মেসেজিং অ্যাপ 'Tokee' থেকে ১২ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁস | Bug Mohol

সাবধান! মেসেজিং অ্যাপ 'Tokee' থেকে ১২ লাখ মানুষের ব্যক্তিগত তথ্য ফাঁস: আপনার ডেটা কি সত্যিই নিরাপদ?

Bug Mohol Tech Desk | তারিখ: ১৮ই মে ২০২৬

প্রতিদিন সকালে ঘুম থেকে উঠে আমরা মেসেজিং অ্যাপ চেক করি। বন্ধু, পরিবার বা অফিসের কলিগদের সাথে ব্যক্তিগত কথা বলি। আমাদের সাধারণ একটি ধারণা থাকে যে চ্যাট তো এনক্রিপ্ট করা, তাই কেউ আমাদের মেসেজ পড়তে পারবে না এবং আমরা পুরোপুরি নিরাপদ। কিন্তু একটু গভীরভাবে ভাবুন তো, আপনার মেসেজের ভেতরের লেখা কেউ না পড়লেও, আপনি ঠিক কার সাথে কথা বলছেন, আপনার ব্যক্তিগত ফোন নম্বর কী কিংবা আপনার প্রোফাইল ছবি কোনটা—এসব সংবেদনশীল তথ্য যদি হ্যাকারদের হাতে চলে যায়, তাহলে কেমন হবে? ঠিক এমন একটি ভয়ংকর ও উদ্বেগজনক ঘটনাই ঘটেছে জনপ্রিয় মেসেজিং অ্যাপ 'Tokee' (টোকি)-এর সাথে, যেখানে প্রায় ১২ লাখ মানুষের ব্যক্তিগত তথ্য এখন ইন্টারনেটে পুরোপুরি ফাঁস হয়ে গেছে।

গুগল প্লে-স্টোরে এক মিলিয়নেরও বেশি ডাউনলোড হওয়া এই টোকি অ্যাপটি বিশ্বজুড়ে অনেকেই নিয়মিত ব্যবহার করেন। সাইবারনিউজের গবেষকরা সম্প্রতি এক চাঞ্চল্যকর তথ্য সামনে এনেছেন যে অ্যাপটির ডেটা যেখানে সেভ করা থাকে, অর্থাৎ মূল ডেটাবেসটি ইন্টারনেটে একদম অরক্ষিত এবং উন্মুক্ত অবস্থায় পড়ে ছিল। সহজ কথায় বলতে গেলে, ঘরের ভেতরে দামি জিনিসপত্র রেখে কেউ যদি সদর দরজা হাট করে খোলা রেখে চলে যায়, ব্যাকএন্ডের এই চরম গাফিলতির ব্যাপারটা ঠিক তেমনই। 'MongoDB' নামের এই ডেটাবেসটিতে কোনো পাসওয়ার্ড বা সিকিউরিটি ছিল না এবং ফায়ারবেস স্টোরেজের লিংক আর ডেটাবেসের গঠন দেখেই গবেষকরা নিশ্চিত হয়েছেন যে এটি সরাসরি টোকি অ্যাপেরই ডেটা।

অনেকেই হয়তো ভাবছেন যে আমার তো শুধু চ্যাট করার অ্যাপ, এখানে কী আর এমন বড় ডেটা লিক হবে। কিন্তু ফাঁস হওয়া তথ্যের তালিকা দেখলে যে কারও চোখ কপালে উঠবে। এই উন্মুক্ত ডেটাবেসে ব্যবহারকারীদের আসল নাম, ফোন নম্বর, সুন্দর করে সাজানো প্রোফাইল ছবি থেকে শুরু করে তারা কখন অনলাইনে ছিলেন অর্থাৎ 'Last seen' এর সময় এবং কখন অ্যাকাউন্ট খুলেছেন তার টাইমস্ট্যাম্প পর্যন্ত উন্মুক্ত ছিল। এমনকি পুশ নোটিফিকেশন পাঠানোর জন্য ব্যবহৃত ডিভাইস টোকেন এবং ব্যবহারকারী প্রিমিয়াম নাকি নন-প্রিমিয়াম গ্রাহক, সেই স্ট্যাটাসও হ্যাকারদের হাতের নাগালে চলে এসেছে।

এখানে কোম্পানির পক্ষ থেকে দাবি করা হতেই পারে যে তাদের চ্যাট তো 'এনক্রিপ্ট' করা ছিল, তাই মেসেজ সুরক্ষিত আছে। হ্যাঁ, চ্যাটের কথাগুলো ওপেনএসএসএল দিয়ে এনক্রিপ্ট করা ছিল ঠিকই, কিন্তু সাইবার দুনিয়ায় শুধু মেসেজ সুরক্ষিত থাকলেই চলে না। হ্যাকাররা মেসেজের ভেতরের লেখা পড়তে না পারলেও তারা পেয়ে গেছে আপনার 'মেটাডাটা', যাকে সহজ ভাষায় খামের ওপরের ঠিকানার সাথে তুলনা করা যায়। চিঠির ভেতরে কী লেখা আছে তা না জানলেও খাম দেখে যেমন বলে দেওয়া যায় চিঠি কোথা থেকে কোথায় যাচ্ছে, ঠিক তেমনি আপনার ফোন নম্বর আর লাস্ট সিন স্ট্যাটাস ব্যবহার করে হ্যাকাররা আপনার পুরো ডিজিটাল লাইফের রুটিন বের করে ফেলতে পারে।

ইন্টারনেটে সবসময় কিছু ম্যালিসিয়াস বট বা স্ক্রিপ্ট ঘোরে, যাদের প্রধান কাজই হলো এমন অরক্ষিত ডেটাবেস খুঁজে বের করা। এই তথ্যগুলো একবার ভুল মানুষের হাতে পড়লে বিপদ আসবে পদে পদে। হ্যাকাররা আপনার নাম আর ফোন নম্বর ব্যবহার করে অত্যন্ত নিখুঁতভাবে টার্গেটেড ফিশিং মেসেজ বা ইমেইল পাঠাতে পারে, যা দেখে সাধারণ মানুষের পক্ষে বোঝার উপায় থাকবে না যে এটি আসল নাকি ভুয়া। আবার এই ফোন নম্বরগুলো স্প্যামারদের কাছে বিক্রি করে দিলে আপনাকে সারাদিন বিরক্তিকর স্ক্যাম কলের যন্ত্রণায় ভুগতে হবে। সবচেয়ে বড় ভয়ের ব্যাপার হলো, ফাঁস হওয়া ডিভাইস টোকেন ব্যবহার করে আক্রমণকারীরা আপনার ফোনে ভুয়া নোটিফিকেশন পাঠিয়ে সরাসরি ম্যালওয়্যার বা ভাইরাস ঢুকিয়ে দেওয়ার সুযোগ পেয়ে যায়।

সবচেয়ে অবাক করা বিষয় হলো, গবেষকরা গত বছরের অর্থাৎ ২০২৫ সালের ৩ ডিসেম্বর এই সিকিউরিটি ত্রুটি খুঁজে পেয়ে কোম্পানিকে সাথে সাথে জানিয়েছিলেন। কিন্তু সেই ডেটাবেস সিকিউর করতে করতে টোকি অ্যাপের ডেভেলপাররা সময় লাগিয়ে দেয় ২০২৬ সালের ১৯ জানুয়ারি পর্যন্ত। এই দীর্ঘ দেড় মাসে ডেটা কার কার হাতে গেছে, তার কোনো সুনির্দিষ্ট হিসাব নেই। ছোট বা মাঝারি অ্যাপগুলোর ক্ষেত্রে এ ধরনের ঘটনা ব্যবহারকারীদের বিশ্বাসকে পুরোপুরি গুঁড়িয়ে দেয়। শুধুমাত্র "এন্ড-টু-এন্ড এনক্রিপশন" লিখে দিলেই যে দায়িত্ব শেষ হয়ে যায় না, ব্যাকএন্ড সার্ভারের নিরাপত্তাও যে কতটা জরুরি, এই ঘটনাই তার বড় প্রমাণ। ডিজিটাল দুনিয়ায় কেউই যেহেতু ১০০% নিরাপদ নয়, তাই আপনি যদি টোকি অ্যাপ ব্যবহার করে থাকেন, তবে অজানা কোনো মেসেজ বা ইমেইলের লিংকে ভুলেও ক্লিক করবেন না এবং যেকোনো নতুন অ্যাপ ইনস্টল করার আগে তারা আপনার ডেটার কতটুকু যত্ন নিচ্ছে তা একটু ভেবে দেখবেন, কারণ সাইবার স্পেসে আপনার সচেতনতাই আপনার সবচেয়ে বড় ঢাল।

    

   

'Tokee' (টোকি) অ্যাপের ডেটা ফাঁসের মূল ঘটনাটি কী?

   

     

জনপ্রিয় মেসেজিং অ্যাপ টোকি (Tokee)-এর একটি অরক্ষিত 'MongoDB' ডেটাবেস থেকে প্রায় ১২ লাখ ব্যবহারকারীর ব্যক্তিগত তথ্য এবং মেটাডাটা ইন্টারনেটে উন্মুক্ত বা ফাঁস হয়ে গেছে, যা সাইবারনিউজের গবেষকরা সম্প্রতি উন্মোচন করেছেন।

   

 

 

   

ফাঁস হওয়া ডেটার মধ্যে ব্যবহারকারীদের কী কী তথ্য রয়েছে?

   

     

ফাঁস হওয়া তথ্যের মধ্যে ব্যবহারকারীদের আসল নাম, ফোন নম্বর, প্রোফাইল ছবি (অ্যাভাটার), ডিভাইস টোকেন, অ্যাকাউন্ট তৈরির সময়, 'লাস্ট সিন' (Last seen) স্ট্যাটাস এবং সাবস্ক্রিপশনের ধরন রয়েছে।

   

 

 

   

টোকি অ্যাপের চ্যাটগুলো এনক্রিপ্ট করা থাকলেও ঝুঁকি কোথায়?

   

     

চ্যাট মেসেজগুলো ওপেনএসএসএল (OpenSSL) দিয়ে এনক্রিপ্ট করা থাকলেও ব্যবহারকারীদের 'মেটাডাটা' সম্পূর্ণ উন্মুক্ত ছিল। এই মেটাডাটা ব্যবহার করে হ্যাকাররা সহজেই ব্যবহারকারীদের গতিবিধি ট্র্যাক করতে এবং টার্গেটেড ফিশিং হামলা চালাতে পারে।

   

 

 

   

হ্যাকাররা এই ফাঁস হওয়া তথ্য দিয়ে কী ক্ষতি করতে পারে?

   

     

সাইবার অপরাধীরা এই ডেটা ব্যবহার করে বিশ্বাসযোগ্য ফিশিং এসএমএস পাঠাতে পারে, স্প্যাম কল করতে পারে এবং ডিভাইস টোকেনের মাধ্যমে ভুয়া নোটিফিকেশন পাঠিয়ে ফোনে ম্যালওয়্যার বা ভাইরাস প্রবেশ করাতে পারে।

   

 

 

   

টোকি অ্যাপ ব্যবহারকারীদের এখন কী করা উচিত?

   

     

ব্যবহারকারীদের উচিত অত্যন্ত সতর্ক থাকা। অপরিচিত নম্বর থেকে আসা কোনো এসএমএস বা ইমেইলের লিংকে ক্লিক করা থেকে বিরত থাকতে হবে এবং স্প্যাম কলের ব্যাপারে সচেতন হতে হবে। এছাড়া ব্যক্তিগত ডেটা সুরক্ষায় সচেতনতা বাড়ানো জরুরি।

   

 

 

   

এই অরক্ষিত ডেটাবেসটি কবে বন্ধ করা হয়?

   

     

গবেষকরা ২০২৫ সালের ৩ ডিসেম্বর প্রথম এই ত্রুটি শনাক্ত করে কোম্পানিকে সতর্ক করেন। অবশেষে দীর্ঘ সময় পর ২০২৬ সালের ১৯ জানুয়ারি এই উন্মুক্ত ডেটাবেসটি সুরক্ষিত বা অফলাইনে নেওয়া হয়।

   

 

  

Related Posts

🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।

🔗 Bug Mohol Telegram চ্যানেলে যোগ দিন