03/01/2026
🚨 NEIR এর ওয়েবসাইটে বিশাল ইস্যু।
Post: Oritro Ahmed vai
NEIR এর ওয়েবসাইট আজকে লাইভে গেছে, যেখানে কেউ নিজের NID ব্যবহার করে একাউন্ট খুলে চেক করতে পারবে তার নামে কি কি ডিভাইস ( IMEI ) ধরে রেজিস্টার করা আছে।
সমস্যা হলো, এই সিস্টেমটা কে বানিয়েছে আমার জানান নেই, তারা যে সিকিউরিটি সম্পর্কে বিন্দুমাত্র জ্ঞান রাখে না, সেটার প্রমাণ স্ক্রিনশটে দিচ্ছি।
নিজের স্ক্রিনশটে দেখতে পাচ্ছেন, আমি একটা এন আইডি দিয়ে রিকোয়েস্ট করেছি। রেস্পন্সেবল ডিসক্লোজারের সার্থে আমি অনেক ইনফরমেশন এখানে ঢেকে দিয়েছি, যারা সফটওয়্যার ইঞ্জিনিয়ারিং, API, JWT সম্পর্কে ধারনা রাখেন, তারা বুঝে যাবেন এখানে কি ঘটছে।
এখানে যে এন আইডি টা রয়েছে, এটা সম্পূর্ন র্যান্ডম। আমার নিজের এন আইডি না এটা, আমার এন আই ডি তে ১৩ সংখ্যাটা নেই। এটা দিয়ে রিকোয়েস্ট পাঠানোর পরে, এই ব্যাক্তির নামে রেজিস্টার করা সমস্ত ডিভাইস এর IMEI নম্বর আমি পেয়ে গেছি। শুধু তাই না, এর মধ্যে একটাতে তার ফোন নম্বর MSISDN হিসাবে যুক্ত ছিল। সেগুলো আমি বেশিরভাগটাই ঢেকে দিয়েছি তার ব্যাক্তিগত নিরাপত্তার স্বার্থে।
আমি প্রফেশনাল সাইবার সিকিউরিটি এক্সাপার্ট না, নিজের সফটওয়্যার ইঞ্জিনিয়ারিং এর অভিজ্ঞতা আর শখের বসে চেক করতে গিয়ে দেখি পুরো API ওপেন। আরও শকিং জিনিস হলো কোন রেট লিমিট নেই, কেউ চাইলেই একগাদা রিকোয়েস্ট পাঠিয়ে মানুষের তথ্য হাতিয়ে নিতে পারে। আমি যতটা সম্ভব হিন্ট দিয়ে আসল তথ্য গোপন রেখে এটা প্রকাশ করছি যাতে সংশ্লিষ্ট কর্তৃপক্ষের নজরে পরে।
প্রশ্ন হল, ফেসবুকে কেন দিচ্ছি? কারণ তাদের ওয়েবসাইটে যোগাযোগ করার কোন রাস্তা নেই। সমস্যা হলে সেটা রিপোর্ট করার জন্য একটা লিংক দিয়েছে, সেখানে ( 192.168 ) সিরিজের আইপির লিংক দিয়ে রেখেছে, যেটা লোকাল নেটওয়ার্কের আইপি। মানে, যে এটা ডেভেলপ করেছে, তার একটা ব্লগ বানানোর যোগ্যতা নাই, দেশের একগাদা সেনসিটিভ ডাটা নিয়ে কাজ করছে এই ডেভেলপার।
যদি কোন দ্বায়িত্ববান ব্যাক্তি এটা যথা যথ কর্তৃপক্ষের নজরে আনতে পারেন, দেশেরই উপকার হবে। আমাকে নক দিলে আমি বাকি ডিটেইলস তথ্য দিয়ে সাহায্য করবো।
BTRC
