রাষ্ট্রীয় গোয়েন্দা সংস্থা কীভাবে সোশ্যাল মিডিয়া অ্যাকাউন্টে প্রবেশাধিকার পেতে পারে
- প্রামাণ্য তথ্যের আলোকে
এই প্রশ্নের উত্তর কয়েকটি ভিন্ন স্তরে বিভক্ত — আইনি পথ, কারিগরি আক্রমণ, এবং প্ল্যাটফর্মের কাঠামোগত সীমাবদ্ধতা।
প্রতিটি স্তর ভিন্নভাবে কাজ করে।
১. আইনি ও প্রাতিষ্ঠানিক পথ — প্ল্যাটফর্মের কাছে সরাসরি অনুরোধ
Meta (Facebook, WhatsApp) ও Telegram উভয়েই সরকারি অনুরোধের জন্য নির্দিষ্ট আইনি প্রক্রিয়া অনুসরণ করে।
Meta তার "Transparency Center"-এ নিয়মিত প্রকাশ করে কোন দেশ কতগুলো আইনি অনুরোধ পাঠিয়েছে এবং কতগুলোতে কিছু তথ্য দেওয়া হয়েছে।
সাধারণত জরুরি পরিস্থিতিতে (জীবনের ঝুঁকি দাবি করে) "Emergency Disclosure Request"-এর মাধ্যমে দ্রুত তথ্য চাওয়া যায়, যদিও এতে অ্যাকাউন্ট রেজিস্ট্রেশনের ইমেইল/ফোন নম্বর, আইপি লগ ও কিছু মেটাডেটা দেওয়া হতে পারে,
কিন্তু WhatsApp ও Telegram-এর ক্ষেত্রে এন্ড-টু-এন্ড এনক্রিপশনের কারণে বার্তার প্রকৃত কনটেন্ট সাধারণত দেওয়া সম্ভব হয় না।
২. কারিগরি আক্রমণ — যা Citizen Lab ও Netra News নথিভুক্ত করেছে
প্রশ্নের মূল অংশ — "কোন ইমেইল বা ফোন নম্বর দিয়ে অ্যাকাউন্ট খোলা হয়েছে তা কি রাষ্ট্রীয় সংস্থা সরাসরি দেখতে পারে" — এর উত্তর নির্ভর করে তারা কোন পদ্ধতি ব্যবহার করছে তার ওপর।
SS7 নেটওয়ার্ক দুর্বলতা কাজে লাগানো — টেলিকম সিগন্যালিং প্রোটোকলের এই পুরনো দুর্বলতা ব্যবহার করে রাষ্ট্রীয় পর্যায়ের অপারেটররা এসএমএস ইন্টারসেপ্ট করতে পারে, যার মধ্যে টু-ফ্যাক্টর অথেনটিকেশন (2FA) কোডও থাকে।
ওয়াশিংটন বিশ্ববিদ্যালয়ের জ্যাকসন স্কুলের গবেষণা প্রতিবেদন অনুযায়ী,
DGFI-এর একটি ইউনিট বিশেষায়িত এসএমএস-ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ইন্টারসেপশনে,
যা তাদের ফেসবুক অ্যাকাউন্টে অননুমোদিত প্রবেশাধিকার পেতে সাহায্য করে। এই পদ্ধতিতে অ্যাকাউন্টে প্রবেশ করা যায়,
কিন্তু এটি রেজিস্ট্রেশনে ব্যবহৃত ইমেইল বা ফোন নম্বর "দেখা"র চেয়ে বেশি — এটি সরাসরি সেই নম্বরের ওটিপি চুরি করে অ্যাকাউন্টের নিয়ন্ত্রণ নেওয়ার একটি পদ্ধতি।
স্পাইওয়্যার-ভিত্তিক ডিভাইস অ্যাক্সেস — Pegasus বা FinFisher-এর মতো স্পাইওয়্যার একবার ফোনে প্রবেশ করলে, অ্যাপের মধ্যে লগ-ইন থাকা সব সেশন,
বার্তা ও অ্যাকাউন্ট তথ্য সরাসরি দেখতে পারে — কারণ তখন আক্রমণকারী কার্যত ফোনের মালিকের দৃষ্টিকোণ থেকেই সবকিছু দেখছে।
এক্ষেত্রে এনক্রিপশনের কোনো সুরক্ষা কাজ করে না, কারণ ডিভাইসেই বার্তা ডিক্রিপ্টেড অবস্থায় থাকে।
ফিশিং ও সোশ্যাল ইঞ্জিনিয়ারিং — Netra News-এর অনুসন্ধান অনুযায়ী, DGFI-এর সাইবার ইউনিট দুর্বল পাসওয়ার্ড অনুমান বা টার্গেটকে প্রতারণামূলক লিংকে ক্লিক করানোর মাধ্যমে সরাসরি অ্যাকাউন্ট ক্রেডেনশিয়াল হাতিয়ে নেয়।
৩. রেজিস্ট্রেশন তথ্য "সরাসরি দেখা" নিয়ে স্পষ্টীকরণ
কোনো তৃতীয় পক্ষ সাধারণত একটি ফেসবুক, হোয়াটসঅ্যাপ বা টেলিগ্রাম আইডি দেখে সরাসরি বুঝতে পারে না কোন ইমেইল বা ফোন নম্বর দিয়ে সেটি খোলা হয়েছে — এই তথ্য প্ল্যাটফর্মের ডেটাবেজে সুরক্ষিত থাকে।
এটি জানার তিনটি সম্ভাব্য পথ থাকে — প্ল্যাটফর্মের কাছে আইনি অনুরোধ পাঠানো, অ্যাকাউন্টে সরাসরি প্রবেশাধিকার নেওয়া (উপরে বর্ণিত পদ্ধতিতে), অথবা ডেটা ব্রিচ থেকে ফাঁস হওয়া তথ্যের সঙ্গে ক্রস-রেফারেন্স করা।
৪. মেটাডেটা-ভিত্তিক সনাক্তকরণ
Toucan-এর মতো টুল (RAB-এর টেলিগ্রাম ইন্টারসেপশন যন্ত্র, Netra News-এর প্রতিবেদন অনুযায়ী)
সরাসরি এনক্রিপ্টেড বার্তা না পড়েই ব্যবহারকারীর পরিচয় "ডি-অ্যানোনিমাইজ" করতে সক্ষম — এটি ফোন নম্বরের সঙ্গে অন্যান্য প্ল্যাটফর্মের প্রকাশ্য তথ্য মিলিয়ে একটি প্রোফাইল তৈরি করে, যা প্রত্যক্ষ অ্যাকাউন্ট অ্যাক্সেসের চেয়ে ভিন্ন পদ্ধতি।
সাংবাদিক ও মানবাধিকার কর্মীদের জন্য ব্যবহারিক তাৎপর্য
এই তথ্যগুলো থেকে সবচেয়ে গুরুত্বপূর্ণ শিক্ষা হলো — শুধু এসএমএস-ভিত্তিক 2FA যথেষ্ট নিরাপত্তা নয়,
কারণ এটি SS7 আক্রমণে ভেদযোগ্য। অ্যাপ-ভিত্তিক অথেনটিকেটর (যেমন Authy বা Signal-এর নিজস্ব পিন) অনেক বেশি নিরাপদ।
এছাড়া ডিভাইসে স্পাইওয়্যার সংক্রমণ ঠেকানোই সবচেয়ে গুরুত্বপূর্ণ, কারণ একবার ডিভাইস সংক্রমিত হলে যেকোনো এনক্রিপশনই অকার্যকর হয়ে পড়ে।
সোর্স নোট ;
University of Washington, Jackson School — SMS-ভিত্তিক 2FA ইন্টারসেপশন
Netra News — Toucan ও ফেসবুক অ্যাকাউন্ট হ্যাকিং ইউনিট
Citizen Lab — Pegasus ও FinFisher স্পাইওয়্যার গবেষণা
Meta Transparency Center — সরকারি ডেটা অনুরোধ প্রক্রিয়া
_____________×××××__________
- প্রামাণ্য তথ্যের আলোকে
এই প্রশ্নের উত্তর কয়েকটি ভিন্ন স্তরে বিভক্ত — আইনি পথ, কারিগরি আক্রমণ, এবং প্ল্যাটফর্মের কাঠামোগত সীমাবদ্ধতা।
প্রতিটি স্তর ভিন্নভাবে কাজ করে।
১. আইনি ও প্রাতিষ্ঠানিক পথ — প্ল্যাটফর্মের কাছে সরাসরি অনুরোধ
Meta (Facebook, WhatsApp) ও Telegram উভয়েই সরকারি অনুরোধের জন্য নির্দিষ্ট আইনি প্রক্রিয়া অনুসরণ করে।
Meta তার "Transparency Center"-এ নিয়মিত প্রকাশ করে কোন দেশ কতগুলো আইনি অনুরোধ পাঠিয়েছে এবং কতগুলোতে কিছু তথ্য দেওয়া হয়েছে।
সাধারণত জরুরি পরিস্থিতিতে (জীবনের ঝুঁকি দাবি করে) "Emergency Disclosure Request"-এর মাধ্যমে দ্রুত তথ্য চাওয়া যায়, যদিও এতে অ্যাকাউন্ট রেজিস্ট্রেশনের ইমেইল/ফোন নম্বর, আইপি লগ ও কিছু মেটাডেটা দেওয়া হতে পারে,
কিন্তু WhatsApp ও Telegram-এর ক্ষেত্রে এন্ড-টু-এন্ড এনক্রিপশনের কারণে বার্তার প্রকৃত কনটেন্ট সাধারণত দেওয়া সম্ভব হয় না।
২. কারিগরি আক্রমণ — যা Citizen Lab ও Netra News নথিভুক্ত করেছে
প্রশ্নের মূল অংশ — "কোন ইমেইল বা ফোন নম্বর দিয়ে অ্যাকাউন্ট খোলা হয়েছে তা কি রাষ্ট্রীয় সংস্থা সরাসরি দেখতে পারে" — এর উত্তর নির্ভর করে তারা কোন পদ্ধতি ব্যবহার করছে তার ওপর।
SS7 নেটওয়ার্ক দুর্বলতা কাজে লাগানো — টেলিকম সিগন্যালিং প্রোটোকলের এই পুরনো দুর্বলতা ব্যবহার করে রাষ্ট্রীয় পর্যায়ের অপারেটররা এসএমএস ইন্টারসেপ্ট করতে পারে, যার মধ্যে টু-ফ্যাক্টর অথেনটিকেশন (2FA) কোডও থাকে।
ওয়াশিংটন বিশ্ববিদ্যালয়ের জ্যাকসন স্কুলের গবেষণা প্রতিবেদন অনুযায়ী,
DGFI-এর একটি ইউনিট বিশেষায়িত এসএমএস-ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ইন্টারসেপশনে,
যা তাদের ফেসবুক অ্যাকাউন্টে অননুমোদিত প্রবেশাধিকার পেতে সাহায্য করে। এই পদ্ধতিতে অ্যাকাউন্টে প্রবেশ করা যায়,
কিন্তু এটি রেজিস্ট্রেশনে ব্যবহৃত ইমেইল বা ফোন নম্বর "দেখা"র চেয়ে বেশি — এটি সরাসরি সেই নম্বরের ওটিপি চুরি করে অ্যাকাউন্টের নিয়ন্ত্রণ নেওয়ার একটি পদ্ধতি।
স্পাইওয়্যার-ভিত্তিক ডিভাইস অ্যাক্সেস — Pegasus বা FinFisher-এর মতো স্পাইওয়্যার একবার ফোনে প্রবেশ করলে, অ্যাপের মধ্যে লগ-ইন থাকা সব সেশন,
বার্তা ও অ্যাকাউন্ট তথ্য সরাসরি দেখতে পারে — কারণ তখন আক্রমণকারী কার্যত ফোনের মালিকের দৃষ্টিকোণ থেকেই সবকিছু দেখছে।
এক্ষেত্রে এনক্রিপশনের কোনো সুরক্ষা কাজ করে না, কারণ ডিভাইসেই বার্তা ডিক্রিপ্টেড অবস্থায় থাকে।
ফিশিং ও সোশ্যাল ইঞ্জিনিয়ারিং — Netra News-এর অনুসন্ধান অনুযায়ী, DGFI-এর সাইবার ইউনিট দুর্বল পাসওয়ার্ড অনুমান বা টার্গেটকে প্রতারণামূলক লিংকে ক্লিক করানোর মাধ্যমে সরাসরি অ্যাকাউন্ট ক্রেডেনশিয়াল হাতিয়ে নেয়।
৩. রেজিস্ট্রেশন তথ্য "সরাসরি দেখা" নিয়ে স্পষ্টীকরণ
কোনো তৃতীয় পক্ষ সাধারণত একটি ফেসবুক, হোয়াটসঅ্যাপ বা টেলিগ্রাম আইডি দেখে সরাসরি বুঝতে পারে না কোন ইমেইল বা ফোন নম্বর দিয়ে সেটি খোলা হয়েছে — এই তথ্য প্ল্যাটফর্মের ডেটাবেজে সুরক্ষিত থাকে।
এটি জানার তিনটি সম্ভাব্য পথ থাকে — প্ল্যাটফর্মের কাছে আইনি অনুরোধ পাঠানো, অ্যাকাউন্টে সরাসরি প্রবেশাধিকার নেওয়া (উপরে বর্ণিত পদ্ধতিতে), অথবা ডেটা ব্রিচ থেকে ফাঁস হওয়া তথ্যের সঙ্গে ক্রস-রেফারেন্স করা।
৪. মেটাডেটা-ভিত্তিক সনাক্তকরণ
Toucan-এর মতো টুল (RAB-এর টেলিগ্রাম ইন্টারসেপশন যন্ত্র, Netra News-এর প্রতিবেদন অনুযায়ী)
সরাসরি এনক্রিপ্টেড বার্তা না পড়েই ব্যবহারকারীর পরিচয় "ডি-অ্যানোনিমাইজ" করতে সক্ষম — এটি ফোন নম্বরের সঙ্গে অন্যান্য প্ল্যাটফর্মের প্রকাশ্য তথ্য মিলিয়ে একটি প্রোফাইল তৈরি করে, যা প্রত্যক্ষ অ্যাকাউন্ট অ্যাক্সেসের চেয়ে ভিন্ন পদ্ধতি।
সাংবাদিক ও মানবাধিকার কর্মীদের জন্য ব্যবহারিক তাৎপর্য
এই তথ্যগুলো থেকে সবচেয়ে গুরুত্বপূর্ণ শিক্ষা হলো — শুধু এসএমএস-ভিত্তিক 2FA যথেষ্ট নিরাপত্তা নয়,
কারণ এটি SS7 আক্রমণে ভেদযোগ্য। অ্যাপ-ভিত্তিক অথেনটিকেটর (যেমন Authy বা Signal-এর নিজস্ব পিন) অনেক বেশি নিরাপদ।
এছাড়া ডিভাইসে স্পাইওয়্যার সংক্রমণ ঠেকানোই সবচেয়ে গুরুত্বপূর্ণ, কারণ একবার ডিভাইস সংক্রমিত হলে যেকোনো এনক্রিপশনই অকার্যকর হয়ে পড়ে।
সোর্স নোট ;
University of Washington, Jackson School — SMS-ভিত্তিক 2FA ইন্টারসেপশন
Netra News — Toucan ও ফেসবুক অ্যাকাউন্ট হ্যাকিং ইউনিট
Citizen Lab — Pegasus ও FinFisher স্পাইওয়্যার গবেষণা
Meta Transparency Center — সরকারি ডেটা অনুরোধ প্রক্রিয়া
_____________×××××__________