University of Phoenix Breach: Is Your Social Security Number Already on the Dark Web?
ফিনিক্স বিশ্ববিদ্যালয়ের ডেটা হ্যাঁক: আপনার সোশ্যাল সিকিউরিটি নম্বর কি ইতিমধ্যে ডার্ক ওয়েবে পাওয়া যাচ্ছে?

কর্পোরেট গুজব বাদ দিন: প্রায় ৩.৫ মিলিয়ন মানুষের ব্যক্তিগত জীবন লুট হয়ে গেছে ফিনিক্স বিশ্ববিদ্যালয়ের সিস্টেমে ওরাকলের জিরো-ডে দুর্বলতা কাজে লাগিয়ে। এটা কোনো ছেলেমানুষি হ্যাক নয়—ক্লপ গ্যাং ছিল, যারা সোশ্যাল সিকিউরিটি নম্বর, জন্মতারিখ আর ব্যাংকের তথ্য চুষে নিচ্ছিল যেন এক ডিজিটাল বুফেতে। আর এবার শুনুন: হ্যাঁক শুরু হয়েছিল আগস্টে, কিন্তু বিশ্ববিদ্যালয় টের পেয়েছিল নভেম্বরে। তিন মাসের নীরব তথ্য রক্তপাত। লজ্জার কথা? নিঃসন্দেহে। কিন্তু আরও খারাপ আসছে।
ক্লপ ফাইল এনক্রিপ্ট করে না। তারা চুরি করে। তারপর টাকা না দিলে সব ফাঁস করে দেওয়ার হুমকি দেয়। এটি কর্পোরেট ব্ল্যাকমেইলের ২.০ সংস্করণ। আর সবচেয়ে বিপজ্জনক হলো? ত্রুটিটি ছিল ওরাকলের ই-বিজনেস স্যুটে—এমন এক সিস্টেম যার উপর অসংখ্য বিশ্ববিদ্যালয় ও প্রতিষ্ঠান নির্ভর করে। তাহলে যদি ফিনিক্স তা ঠিক না করে থাকে, আপনার স্কুল না হ্যাঁক হয়েছে কীভাবে জানবেন? এটা একক ঘটনা নয়—এটা ব্যবস্থাগত।
আমি ২০২০ থেকে ২০২৩ পর্যন্ত ওখানকার ছাত্র ছিলাম। আমি গত সপ্তাহে তথ্য চুরির নোটিশ পেয়েছি। ব্যাপারটা কী কৌতুকজনক? আমি সেখানে সাইবার নিরাপত্তা নিয়ে পড়েছি। এখন আমার নিজের এসএসএন ও আর্থিক তথ্য পাওয়া যাচ্ছে। আমি এটাকে আমার রিজুমে এক 'বাস্তব কেস স্টাডি' হিসেবেও ব্যবহার করতে পারি না, মজার চরিত্র হয়ে উঠব না।
এই কারণে আমরা গতবছর জিরো-ট্রাস্ট মডেলে চলে এসেছি। ওরাকল ইবিএস-এর মতো পুরানো ইআরপি সিস্টেম সতত নজরদারি না করা হলে একটি সময় বোমার মতো। ক্লপের কয়েক মাস ধরে ধরা না পড়া সেটা বলে দেয় যে কতটা সীমিত বাজেটে বিশ্ববিদ্যালয়ের আইটি দলগুলো কাজ করে। বাজেট যায় খেলাধুলা আর কর্মকর্তাদের ভবনের জন্য, ফায়ারওয়াল নয়।
CISA আগস্টে ওরাকল ইবিএস দুর্বলতা নিয়ে নির্দেশিকা জারি করে। ফিনিক্স বিশ্ববিদ্যালয়, অন্যদের মতো, সেটা মানেনি। এটা সাইবার ব্যর্থতা নয়—এটা শাসন ব্যর্থতা। আপনি যদি ৩.৫ মিলিয়ন এসএসএন রাখেন, তাহলে আপনার ঠিক করার পদ্ধতি অটোমেটিক হওয়া উচিত। বিন্দু।
তাহলে এখন কী হবে? আমি কি আমার এসএসএন পাল্টাব? ব্যাংকগুলো এমনকি তা অনুমতি দেয়?
আসল সমস্যা কী? এই লাভজনক বিশ্ববিদ্যালয়গুলো তথ্য সোনার মতো জমিয়ে রাখে, কিন্তু নিরাপত্তাকে আবর্জনার মতো দেখে। তারা শিক্ষার্থীদের তথ্য থেকে লাভ করে, তারপর তথ্য চুরি হলে হাওয়ায়। আমাদের সারক্ষণিক তথ্য কমানোর আইন দরকার, গতকালই।
শুনুন, আমরা যতক্ষণ জানলাম, ততক্ষণই প্যাচ পাঠিয়ে দিলাম। ক্লায়েন্টদেরই তা বাস্তবায়ন করা উচিত। প্রতিটি বিশ্ববিদ্যালয়ের আইটি দলকে দেখভাল করা আমাদের কাজ নয়। কিন্তু হ্যাঁ—খ্যাতির দিক থেকে, এটা খারাপ। এখন আমরা বেগবান জিরো-ডে আবিষ্কারে কাজ করছি।
দেখভাল? এটা 'বেসিক ভেন্ডর দায়িত্ব' বলুন তো। যদি আপনার সফটওয়্যার সব জায়গায় থাকে, তাহলে প্যাচের ছড়ানো হাত দিয়ে ঠেলে যাচ্ছে, ভুল হবে না, আর স্বয়ংক্রিয় হওয়া উচিত। নইলে, আপনি শুধু আরও একটি দায়বদ্ধতা।