্টরা।

অনুসন্ধানে জানা যায়, শিক্ষার্থীদের আবেদন ও সংবেদনশীল তথ্যের নিরাপত্তার জন্য যে সিকিওর সকেট লেয়ার (এসএসএল) ব্যবহার করা হচ্ছে তার মেয়াদোত্তীর্ণ হয়েছে ২০১০ সালের ৩০ সেপ্টেম্বরে। এর পর আর মেয়াদ বাড়ানো হয়নি। ফলস্বরূপ শিক্ষার্থীদের আইডি ও পাসওয়ার্ড দিয়ে লগ ইন করতে গেলে দেখতে হচ্ছে ব্রাউজারগুলোর বিশেষ সতর্কবার্তা।

জানা যায়, এসএসএল থাকা ওয়েবসাইটসমূহ ব্যবহারকারীদের দেয়া মূল্যবান তথ্যগুলোর এক ধরনের বিশেষ নিরাপত্তা দেয়াল হিসেবে কাজ করে। বিশেষ করে যে ওয়েবসাইট গুলোয় ইমেইল, পাসওয়ার্ড, ক্রেডিট কার্ডের তথ্য দিতে হয় সেসকল ওয়েবসাইটের জন্য এই এসএসএল খুবই গুরুত্বপূর্ণ।

এদিকে, উক্ত ওয়েবসাইটটি যদি হ্যাকারের কবলে পড়ে তবে এসএসএল এর নিরাপত্তা বলয় না থাকায় কোনো পরিশ্রম ছাড়াই শিক্ষার্থীদের মূল্যবান তথ্য হাতিয়ে নিতে পারবে।

শিক্ষার্থীদের সাথে কথা বলে জানা যায়, জবির স্টুডেন্ট লগইন পোর্টালে রয়েছে বেশ কিছু সংবেদনশীল কাজের একসেস। যার মধ্যে রয়েছে পুনঃভর্তি, কোর্সের মানোন্নয়ন পরীক্ষার আবেদন, এডমিশন ও পরীক্ষা ফি এর তথ্যাদি।

জগন্নাথ বিশ্ববিদ্যালয়ের কম্পিউটার সাইন্স এন্ড ইঞ্জিনিয়ারিং বিভাগের শিক্ষার্থী রিয়াজুল ইসলাম ফাহিম বলেন, বিজনেস ও প্রাতিষ্ঠানিক ওয়েবসাইটের জন্য এসএসএল খুবই জরুরী। এসএসএল থাকলে ব্যবহারকারীর তথ্য এনক্রিপটেড হয়, তাই এটা যথেষ্ট সুরক্ষিত অবস্থায় থাকতে পারে।

তিনি আরও বলেন, হ্যাকাররা কিছু বুঝতে না দিয়েই ওয়েবসাইটে গোপনে নিজেদের অবস্থান তৈরি করতে পারে এবং কোনো শিক্ষার্থীর স্টুডেন্ট লগ ইন ডিটেইলস যদি অনাকাঙ্খিত কেও পেয়ে যায় তবে সে শিক্ষার্থীর পুনঃভর্তির আবেদন করে তার শিক্ষাবর্ষকে সহজেই ক্ষতিগ্রস্ত করে দিতে পারবে  এবং এটা বোঝারও কোনো উপায় থাকবেনা যে উক্ত আবেদনটা প্রকৃত অর্থে অনাকাঙ্খিত ব্যক্তিই করেছে।

এদিকে অনৈতিকভাবে এপাচে'ফ্রেন্ডস নামক এক আন্তর্জাতিক আইটি সেবা প্রতিষ্ঠানের লোগো জবির স্টুডেন্ট লগ-ইন ওয়েবসাইটে ব্যবহারের অভিযোগও উঠেছে। যা কপিরাইট আইনের লঙ্ঘন।

আবার শিক্ষার্থীদের লগ-ইন করতেও পড়তে হচ্ছে জটিলতায়, পাসওয়ার্ড ভুলে গেলেও তা রিকভার করার সুযোগ নেই।

ওয়েবসাইট পর্যালোচনা করে দেখা যায়, পাসওয়ার্ড রিকভার করার যে অপশন উক্ত পেইজে দেয়া আছে সেটা অকার্যকর।

এ বিষয়ে বিশ্ববিদ্যালয়ের ম্যানেজমেন্ট স্টাডিজ বিভাগের এক ভুক্তভোগী শিক্ষার্থী মারুফ আহমেদ বলেন, কিছুদিন আগে পরীক্ষা ফি দেয়ার বিজ্ঞপ্তি পাই, লগ ইন পেইজে ঢুকতেই ব্রাউজার আমাকে উক্ত সাইটটি অনিরাপদ বলে সতর্ক বার্তা দেয়। কিছুক্ষণ পর যখন আমি আইডি ও পাসওয়ার্ড দিয়ে ওয়েবসাইটে লগ ইন করতে যাই তখন কোডিং এরর ও সার্ভার জনিত সমস্যা দেখায়। আবার পরেরদিন লগ ইন করতে গেলে পাসওয়ার্ড ভুল দেখায়, আমি পাসওয়ার্ড রিকভার করতে গেলে দেখি উক্ত লিংক কাজ করেনা।

এ বিষয়ে জানতে চাইলে বিশ্ববিদ্যালয়ের আইটি দপ্তরের পরিচালক উজ্জ্বল কুমার বলেন, আমাদের মেইন সাইটে এসএসএল সার্টিফিকেট আছে। ওখানে থাকলে আর এসএসএল লাগবেনা। আর হ্যাকার আক্রমণ করলেও কোনো সমস্যা নেই, সব ডাটার ব্যাকাপ আছে।

একটি আন্তর্জাতিক আইটি প্রতিষ্ঠানের লোগো জবির ওয়েবসাইটে ফ্যাভিকন হিসেবে ব্যবহার সম্পর্কে জানতে চাইলে তিনি বলেন, এটা ফ্রি। এটা নিয়ে কোনো সমস্যা হবেনা।

ওয়েবসাইটের পাসওয়ার্ড রিকভার বাটনের অকার্যকারিতা সম্পর্কে তিনি জানান, কেউ যদি তার সেট করা পাসওয়ার্ড ভুলে যায় সেক্ষেত্রে তাকে আইটি সেল এ যোগাযোগ করলেই ঠিক করে দেয়া হবে। আর আমরা ওটা চালু করে দিবো।

যদিও এসএসএল নিয়ে জবির আইটি সেল পরিচালকের বক্তব্যকে ভিত্তিহীন বলছেন একটি বেসরকারি আইটি ফার্মের সহ-প্রতিষ্ঠাতা ও এথিকাল হ্যাকিং বিশেষজ্ঞ তানভির আহমেদ। তিনি বলেন, হ্যাকাররা মূলত আগে সাবডোমেইন গুলো থেকে ত্রুটি খুঁজে সেটার সিকিউরিটি ভাঙার চেষ্টা করে। কোনো শিক্ষার্থীর মাধ্যমেও যদি হ্যাকার উক্ত ওয়েবসাইটে লগ ইন একসেস পায় তবে সে ওয়েবসাইটের ক্ষতি করতেও সক্ষম। ওয়েবসাইট ব্যাকাপ থাকলেও এটা তখন তেমন কোনো কাজে আসবেনা। কারণ হ্যাকার তো আর উক্ত কর্তৃপক্ষকে বুঝতে দিবেনা যে সে কি করেছে।