ট্রুকলারে নিরাপত্তা ঝুঁকি

।। আস্থা সব্যসাচী, আউটলুক ।।

“আপনার কাছে আমার ফোন নম্বর থাকতে পারে, কিন্তু (ফোন করার ক্ষেত্রে) আমার সম্মতি নেই।”

#ItsNotOK বলে একটি হ্যাশট্যাগসমেত এই লাইনটি সাম্প্রতিক ভারতীয় সংবাদপত্রের প্রথম পাতায় খুব দেখা যাচ্ছে। এটা আসলে ট্রুকলারের একটি বিজ্ঞাপন। ট্রুকলার একটি ফোনের ব্যবহারকারী শনাক্তকারী ও স্প্যামপ্রতিরোধী অ্যাপ, যার বিরুদ্ধে ডেটা গোপনীয়তা লঙ্ঘনের অভিযোগ আছে।

প্রাইভেসি ইন্টারন্যাশনাল (পিআই), যুক্তরাজ্যে নিবন্ধিত একটি দাতব্য সংস্থা যা আন্তর্জাতিক পর্যায়ে গোপনীয়তার অধিকার নিয়ে কাজ করে। ২০১৯ সালের মে মাসে সংস্থাটি একজন সাংবাদিকের অভিজ্ঞতা প্রকাশ করে, যিনি তার এক সোর্সের দ্বারা ট্রুইকলার ব্যবহারের কারণে ঝুঁকির মধ্যে পড়েছিলেন।

ক্লো (পিআই সাংবাদিকপ্রবরের এই ছদ্মনাম ব্যবহার করে) একটি আন্তর্জাতিক সম্প্রচার মাধ্যমের অনুসন্ধানী সাংবাদিক।

পিআই তাদের প্রতিবেদনে বলে, “ক্লো স্থানীয় সাংবাদিকদের সঙ্গে দুনিয়াজুড়ে কাজ করেছেন। বিশেষ করে মানব পাচার থেকে মাদক চোরাচালান এবং সরকারি দুর্নীতিও তার খবরের শিরোনাম হয়েছে। তার কাজগুলো অনেকেই দেখেছেন এবং তার ফলাফলও এসেছে। ক্লোর প্রকৃত নাম আমরা বলছি না, কারণ তিনি নিজেই তার কাজের সুবিধার্থে নিজের পরিচয় গোপন করে থাকেন। এভাবে তিনি সন্দেহ তৈরি না করেই সোর্সের কাছাকাছি যেতে পারেন। এমনকি যখন প্রয়োজন, তখন প্রতিবেদন অনুযায়ী ছদ্মবেশের ক্ষেত্রেও সহায়তা করে।”

২০১৯ সালের ফেব্রুয়ারিতে ক্লো ছদ্মবেশী রিপোর্টিংয়ে জন্য পশ্চিম আফ্রিকার একটি দেশে যান। তিনি জানতেন কিছু সময়ের জন্য সেখানে তাকে থাকতে হবে এবং অনেকবার ফিরতে হতে পারে। তার কাজের অংশ হিসেবে তাকে অনেক সোর্সের আস্থা অর্জন করতে হয়েছিলো, যারা বেশ দুর্বল অস্থায় ছিলেন।

তিনি তার সোর্সের সঙ্গে যোগাযোগের জন্য একটি স্থানীয় সিম কার্ড কেনেন। যেহেতু তিনি যে ব্যাপারে অনুসন্ধান করছেন, তার সঙ্গে রাষ্ট্রকর্তাদের কোনো যোগ ছিলো না সে কারণে তিনি তার কাজের ওপর রাষ্ট্রীয় নজরদারি নিয়ে ভাবেননি।

তদন্তের অংশ হিসাবে ক্লো তার সোর্সগুলোকে জানিয়েছিলেন তিনি কে, তিনি কার পক্ষে কাজ করছেন এবং কী বের করার চেষ্টা করছেন। একদিন, ক্লো তার এক সোর্সের সঙ্গে দেখা করতে একটি ট্যাক্সিক্যাব বুক করেন। ক্যাবে উঠতে না উঠতেই ক্যাবচালক তাকে অভ্যর্থনা জানিয়ে বলেন, ‘তাহলে…আপনি দ্য এনকয়ারের (সংবাদমাধ্যমের নামের ক্ষেত্রেও পিআই ছদ্মনাম ব্যবহার করেছে) হয়ে কাজ করেন?’  

ড্রাইভার তার ফোনে ইশারা করলেন। তার নম্বরটি “ক্লো দ্য এনকয়ার জার্নালিস্ট” হিসাবে নিবন্ধিত!

হতবাক হয়ে ক্লো তার অফিসে ফোন করে জানার চেষ্টা করেন যে কীভাবে তার পরিচয় ফাঁস হলো। অনুসন্ধানের সময় দেখা গেল যে তার একটি সোর্স ট্রুইকলার ব্যবহার করছে। তিনি তার সোর্সকে কল করেছিলেন এবং সোর্সটি তার ফোনে ক্লোর প্রকৃত নাম পরিচয়সহ নম্বরটি সেভ করে। আর সেই সোর্স যেহেতু ট্রুকলার ব্যবহার করেন, সেখান থেকেই অ্যাপটি ক্লোর নম্বর ও পরিচয় তাদের ডেটাবেজে নিয়ে নেয়। ফলে সেই ক্যাবচালক সহজেই তাকে শনাক্ত করে ফেলে।

ক্লোর কেসটি রাষ্ট্রীয় নজরদারিগুলির ক্ল্যাসিক কেস নয়। তিনি এর আগে জীবনেও ট্রুকলারের নাম শোনেননি। কিন্তু সেই অ্যাপের নজরদারির আওতায় ঠিকই পড়ে যান। ট্রুকলারের ক্ষেত্রে এমন ঘটনা হরহামেশাই ঘটে। এটি এমন একটি অ্যাপ, যা দাবি করে ‘অযাচিত কল ও এসএমএস ব্লক’ করতে সক্ষম। আবার তারা বিজ্ঞাপন দিয়ে দাবি করে, ‘ট্রুকলার নারীদের হয়রানির বিরুদ্ধে দাঁড়িয়ে যোগাযোগকে আরও সুরক্ষিত করার চেষ্টা করে’। আর সে কারণেই #ItsNotOk প্রচারটির আগমন।

পরিচিতির গোপনীয়তা লঙ্ঘনের এসব ঘটনা ছাড়াও এই অ্যাপটিকে ঘিরে এমন কিছু ঘটনা রয়েছে, যা ট্রুকলারের গ্রহণযোগ্যতা নিয়ে প্রশ্ন তোলে।

ট্রুকলারের ট্যাগিং পদ্ধতির মধ্য দিয়ে যে ব্যক্তিকে ট্যাগ করা হয় তার নিজের নাম এবং ফোন নম্বর ট্রুকলার ডেটাবেসে জমা থাকে। এগুলি সবই সম্মতি ছাড়াই বা প্রক্রিয়া সম্পর্কে সচেতনতা ছাড়াই করা হয়। ২০১৭ সালে, তথ্য সুরক্ষা এবং গোপনীয়তা সম্পর্কিত একটি স্বতন্ত্র ইউরোপীয় উপদেষ্টা সংস্থা, আর্টিকেল টোয়েন্টিনাইন ওয়ার্কিং পার্টি, তাদের সম্মতি ব্যতীত অ-ব্যবহারকারীর ডেটা সংগ্রহ এবং ট্যাগ করার জন্য ট্রুকলারকে সমন দিয়েছিলো।

অন্যান্য অনেক অ্যাপ্লিকেশনের মতো, ট্রুকলারের দুধরনের গোপনীয়তা নীতি রয়েছে – একটি ইউরোপের জন্য এবং অন্যটি বিশ্বের অন্যান্য অংশের জন্য। এটি উল্লেখ করার দরকার নেই যে, এই অ্যাপটির সবচেয়ে বেশি প্রায় ৭৫ শতাংশ ব্যবহারকারী ভারতের, যাদের কোনো ডেটা সুরক্ষা আইন নেই।

ক্লোর ঘটনাটির পরে, পিআই ট্রুকলারের কাছে জানতে চায়, যারা অ্যাপটি ব্যবহার করে না, তাদের সুরক্ষা কীভাবে নিশ্চিত করে। পিআই প্রতিবেদনে উল্লেখ করে, “তাদের জবাবে তারা জানায়, যারা অ্যাপ ব্যবহার করেন না তারা নিজেদের ‘আনলিস্টেড’ করতে পারেন। এর মাধ্যমে ট্রুকলারের ডেটাবেজে তার অন্তর্ভুক্তি রোধ করা সম্ভব।” এসময় পিআই ট্রুকলারের কাছে দুটো প্রস্তাব রেখেছিলো- ‘১. আনলিস্টিং অপশনটি আরও স্পষ্ট করে বিজ্ঞাপন দিয়ে প্রচার করা ও ২. যখন কোনো ট্রুকলার ব্যবহারকারী এমন কারো নম্বর নিজের ফোনে সেভ করেন, যিনি অ্যাপটি ব্যবহার করেন না, তখন সঙ্গে সঙ্গেই সংশ্লিষ্ট ব্যক্তিকে এসএমএস দিয়ে সতর্ক করা।

পিআইয়ের ওয়েবসাইটে প্রকাশিত বিবরণে এটি স্পষ্ট হয় যে সংস্থাটি এই পরামর্শ আমলে নেয়নি। তাদের জবাব ছিল, “আপনাদের রেসপন্সের জন্য ধন্যবাদ। আপনারা পুরো ব্যাপারটি জুড়ে যে পেশাদারত্ব দেখিয়েছেন, তা েআমরা সন্তুষ্ট এবং আপনাদের প্রতিক্রিয়াকে আমরা স্বাগত জানাই।”

২০১৯ সালের মে মাসে, ইকোনমিক টাইমস জানিয়েছিল যে ভারতে ৩০০ মিলিয়নের বেশি ট্রুইকলার ব্যবহারকারীর ডেটা ডার্ক ওয়েবে প্রায় দেড় লাখ ভারতীয় রূপীর বিনিময়ে বিক্রি হচ্ছে। ট্রুকলার অবশ্য দাবি করেছিলো, যে ডার্কওয়েবে যে ডেটা বিক্রি হচ্ছে বলে অভিযোগ করা হয়েছে তার সিংহভাগই তাদের ডেটাবেসের সাথে মেলে না।

২০১৯ সালের নভেম্বরে, ফোর্বসের জাক ডফম্যান তার প্রতিবেদনে জানান, “ভারত ভিত্তিক গবেষক এহরাজ আহমেদ এই ত্রুটিটি আবিষ্কার করেছেন, এটি স্থানীয় মিডিয়া এবং সংস্থার কাছে প্রকাশ করেছিলেন এবং প্রকাশ্যে যাওয়ার আগেই তার সমাধানের জন্য অপেক্ষা করেছিলেন।” ডফম্যান বলেন, “তিনি আমাকে বুঝিয়ে দিয়েছিলেন যে এই ত্রুটি কোনও আক্রমণকারীকে প্রোফাইল ইউআরএল হিসাবে তার ম্যালিসিয়াস লিঙ্কটি ব্যবহার করতে দেয়। অনুসন্ধানের মাধ্যমে বা পপআপের মাধ্যমে আক্রমণকারীর প্রোফাইল দেখা ব্যবহারকারী বিপদে পরে। আহমেদ এটি প্রমাণ করার জানান যে তিনি এভাবে “আইপি ঠিকানা, ইউজার-এজেন্ট এবং সময়ের মতো ব্যবহারকারীর তথ্য আনতে সক্ষম হন। প্রোফাইলে আসা ব্যবহারকারী এটি লক্ষ্য করবেন না কারণ এর সব কাজ ব্যাকগ্রাউন্ড টাস্কে হয়ে থাকে। আর ব্যবহারকারীর জন্য এটি অন্য যেকোনও সাধারণ প্রোফাইলের মতো দেখায়। “

২০১৯ সালের সেপ্টেম্বরে, ভারতের জাতীয় তথ্য প্রযুক্তি উন্নয়ন সংস্থা (এনআইটিডিএ) গোপনীয়তা নীতি নিয়ে ট্রুকলার সম্পর্কে তদন্ত শুরু করে। এনআইটিডিএ জনগণকে তথ্যের সম্ভাব্য লঙ্ঘনের বিষয়ে সতর্ক করার জন্য একটি বিবৃতি প্রকাশ করে। এতে অ্যাপের গোপনীয়তার নীতির ১.১ অনুচ্ছেদে উদ্ধৃত অংশ তুলে ধরা হয়- ‘ট্রুকলার আপনার দেওয়া তথ্যের সঙ্গে তৃতীয় পক্ষের দেয়া তথ্য সংযুক্ত করতে পারে।’ অনুচ্ছেদ ৩ বলছে- ‘ট্রুকলার আপনার তথ্য তৃতীয় পক্ষ বিজ্ঞাপনদাতা, সংস্থা বা নেটওয়ার্কের কাছে সরবরাহ করতে পারে।’ এনআইটিডিএ মনে করে যে অ্যাপ্লিকেশনটির বেসিক ফাংশন সম্পাদন করার জন্য যা প্রয়োজন, তার থেকে অনেক বেশি পরিমাণ ডেটা সংগ্রহ করে।

২০১৯ সালের জুলাইয়ে, ইন্টারনেট ফ্রিডম ফাউন্ডেশন তাদের সম্মতি ছাড়া অজ্ঞাতে ট্রুইকলার ব্যবহারকারীদের ইউনিফাইড পেমেন্ট ইন্টারফেস (ইউপিআই) ভিত্তিক আইডিগুলির স্বয়ংক্রিয় নিবন্ধনকে চিহ্নিত করে। ফলস্বরূপ, জাতীয় পেমেন্ট কর্পোরেশন অফ ইন্ডিয়া (এনপিসিআই) ইউপিআই প্ল্যাটফর্মে নতুন ট্রুকলার ব্যবহারকার বন্ধ করে দিয়েছে।

২০২০ সালের মে মাসে মার্কিন সাইবার গোয়েন্দা সংস্থা সাইবল ইনক ট্রুকলার ডাটাবেস থেকে প্রায় পৌনে ৫ কোটি ভারতীয়ের নাম, লিঙ্গ, বয়স, শহর, টেলিযোগাযোগ পরিষেবা প্রদানকারী, ফেসবুক অ্যাকাউন্ট, ইমেল আইডি এবং মোবাইল নম্বর ফাঁস করেছিল। ডার্ক ওয়েবে এসব ব্যক্তিগত ডেটা একহাজার ইউএস ডলারে বিক্রি করতে রাখা হয়েছিল। একটি ইমেল বিবৃতিতে, ট্রুকলার তার ডেটাবেসের কোনও তথ্য ফাঁস অস্বীকার করে এবং দাবি করে যে, সমস্ত ব্যবহারকারীর তথ্য নিরাপদে সংরক্ষণ করা হয়েছে।

Emmanuel Paul from techpoint. Africa sought help from a developer who goes by the name Angry Wizard and dug deep into Truecaller’s algorithms and found three major loopholes.

(1)The developer hinted that all the information collected from the users is uploaded to “a third-party domain belonging to a company called CleverTap, a mobile marketing company located in Mountain View, California which enables marketers to identify, engage, and retain user info in an automated process.”

(2)Angry wizard also alleged that Truecaller uses a very unsafe method to upload data. It is called GET method and “is unsafe for transferring sensitive and confidential information like a user’s data, as anyone who knows what to look for can easily gain access.” He added that all the information “can be accessed publicly by anyone with the technical know-how.”

(3) “According to Angry Wizard, the information of over 30,000 contacts and names of spammers reported by Truecaller users are made public, requiring no authentication for anyone to access”, techpoint. Africa reported. On December 3, 2019, they reached out to Truecaller’s Director of Communications, Kim Fai Kok, and demanded clarification. Mr Kok refuted all the allegations.

টেকপয়েন্টের এমানুয়েল পলকে আফ্রিকা সহায়তার অনুরোধ করার পর তিনি অ্যাংরি উইজার্ড নামে কাজ শুরু করেন। তিনি ট্রুকলারের আলগোরিদমগুলির গভীরে গিয়ে তিনটি বড় লুপহোল খুঁজে পান।

১. ব্যবহারকারীদের কাছ থেকে সংগৃহীত সমস্ত তথ্য “ক্যালিফোর্নিয়ার মাউন্টেন ভিউতে অবস্থিত একটি মোবাইল বিপণন সংস্থা ক্লিভারট্যাপ নামে একটি সংস্থার তৃতীয় পক্ষের ডোমেইনে আপলোড করা হয়েছে যা বিপণনকারীদের চিহ্নিত করতে, জড়িত রাখতে এবং ধরে রাখতে একটি স্বয়ংক্রিয় প্রক্রিয়া ব্যবহারকরে। “

২. ডেটা আপলোড করার জন্য ট্রুকলার খুব অনিরাপদ পদ্ধতি ব্যবহার করেন। এটিকে জিইটি পদ্ধতি বলা হয় এবং “ব্যবহারকারীর ডেটার মতো সংবেদনশীল এবং গোপনীয় তথ্য স্থানান্তরিত করার জন্য এটি অনিরাপদ, কারণ যে কেউ সহজেই এসব তথ্যে প্রবেশ করতে পারে।

৩. অ্যাংরি উইজার্ডের মতে, ট্রুকলার ব্যবহারকারীদের দ্বারা প্রতিবেদন করা ৩০,০০০ এরও বেশি পরিচিতি এবং স্প্যামারদের নাম জনসাধারণ্যে প্রকাশ করা হয়েছে।  

২০১৯ সালের ৩ ডিসেম্বর টেকপয়েন্ট আফ্রিকা ট্রুইকলারের যোগাযোগ পরিচালক কিম ফাই কোকের কাছে এব্যাপারে ব্যাখ্যা চায়। কিন্তু তিনি এসব অভিযোগ অস্বীকার করেন।

২০১৮ সালের ১৮ ডিসেম্বর এক নিবন্ধে পল উল্লেখ করেছেন, “এই দাবিগুলি ডাবলচেক করার জন্য, ৫ ডিসেম্বর, আমরা উইজার্ডকে দুটি মোবাইল নম্বর পাঠাই: একটি ট্রুকলার ব্যবহারকারীর এবং অন্যটি একটি নন-ট্রুকলার ব্যবহারকারীর। আশ্চর্যজনকভাবে, তিনি দুটি নম্বরেরই তথ্য সম্বলিত ইউআরএল পাঠিয়েছিলেন। এর দু’একদিন পরে, লিঙ্কগুলি কাজ করা বন্ধ করে দেয়, তাই আমরা ভেবেছিলাম ট্রুকলার বিষয়টি ঠিক করে দিয়েছেন। তবে গত সপ্তাহে শুক্রবার, আমরা দুই নম্বর থেকে একই তথ্য সম্বলিত অন্য একটি লিঙ্ক পেয়েছি।”

টেক সংস্থাগুলি যদি তাদের অ্যালগোরিদমগুলি সংশোধন করতে এবং তাদের ব্যবহারকারীর ডিজিটাল অধিকার এবং গোপনীয়তা বজায় রাখতে অর্ধেক অর্থ, সময় এবং শক্তি ব্যয় করে, তবে #ItsNotOK এর মতো এই জাতীয় হালকা প্রচারের প্রয়োজন হবে না।

ট্রুকলারের বিরুদ্ধে অভিযোগ এবং প্রমাণিত তথ্য লঙ্ঘনের দীর্ঘ তালিকা, যা অ্যাপটির সাম্প্রতিক প্রচারণার একেবারে বিপরীত, কী বলে আসলে? এসব নিয়ে ট্রুকলারকে আমাদের জিজ্ঞাসা করা উচিত, “এসব কি সঠিক ছিলো?”