বঙ্গনিউজঃ  আবারও কাস্টমসের অ্যাসাইকুডা ওয়ার্ল্ড সফটওয়্যার হ্যাকের ঘটনা ঘটেছে। এবার মৃত রাজস্ব কর্মকর্তার ইউজার আইডি ব্যবহার করে অন্য আমদানিকারকের পণ্য খালাস নেওয়ার চেষ্টা করা হয়েছে। যদিও মূল আমদানিকারক শিপিং এজেন্টের মাধ্যমে ঘটনা জানতে পেরে কাস্টমসকে অবহিত করলে পণ্য খালাস নিতে পারেনি হ্যাকাররা। চট্টগ্রাম কাস্টমসের অভ্যন্তরীণ তদন্তে সার্ভার হ্যাকের প্রমাণ মিলেছে। তদন্তসংশ্লিষ্টরা বলছেন, অ্যাসাইকুডা সিস্টেম এক্সপার্ট ব্যতীত এত সূক্ষ্ম কারসাজি সম্ভব নয়।

জানা যায়, ২০২২ সালে চট্টগ্রামের একটি বন্ড লাইসেন্সধারী প্রতিষ্ঠান চীন থেকে কাপড় আমদানি করে। আমদানিকারক প্রতিষ্ঠান পণ্যের গুণমান চাহিদা অনুযায়ী সঠিক না হওয়ায় সেই পণ্য ফেরত দিতে ব্যাংকে ডকুমেন্ট জমা দেয়। এ প্রক্রিয়ার মধ্যেই এ. আজিজ অ্যান্ড কোং নামের একটি সিঅ্যান্ডএফ এজেন্ট আমদানিকৃত পণ্য খালাস করতে বিল অব এন্ট্রি (বি/ই) জমা দেয়। বিষয়টি নজরে এলে কাস্টমসের এআইআর (গোয়েন্দা শাখা) শাখায় আমদানিকারক অভিযোগ জানায়। এরপর কাস্টমস তদন্তে নামলে বেরিয়ে আসে থলের বিড়াল। তদন্ত প্রতিবেদনের তথ্যমতে, মৃত কর্মকর্তার অ্যাসাইকুডা ওয়ার্ল্ডের ইউজার আইডি ব্যবহারের মাধ্যমে পণ্যের শুল্কায়ন করা হয়েছে। হ্যাকাররা সফটওয়্যারের নিরাপত্তায় দ্বিস্তরবিশিষ্ট গোপনীয়তা (কর্মকর্তার ইউজার আইডি, পাসওয়ার্ড এবং মোবাইলে ওয়ান টাইম পাসওয়ার্ড) পদ্ধতিকে পাশ কাটিয়ে সিস্টেমে প্রবেশ করে। এর আগেও কর্মকর্তার মোবাইল ফোনে ওটিপি জালিয়াতির মাধ্যমে একটি সংঘবদ্ধ চক্র চট্টগ্রাম কাস্টমস থেকে মদ খালাস নেয়, যা পরবর্তী সময়ে আইনশৃঙ্খলা রক্ষাকারী বাহিনীর হাতে ধরা পড়ে।

এ বিষয়ে চট্টগ্রাম কাস্টমসের কমিশনার ফায়জুর রহমান  বলেন, ‘জালিয়াতির ঘটনায় সিঅ্যান্ডএফ এজেন্টসহ তদন্ত প্রতিবেদনের যেসব ব্যক্তির নাম এসেছে, তাদের বিরুদ্ধে ফৌজদারি মামলার প্রস্তুতি নেওয়া হচ্ছে।’

গত বছরের ১১ মে দুপুর ১টা ৭ মিনিটে সিঅ্যান্ডএফ এ. আজিজ অ্যান্ড কোং পণ্য চালান খালাস করতে অ্যাসাইকুডা ওয়ার্ল্ড সিস্টেমে বিল অব এন্ট্রি নোটিং করে। অত্যন্ত দ্রুততার সঙ্গে ১৫ মিনিট পরই দুপুর ১টা ২২ মিনিটে মৃত রাজস্ব কর্মকর্তা ঈশা খানের ইউজার আইডিতে লগ-ইনের মাধ্যমে সিস্টেমে চালানটি গ্রিন করা হয়, অর্থাৎ চালানটি ঝুঁকিমুক্ত ও খালাসযোগ্য হিসাবে সিদ্ধান্ত দেওয়া হয়। এক্ষেত্রে সিস্টেমে এক্সামিনার চিফ (রাজস্ব কর্মকর্তা) ও এক্সামিনার (সহকারী রাজস্ব কর্মকর্তা) অংশে চালানের বিষয়ে মতামত উল্লেখ করার বিধান থাকলেও আলোচ্য চালানে উভয় ক্ষেত্রেই নো-এক্সামিনার উল্লেখ করা হয়।

তদন্ত কর্মকর্তারা রহস্য উদ্ঘাটনে আমদানিকারক, রপ্তানিকারকের প্রতিনিধি, শিপিং এজেন্ট, সিঅ্যান্ডএফ এজেন্ট, মৃত কর্মকর্তা ঈশা খানের স্ত্রীর সঙ্গে কথা বলেন। আমদানিকারকের প্রতিনিধি জানান, শিপিং এজেন্টের মাধ্যমে তারা জানতে পারেন ফেরত পাঠানো পণ্য চালানটি খালাসের জন্য একজন লোক আবেদন করেছেন। এ পরিপ্রেক্ষিতে পুরো বিষয়টি তারা কাস্টমসকে জানিয়েছে। শিপিং এজেন্ট জানায়, চালান খালাসে একজন ব্যক্তি অনলাইনে ডিও আবেদন করে এবং পরবর্তী সময়ে সেই ডিও স্থগিত করতে বলেন। আর মৃত কর্মকর্তা ঈশা খানের স্ত্রী জানান, অ্যাসাইকুডা ওয়ার্ল্ড সিস্টেমে ঈশা খানের নিবন্ধিত নম্বরে বিডি কাস্টমস থেকে এসএমএস আসেনি।

অন্যদিকে রপ্তানিকারকের প্রতিনিধি জানান, আমদানিকারক পণ্যের গুণমান সঠিক না থাকায় এবং দেরিতে পণ্য বন্দরে পৌঁছানোয় পণ্য গ্রহণে অস্বীকৃতি জানায় এবং রপ্তানিকারককে পণ্য ফেরত নিয়ে চিঠি দেয়। এতে রপ্তানিকারক রাজি হয়নি এবং জানায়, তারা তাদের মতো পণ্য খালাসের ব্যবস্থা নেবে। রপ্তানিকারক বাংলাদেশের অনেক প্রতিষ্ঠানকে কাপড় সরবরাহ করে থাকেন। এছাড়া সিঅ্যান্ডএফ প্রতিষ্ঠানের প্রতিনিধিরা জানান, আমদানিকারকের সঙ্গে তাদের সম্পর্ক নেই। ঘটনার সমসাময়িক এক মাস সময়ে কাস্টমসের তার কোনো কাজ ছিল না। ঘটনার দিন (বিল অব এন্ট্রি জমার দিন) সিঅ্যান্ডএফ আইডিতে লগ-ইন করে তারা দেখতে পান, তাদের আইডিতে আইএম-৭ (শুল্কমুক্ত সুবিধায় পণ্য খালাসের কোড) কোডে বিল অব এন্ট্রি জমা রয়েছে। এটি দেখে সন্দেহ হলে শিপিং এজেন্ট অফিসে গিয়ে ডিও দিতে মানা করেন এবং জেটি সরকারের মাধ্যমে শেড ইনচার্জকে পণ্য খালাস স্থগিত করার অনুরোধ জানান। যদিও পরবর্তী সময়ে সিঅ্যান্ডএফ এজেন্টের সংশ্লিষ্টতা পায় তদন্ত কমিটি।

তদন্ত কর্মকর্তারা বলছেন, অ্যাসাইকুডা ওয়ার্ল্ড একটি বৈশ্বিক সফটওয়্যার। পৃথিবীর অনেক দেশ কাস্টমস পণ্যের শুল্কায়নে আঙ্কটাডের এ সফটওয়্যারটি ব্যবহার করছে। নিরাপত্তার স্বার্থে প্রায়ই আপডেট সিস্টেম দেওয়া হয়ে থাকে। তারপরও দুষ্কৃতকারীরা ওটিপির মতো নিরাপত্তা বেষ্টনী পাশ কাটিয়ে কীভাবে প্রবেশ করল, সেটি উদ্ঘাটনের অধিকতর তদন্তের প্রয়োজন আছে। এই সিস্টেমের এক্সপার্ট ব্যতীত অন্য কোনো সফটওয়্যার এক্সপার্টের পক্ষে এত সূচারুভাবে সিস্টেমে প্রবেশের পর পণ্যের শুল্কায়ন করা সম্ভব নয়।

অ্যাসাইকুডা সিস্টেমে বড় ত্রুটি শনাক্ত : এ ঘটনায় অ্যাসাইকুডা সিস্টেমের বড় ধরনের ত্রুটি ধরা পড়েছে। যেমন টু-স্টেপ ভেরিফিকেশন সিস্টেমকে পাশ কাটিয়ে সিস্টেমে প্রবেশ করে দুষ্কৃতকারীরা। ওটিপি ছাড়াই কীভাবে সিস্টেমে প্রবেশ করল, সেটি জানতে এনবিআর-এর আইসিটি অনুবিভাগকে চিঠি দেয় চট্টগ্রাম কাস্টমস। এর জবাবে আইসিটি অনুবিভাগ থেকে জানানো হয়, ওটিপি প্রাপ্তির পূর্বশর্ত হচ্ছে ইউজার আইডি ও পাসওয়ার্ড যথাযথভাবে সিস্টেমে প্রদান। যথাযথ ইউজার আইডি ও পাসওয়ার্ড ভেরিফিকেশন ছাড়া সিস্টেম থেকে ওটিপি পাঠানো হয় না এবং সিস্টেমে প্রবেশও করা যায় না। রাজস্ব কর্মকর্তার ইউজার আইডি ও আইপি অ্যাড্রেস বাইন্ড করা ছিল না বিধায় ল্যানের (লোকাল এরিয়া নেটওয়ার্ক) পাশাপাশি ইন্টারনেট থেকে সিস্টেমে অ্যাকসেস করার সুযোগ ছিল।

যদিও কাস্টমস কর্মকর্তারা বলছেন, মৃত কর্মকর্তার আইডি-পাসওয়ার্ড ‘কম্প্রোমাইজ’ হওয়ার সুযোগ নেই। কারণ তিনি জীবিত থাকা অবস্থায় এ ধরনের ঘটনা ঘটেনি। তাছাড়া আইডি-পাসওয়ার্ড কম্প্রোমাইজ হলেও অ্যাসাইকুডা সিস্টেমে থাকা তার মোবাইল নম্বরে কোন ওটিপি মেসেজ যাবে না, তা নিয়ে প্রশ্ন থেকেই যায়। এ বিষয়ে তদন্ত প্রতিবেদনে বলা হয়েছে, ‘উন্নত তথ্যপ্রযুক্তি জ্ঞানসম্পন্ন কোনো জালিয়াতচক্র এ কার্যক্রমের সঙ্গে সম্পৃক্ত। অ্যাসাইকুডা সফটওয়্যারের সিকিউরিটি সিস্টেমের এ ধরনের বড় প্রমাণিত বিচ্যুতি তদন্তের দাবি রাখে।’

অন্যদিকে অ্যাসাইকুডা সিস্টেমে আইএম-৭ অর্থাৎ বন্ড সুবিধায় আনা পণ্য খালাসের ক্ষেত্রে আমদানিকারক প্রতিষ্ঠানের মনোনীত সিঅ্যান্ডএফ এজেন্ট ব্যতীত অন্য কোনো সিঅ্যান্ডএফ এজেন্টের বিল অব এন্ট্রি নোটিং-এর সুযোগ রাখা হয়নি। সিস্টেমে বাংলাদেশ সব বন্ড লাইসেন্সপ্রাপ্ত প্রতিষ্ঠানের সিঅ্যান্ডএফ এজেন্টের তালিকা সিস্টেমে আপলোড করা আছে। অথচ আলোচ্য ক্ষেত্রে এ. আজিজ অ্যান্ড কোং আমদানিকারকের মনোনীত এজেন্ট না হয়েও বিল অব এন্ট্রি নোটিং করেছে। অর্থাৎ এক্ষেত্রে সিস্টেমের দুর্বলতা প্রতীয়মান হচ্ছে।

পাশাপাশি সিস্টেমে জমা পড়া বিল অব এন্ট্রি শুল্কায়নের জন্য সংশ্লিষ্ট শুল্কায়ন শাখায় পদস্থ রাজস্ব কর্মকর্তা ও সহকারী রাজস্ব কর্মকর্তার নামে বরাদ্দকৃত আইডির অনুকূলে অপেক্ষমাণ (পেন্ডিং) থাকে। এক্সামিনার চিফ হেডিং-এ যে রাজস্ব কর্মকর্তা এবং এক্সামিনার হেডিং-এ যে সহকারী রাজস্ব কর্মকর্তার পণ্যের শুল্কায়ন সম্পন্ন করবেন, তাদের আইডি নম্বর উল্লেখ থাকে। এক্ষেত্রে উভয় ক্ষেত্রে নো-এক্সামিনার দিয়ে চালানটি শুল্কায়ন করা হয়েছে, যা স্বাভাবিক নয়। সফটওয়্যার হ্যাকের ১০ মাস আগে রাজস্ব কর্মকর্তা ঈশা খান মারা যান। সেসময় তিনি আমদানি-১২ শাখায় কর্মরত ছিলেন। কিন্তু বিল অব এন্ট্রিটি আমদানি-১৩ শাখায় নোটিং করা হয়, যেখানে ঈশা খানের আইডি ব্যবহার করে চালানটি গ্রিন (ঝুঁকিমুক্ত ও খালাসযোগ্য) করা হয়েছে এবং এক্সামিনার চিফ ও এক্সামিনার উভয়ের ক্ষেত্রে নো এক্সামিন উল্লেখ রয়েছে। অর্থাৎ কোনো কর্মকর্তার বরাদ্দকৃত আইডির উল্লেখ পাওয়া যায়নি। এ ধরনের ঘটনায় সিস্টেম থেকে বাধা আসা সমীচীন ছিল বলে তদন্ত প্রতিবেদনে উল্লেখ করা হয়েছে।

তদন্ত প্রতিবেদনে বলা হয়েছে, ওটিপি ব্যতীত কীভাবে অ্যাসাইকুডা সিস্টেমে মৃত কর্মকর্তার আইডি ব্যবহার করে লগইনের মাধ্যমে শুল্কায়ন করা হয়েছে এবং ওটিপি ব্যতীত সিঅ্যান্ডএফ এজেন্টের আইডি ব্যবহার করে সিস্টেমে বিল অব এন্ট্রি নোটিং করেছে, তা উদ্ঘাটনের জন্য সাইবার সিকিউরিটি ও আইটি বিশেষজ্ঞদের সমন্বয়ে একটি তদন্ত কমিটি গঠন করা যেতে পারে। একই সঙ্গে অ্যাসাইকুডা সিস্টেম অডিট করানোর ব্যবস্থা গ্রহণ করা যেতে পারে। এর আগে ২০১৫ সালে অবসরে যাওয়া রাজস্ব কর্মকর্তা ডিএএম মুহিবুল ইসলামের আইডি-পাসওয়ার্ড ব্যবহার করে ২০১৭ সালের ২১ নভেম্বর থেকে ২০১৮ সালের ২৭ সেপ্টেম্বর পর্যন্ত ১১৬ বার অ্যাসাইকুডা ওয়ার্ল্ডে লগইন ও লগআউট করে পণ্য খালাস নেওয়া হয়। একই কায়দায় ২০১৫ সালের আগস্ট পর্যন্ত চট্টগ্রাম কাস্টমসে সহকারী রাজস্ব কর্মকর্তা হিসাবে কর্মরত ফজলুল হকের ইউজার আইডি ব্যবহার করে ২০১৬ সালের ১৩ অক্টোবর থেকে ২০১৯ সালের ৮ জানুয়ারি পর্যন্ত ৩ হাজার ৬৮১ বার অ্যাসাইকুডা ওয়ার্ল্ড সিস্টেমে লগইন করা হয়েছে এবং বিভিন্ন পণ্যের খালাস নেওয়া হয়েছে, যা শুল্ক গোয়েন্দার তদন্তে উদ্ঘাটিত হয়।