সাবধান, ফাঁস হল ৭ লক্ষ RailYatri -র ডেবিট কার্ডের তথ্য সহ নাম, ফোন নম্বর

গত ১০ই আগস্ট প্রথম সামনে আনে সাইবার-সিকিউরিটি রিসার্চারদের একটি দল।

railyatri security flaw could have exposed personal and debit card details of 7 lakh Passengers

ইন্টারনেটের মজাদার জালে আমরা যতোই জড়িয়ে পড়ছি, ততই বাড়ছে সমস্যা। প্রায়দিনই বিভিন্ন অ্যাপ, ওয়েবসাইট থেকে স্ক্যামের আশঙ্কা বা ইউজারের ব্যক্তিগত তথ্য ফাঁস হওয়ার ঘটনা সামনে আসে। এবার এই গড়িমসিতে নাম জড়ালো অনলাইন ট্রাভেল মার্কেটপ্লেস RailYatri-র। railyatri.in ওয়েবসাইটে পর্যাপ্ত সুরক্ষা ব্যবস্থা না থাকায় লক্ষ লক্ষ ইউজারের ব্যক্তিগত তথ্য এবং পেমেন্ট ডিটেইলস ঝুঁকির মুখে পড়েছে।

সূত্রের প্রতিবেদন অনুযায়ী, RailYatri-র ওই ইউজারদের তথ্য কোনো নিরাপদ সার্ভারে সংরক্ষণ করা হয়নি, ফলে এই জনপ্রিয় টিকিট বুকিং প্ল্যাটফর্মটি থেকে ৭ লক্ষেরও বেশি ইউজারের ব্যক্তিগত তথ্য প্রকাশিত হয়েছে এমনটাই মনে করা হচ্ছে। এর মধ্যে ইউজারের নাম, ফোন নম্বর, ঠিকানা, ইমেল আইডি, টিকিট বুকিংয়ের ডিটেইলস লোকেশন এবং ক্রেডিট বা ডেবিট কার্ডের নম্বর থাকতে পারে।

এই আশঙ্কার কথা গত ১০ই আগস্ট প্রথম সামনে আনে সাইবার-সিকিউরিটি রিসার্চারদের একটি দল। দ্য নেক্সট ওয়েব-এর প্রতিবেদনে বলা হয়েছে, সাইবার-সিকিউরিটি ফার্ম, সেফটি ডিটেক্টিভের ওই দলটি আবিষ্কার করে, RailYatri-র ক্ষতিগ্রস্থ সার্ভারটি বেশ কয়েকদিন ধরে কোনো এনক্রিপশন বা পাসওয়ার্ড সুরক্ষা ছাড়াই উন্মুক্ত অবস্থায় রয়েছে। তাঁরা একটি ব্লগ পোস্টে আশঙ্কা জানিয়েছেন, ওই সার্ভারের আইপি অ্যাড্রেসসহ যে কেউ পুরো ডাটাবেসে অ্যাক্সেস পেতে পারে। এদিকে ওই সার্ভারের প্রায় ৪৩ জিবি ডেটা আদতে ভারতীয় ইউজারদের। সেফটি ডিটেক্টিভ সংস্থাটি অনুমান করছে, সম্ভবত ৭ লক্ষেরও বেশি মানুষ এই ঘটনার শিকার হয়েছেন।

এখনো পর্যন্ত, RailYatri, এই বিষয়ে কোনো প্রতিক্রিয়া জানায়নি। তবে ওই সাইবার-সিকিউরিটি ফার্মটি, CERT-IN অর্থাৎ ইন্ডিয়ান কম্পিউটার ইমার্জেন্সি রেসপন্স টিমের কাছে বিষয়টি জানানোর পর, টিকিট বুকিং সংস্থাটি ওই সার্ভার বন্ধ করে দিয়েছে।

সেফটি ডিটেক্টিভরা মনে করেন, ওই সার্ভারে একটি মিয়ো বট (Meow Bot) প্রসেস চালানো হয়েছিল। এরপর সার্ভারের সমস্ত ডেটা ডিলিট হয়ে যায়। মিয়ো বট হল এক নতুন ধরণের সাইবার-আক্রমণ যা Elasticsearch, Redis বা MongoDB সার্ভার পরিচালিত নিরাপত্তাহীন ডেটাবেসগুলি মুছে দেয়।