আজকাল ওয়েবডেস্ক: ট্যাক্স ই-ফাইলিং করছেন। বিপদ ঘাপটি মেরে আছে সেখানেও! যে কোনও দিন ঘটতে পারে বিপদ! তথ্য তেমনটাই। জানা যাচ্ছে, ব্যবহারকারীরা আচমকা নাকি অন্যান্য করদাতাদের তথ্য চুরি করে নিতে পারেন অনায়াসে। তাহলে উপায়?

যদিও বিপদ থাকলে উপায় থাকবেই। আর এই তথ্য অন্যের কাছে চলে গেলে একজন করদাতার কতটা বিপদ ঘটতে পারে? 

প্রথমেই উল্লেখ করা যাক, ভারতের ট্যাক্স ই-ফাইলিং পোর্টালে কিছু সময়ের জন্য গুরুতর নিরাপত্তা ত্রুটি বা ঘাটতি দেখা দেয় বলে জানা গেছে। যার ফলে লগ-ইন করা ব্যবহারকারীরা অন্যদের ব্যক্তিগত তথ্য দেখতে পেয়েছেন। টেকক্রাঞ্চ যাকে 'গ্ল্যারিং হোল' বলে বর্ণনা করেছেন। আয়কর বিভাগের ই-ফাইলিং পোর্টালে তাঁদের নিজস্ব কর রিটার্ন দাখিল করার চেষ্টা করার সময়েই কয়েকজনের নজরে আসে এই ত্রুটির ঘটনাটি। নিরাপত্তা ঘাটতির ফলে তাঁরা লগ ইন করার সময় অন্যান্য করদাতাদের ব্যক্তিগত তথ্য, যার মধ্যে আধার নম্বর এবং আর্থিক বিবরণ,যেগুলি অন্তর্ভুক্ত ছিল, দেখতে পান।

আরও পড়ুন: 'ওঁ ছিঁড়ে দিয়েছে', কামরায় চিল চিৎকার করেও থামলেন না, এবার টিটি'র বিরুদ্ধে ভয়াবহ অভিযোগ শিক্ষিকার, শুনে লোক জড়ো চারপাশে

ইন্ডিপেন্ডেন্ট সিকিউরিটি রিসার্চারদের নজরে আসে গোটা ঘটনাটি। তাঁরা আবিষ্কার করেছেন যে, পোর্টালের ওয়েব কোডের ত্রুটির কারণে কোনও অনুমোদন যাচাই ছাড়াই ব্যক্তিগত এবং আর্থিক রেকর্ড পুনরুদ্ধারের জন্য একটি প্যান নম্বর অন্যটিতে পরিবর্তন করার মতো অনুরোধের প্যারামিটারের হেরফের সম্ভব হয়েছে। টেকক্রাঞ্চ জানিয়েছে, এই ত্রুটিটি, যা প্রযুক্তিগতভাবে ইনসিকিউর ডাইরেক্ট অবজেক্ট রেফারেন্স (IDOR) নামে পরিচিত। এই ধরণের ত্রুটির ঘটনা নতুন নয় এবং অনেক সময়েই এই ত্রুটি নজরে আসে না। 

কখন ঘটে আইডিওআর? 
তথ্য, IDOR তখন ঘটে, যখন কোনও অ্যাপ্লিকেশন যথাযথ অ্যাক্সেস নিয়ন্ত্রণ ছাড়াই অভ্যন্তরীণ অবজেক্ট আইডেন্টিফায়ার (যেমন ডাটাবেস আইডি বা প্যান) প্রকাশ করে, আক্রমণকারী বা ব্যবহারকারীদের অনুরোধ URL-এ ইনপুট পরিবর্তন করে কেবল ডেটা অ্যাক্সেস করার অনুমতি দেয়। যদিও অভিজ্ঞতা বলছেন এই ত্রুটির সমাধানের জন্য আবার উন্নত প্রযুক্তিগত দক্ষতার প্রয়োজন নেই। মৌলিক ব্রাউজার ডেভেলপার সরঞ্জাম বা সফ্টওয়্যার ব্যবহার করে এটি ঠিক করা সম্ভব। 

এই অবস্থায়, একজন অন্যজনের কোন কোন তথ্য দেখতে পাবেন?
জানা যাচ্ছে, এই ত্রুটির ঘটনা ঘটলে ব্যবহারকারীরা অন্যের যেসব তথ্য অ্যাক্সেস করতে পারেন, তার মধ্যে রয়েছে পূর্ণ নাম, বাড়ির ঠিকানা, ইমেল আইডি, ফোন নম্বর, জন্ম তারিখ, ব্যাঙ্ক অ্যাকাউন্টের বিবরণ, আধার নম্বর এবং ব্যক্তিদের কর-সম্পর্কিত তথ্য, এমনকী যদি তাঁরা এখনও তাদের রিটার্ন দাখিল না করে থাকেন সেই তথ্যও। গবেষকরা পরীক্ষার পর বলছেন, কর্পোরেট করদাতাদের তথ্য ঝুঁকিপূর্ণ, যার মধ্যে নিবন্ধিত ব্যবসায়িক প্রোফাইল এবং অর্থ সংক্রান্ত বিস্তারিত তথ্য।

সমাধান কীভাবে?
এই বিষয়টি ইলেকট্রনিক্স এবং তথ্য প্রযুক্তি মন্ত্রকের অধীনে ভারতের কম্পিউটার জরুরি প্রতিক্রিয়া দল CERT-In-কে জানানো হয়েছিল নজরে আসার পরেই। সর্বভারতীয় সংবাদ মাধ্যম সূত্রে তথ্য তেমনটাই। CERT-In আয়কর বিভাগের সঙ্গে সমন্বয় করে এই সমস্যাটির সমাধান করেছিল ২ অক্টোবরের মধ্যে। সূত্রের খবর, আয়কর বিভাগের একাধিক কর্তা বিষয়টি নিশ্চিত করলেও,  প্রতিবেদন লেখার সময় পর্যন্ত ঘটনাটি সম্পর্কে কোনও আনুষ্ঠানিক বিবৃতি বা বিজ্ঞপ্তি জারি করেনি। 

করদাতারা এই ধরনের যে কোনও ত্রুটির থেকে সুরক্ষিত থাকবেন কীভাবে? বিশেষজ্ঞরা জানাচ্ছেন-

১। ব্যবহারকারীরা ট্যাক্স পোর্টাল অ্যাকাউন্টের জন্য সবসময় শক্তিশালী, তুলনায় জটিল, নতুন ধরনের পাসওয়ার্ড ব্যবহার করুন। নিয়মিত আপনার পাসওয়ার্ড পরিবর্তন করুন এবং অন্যান্য পরিষেবাগুলিতে এটি পুনঃব্যবহার করা এড়িয়ে চলুন।

২। আপনার লগইন শংসাপত্র, OTP,বা নিরাপত্তার জনিত কোনও প্রশ্নের তথ্য কখনও কারও সঙ্গে শেয়ার করবেন না, এমনকী স্বঘোষিত সরকারি কর্মকর্তাদের সঙ্গেও।

৩। যদি ইতিমধ্যেই করা না হয়ে থাকে, তাহলে অ্যাকাউন্ট প্রোফাইলের "ই-ফাইলিং ভল্ট" বিভাগের মাধ্যমে লগইন এবং পাসওয়ার্ড রিসেট প্রক্রিয়া উভয়ের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করতে হবে ব্যবহারকারীদের।

৪। কোনও অননুমোদিত পরিবর্তনের জন্য, বিশেষ করে ইমেল অ্যাড্রেস, মোবাইল নম্বর বা লিঙ্ক করা ব্যাঙ্ক অ্যাকাউন্টে নিয়মিত ই-ফাইলিং পোর্টাল অ্যাকাউন্ট পর্যবেক্ষণ করুন।

৫। কর বিভাগের দাবি করা ফিশিং ইমেল বা এসএমএস বার্তা সম্পর্কে সতর্ক থাকুন। যেকোনও লিঙ্কে ক্লিক করার আগে বা লগইন বিশদ প্রবেশ করার আগে সর্বদা ইমেল ডোমেইন এবং ওয়েবসাইট ঠিকানা যাচাই করুন।