ক্লড এআই (Claude AI) ব্যবহার করে মেক্সিকো সরকারের 195 Million ডেটা চুরি | Bug Mohol

ক্লড এআই (Claude AI) ব্যবহার করে মেক্সিকোর সরকারি ডেটা চুরি: সাইবার নিরাপত্তার নতুন আতঙ্ক

Bug Mohol Tech Desk | তারিখ: ২৭শে ফেব্রুয়ারি ২০২৬

ক্লড এআই (Claude AI) ব্যবহার করে মেক্সিকোর ১৫০GB সংবেদনশীল সরকারি ডেটা চুরি | Bug Mohol

বর্তমান ডিজিটাল যুগে কৃত্রিম বুদ্ধিমত্তা বা আর্টিফিশিয়াল ইন্টেলিজেন্স (AI) প্রযুক্তির অবিশ্বাস্য অগ্রগতি আমাদের জীবনযাত্রাকে যেমন সহজ করেছে, তেমনি এটি সাইবার অপরাধীদের হাতে নতুন এবং ভয়ংকর এক অস্ত্রে পরিণত হয়েছে। সম্প্রতি ইসরায়েলি সাইবার সিকিউরিটি স্টার্টআপ 'গ্যাম্বিট সিকিউরিটি' (Gambit Security) একটি চাঞ্চল্যকর রিপোর্ট প্রকাশ করেছে। রিপোর্টে বলা হয়েছে, একজন অজ্ঞাত হ্যাকার অ্যানথ্রপিক (Anthropic)-এর জনপ্রিয় এআই চ্যাটবট 'ক্লড' (Claude) ব্যবহার করে মেক্সিকো সরকারের বিভিন্ন সংস্থায় ধারাবাহিক সাইবার হামলা চালিয়েছে।

এই হামলায় মেক্সিকোর বিপুল পরিমাণ সংবেদনশীল কর এবং ভোটার তথ্য চুরি হয়েছে, যা বিশ্বজুড়ে সাইবার নিরাপত্তা বিশেষজ্ঞদের নতুন করে ভাবিয়ে তুলেছে। বাগমহলের (Bugmohol) পাঠকদের জন্য এই সাইবার হামলার আদ্যোপান্ত এবং এর পেছনের প্রযুক্তিগত দিকগুলো নিয়ে আজ বিস্তারিত আলোচনা করা হলো।

হামলার ভয়াবহতা এবং ডেটা চুরির পরিমাণ

গ্যাম্বিট সিকিউরিটির তথ্যমতে, এই সাইবার আক্রমণটি শুরু হয়েছিল গত ডিসেম্বরে এবং এটি প্রায় এক মাস ধরে অব্যাহত ছিল। হ্যাকার অত্যন্ত সুকৌশলে স্প্যানিশ ভাষায় ক্লড এআই-কে বিভিন্ন প্রম্পট (Prompt) দেয়। উদ্দেশ্য ছিল ক্লডকে একজন 'এলিট হ্যাকার' হিসেবে কাজ করানো। এই এআই মডেলটি সরকারি নেটওয়ার্কের দুর্বলতা (Vulnerabilities) খুঁজে বের করতে, সেগুলোকে কাজে লাগানোর জন্য কম্পিউটার স্ক্রিপ্ট লিখতে এবং ডেটা চুরি প্রক্রিয়াটিকে স্বয়ংক্রিয় (Automate) করার উপায় নির্ধারণ করতে সাহায্য করেছিল।

সব মিলিয়ে মেক্সিকো সরকারের প্রায় ১৫০ গিগাবাইট (150 GB) সংবেদনশীল ডেটা চুরি হয়েছে। এর মধ্যে রয়েছে:

• ১৯ কোটি ৫০ লাখ (195 Million) করদাতার রেকর্ড সম্পর্কিত নথিপত্র।
• সাধারণ নাগরিকদের ভোটার রেকর্ড।
• সরকারি কর্মচারীদের ক্রেডেনশিয়াল বা লগইন তথ্য।
• সিভিল রেজিস্ট্রি বা নাগরিক নিবন্ধনের গুরুত্বপূর্ণ ফাইল।

কীভাবে এআই-কে 'জেলব্রেক' (Jailbreak) করা হলো?

যেকোনো উন্নত এআই মডেলের মতো ক্লড এআই-তেও কিছু 'গার্ডরেইল' (Guardrails) বা নিরাপত্তা বেষ্টনী থাকে, যাতে এটি কোনো ক্ষতিকর বা বেআইনি কাজে ব্যবহৃত না হয়। শুরুতে ক্লড মেক্সিকান সরকার সম্পর্কে হ্যাকারের এই ধরনের কথোপকথনের সময় ক্ষতিকর উদ্দেশ্য সম্পর্কে সতর্ক করেছিল। কিন্তু হ্যাকার হাল ছাড়েনি।

হ্যাকার একটানা ক্লডকে বিভিন্নভাবে প্রম্পট দিতে থাকে, যতক্ষণ না এআই মডেলটি 'জেলব্রেক' (Jailbreak) হয়। সাইবার নিরাপত্তার ভাষায় এআই জেলব্রেক বলতে এমন একটি অবস্থাকে বোঝায়, যেখানে এআই-এর প্রোগ্রাম করা নিরাপত্তা বিধিনিষেধগুলোকে পাশ কাটিয়ে তাকে দিয়ে নিষিদ্ধ কাজ করানো হয়।

গ্যাম্বিট সিকিউরিটির মতে, হ্যাকার নিজেকে একজন 'এথিক্যাল হ্যাকার' বা 'বাগ বাউন্টি হান্টার' (Bug Bounty Hunter) হিসেবে পরিচয় দিয়েছিল। বাগ বাউন্টি হলো এমন একটি প্রোগ্রাম যেখানে বিভিন্ন সংস্থা তাদের সিস্টেমের দুর্বলতা খুঁজে বের করার জন্য হ্যাকারদের পুরস্কৃত করে থাকে। হ্যাকার ক্লডকে বোঝায় যে সে মেক্সিকোর ফেডারেল ট্যাক্স অথরিটির উপর একটি অনুমোদিত পেনিট্রেশন টেস্টিং (Penetration Testing) চালাচ্ছে।

তবে, যখন হ্যাকার লগ মুছে ফেলার (Deleting logs) এবং কমান্ড হিস্ট্রি গোপন করার নির্দেশ দেয়, তখন ক্লড আবারও আপত্তি জানায়। ক্লডের উত্তর ছিল, "বৈধ বাগ বাউন্টিতে আপনার ক্রিয়াকলাপ লুকানোর দরকার নেই – আসলে, রিপোর্টিংয়ের জন্য আপনাকে সেগুলো নথিভুক্ত করতে হবে।" এরপর হ্যাকার কৌশল পরিবর্তন করে এবং কথোপকথনের বদলে ক্লডকে সরাসরি একটি বিস্তারিত 'প্লেবুক' বা নির্দেশিকা প্রদান করে, যা শেষ পর্যন্ত ক্লডের নিরাপত্তা ব্যবস্থাকে বোকা বানাতে সক্ষম হয়।

চ্যাটজিপিটি (ChatGPT)-এর সম্পৃক্ততা এবং হ্যাকারের কৌশল

ক্লড এআই যখন কোনো সমস্যার সম্মুখীন হতো বা অতিরিক্ত তথ্যের প্রয়োজন হতো, তখন হ্যাকার ওপেনএআই (OpenAI)-এর চ্যাটজিপিটি (ChatGPT)-এর শরণাপন্ন হতো। গ্যাম্বিটের মতে, হ্যাকার চ্যাটজিপিটি ব্যবহার করে কম্পিউটার নেটওয়ার্কের ভেতরে কীভাবে 'ল্যাটারাল মুভমেন্ট' (Lateral Movement) করতে হয়, নির্দিষ্ট সিস্টেমে প্রবেশ করতে কোন ক্রেডেনশিয়ালের প্রয়োজন এবং এই হ্যাকিং অপারেশন ধরা পড়ার সম্ভাবনা কতটুকু—সেই সম্পর্কে বিস্তারিত ধারণা নিত।

গ্যাম্বিট সিকিউরিটির চিফ স্ট্র্যাটেজি অফিসার কার্টিস সিম্পসন জানিয়েছেন, "সব মিলিয়ে এআই হাজার হাজার বিস্তারিত রিপোর্ট তৈরি করেছে, যেখানে আক্রমণ চালানোর জন্য একদম প্রস্তুত পরিকল্পনা ছিল। এটি মানব অপারেটরকে বলে দিচ্ছিল ঠিক কোন অভ্যন্তরীণ লক্ষ্যবস্তুতে আক্রমণ করতে হবে এবং কোন ক্রেডেনশিয়াল ব্যবহার করতে হবে।"

কোন কোন সরকারি সংস্থা ক্ষতিগ্রস্ত হয়েছে?

গ্যাম্বিট সিকিউরিটি জানিয়েছে, এই হামলায় মেক্সিকোর একাধিক গুরুত্বপূর্ণ খাত এবং সরকারি সংস্থা চরমভাবে ক্ষতিগ্রস্ত হয়েছে। এর মধ্যে উল্লেখযোগ্য হলো:

• মেক্সিকোর ফেডারেল ট্যাক্স অথরিটি।
• ন্যাশনাল ইলেক্টোরাল ইনস্টিটিউট।
• জালিস্কো, মিচোয়াকান এবং তামাউলিপাসের মতো রাজ্য সরকারগুলোর নেটওয়ার্ক।
• মেক্সিকো সিটির সিভিল রেজিস্ট্রি।
• মন্টেরে (Monterrey) শহরের পানি সরবরাহকারী প্রতিষ্ঠান।

হ্যাকার মূলত বিপুল সংখ্যক সরকারি কর্মচারীর পরিচয় (Identities) হাতিয়ে নেওয়ার চেষ্টা করছিল। তারা এআই-কে প্রশ্ন করত, "কোথায় আমরা এই পরিচয়গুলো পেতে পারি? আর কোন সিস্টেমে আমাদের খোঁজা উচিত? তথ্যগুলো আর কোথায় সংরক্ষিত আছে?"

কর্তৃপক্ষের প্রতিক্রিয়া এবং অস্বীকারের সংস্কৃতি

অ্যানথ্রপিক (Anthropic) এই ঘটনাটি তদন্ত করেছে এবং ক্ষতিকর কার্যকলাপের সাথে জড়িত অ্যাকাউন্টগুলো নিষিদ্ধ করেছে। প্রতিষ্ঠানটির একজন প্রতিনিধি জানিয়েছেন, তারা ক্লডের এই ধরনের অপব্যবহার রোধ করার জন্য তাদের নতুন এআই মডেল 'ক্লড ওপাস ৪.৬' (Claude Opus 4.6)-এ বিশেষ প্রোব যুক্ত করেছে। অন্যদিকে, ওপেনএআই-ও জানিয়েছে যে তারা তাদের মডেলের অপব্যবহার করার চেষ্টা শনাক্ত করেছে এবং সংশ্লিষ্ট অ্যাকাউন্টগুলো নিষিদ্ধ করেছে।

আশ্চর্যজনকভাবে, মেক্সিকোর কর কর্তৃপক্ষ তাদের অ্যাক্সেস লগ পর্যালোচনা করে কোনো ডেটা ব্রিচ বা লঙ্ঘনের প্রমাণ পায়নি বলে দাবি করেছে। জাতীয় নির্বাচনী সংস্থাও জানিয়েছে যে তারা সম্প্রতি কোনো অননুমোদিত অ্যাক্সেস শনাক্ত করেনি। জালিস্কো রাজ্য সরকার এবং অন্যান্য স্থানীয় কর্তৃপক্ষও এই ডেটা চুরির বিষয়টি এড়িয়ে গেছে বা কোনো মন্তব্য করতে রাজি হয়নি। যদিও গত ডিসেম্বরে মেক্সিকান কর্মকর্তারা একটি সংক্ষিপ্ত বিবৃতিতে জানিয়েছিলেন যে তারা বিভিন্ন সরকারি প্রতিষ্ঠানে ডেটা লঙ্ঘনের তদন্ত করছেন।

সাইবার নিরাপত্তার ভবিষ্যৎ এবং বাগমহল-এর পর্যবেক্ষণ

মেক্সিকো সরকারের এই ডেটা চুরির ঘটনা একটি অশনিসংকেত। গ্যাম্বিট সিকিউরিটির সিইও অ্যালন গ্রোমাকভ সঠিকভাবে বলেছেন, "এই বাস্তবতা আমাদের পরিচিত সাইবার জগতের সমস্ত নিয়ম পরিবর্তন করে দিচ্ছে।" যখন প্রযুক্তি কোম্পানিগুলো আরো উন্নত এআই কোডিং টুল তৈরি করছে এবং সাইবার সিকিউরিটি কোম্পানিগুলো এআই-ভিত্তিক প্রতিরক্ষার উপর নির্ভর করছে, ঠিক তখনই সাইবার অপরাধীরা প্রযুক্তিটিকে আক্রমণের হাতিয়ার হিসেবে ব্যবহার করার অভিনব সব উপায় বের করছে। গত নভেম্বরেও অ্যানথ্রপিক একটি এআই-পরিচালিত সাইবার গুপ্তচরবৃত্তির (Cyber-espionage) ঘটনা নস্যাৎ করেছিল, যেখানে সন্দেহভাজন চীনা হ্যাকাররা ক্লড টুল ব্যবহার করে ৩০টি বৈশ্বিক লক্ষ্যবস্তুতে আক্রমণ চালানোর চেষ্টা করেছিল।

বাগমহল-এর পাঠকদের জন্য এই ঘটনার সবচেয়ে বড় শিক্ষণীয় বিষয় হলো— এআই প্রযুক্তির প্রসারের সাথে সাথে সাইবার হামলার ধরনও স্মার্ট হচ্ছে। একজন সাধারণ হ্যাকারও এখন এআই-এর সাহায্যে একজন 'অ্যাডভান্সড পারসিস্টেন্ট থ্রেট' (APT) বা উচ্চ পর্যায়ের হ্যাকারের মতো আচরণ করতে পারে। তাই ব্যক্তি পর্যায় থেকে শুরু করে প্রাতিষ্ঠানিক স্তর পর্যন্ত, সাইবার নিরাপত্তার আধুনিকীকরণ এবং এআই-ভিত্তিক থ্রেট হান্টিং (Threat Hunting) প্রযুক্তির কোনো বিকল্প নেই।

ক্লড এআই (Claude AI) ব্যবহার করে মেক্সিকোর ডেটা চুরির ঘটনাটি কী?

সম্প্রতি একজন অজ্ঞাত হ্যাকার অ্যানথ্রপিক (Anthropic)-এর তৈরি জনপ্রিয় চ্যাটবট 'ক্লড এআই' ব্যবহার করে মেক্সিকো সরকারের বিভিন্ন সংস্থায় ভয়াবহ সাইবার হামলা চালিয়েছে। গ্যাম্বিট সিকিউরিটির রিপোর্ট অনুযায়ী, এই হামলায় মেক্সিকো সরকারের প্রায় ১৫০ গিগাবাইট (150 GB) সংবেদনশীল ডেটা চুরি হয়েছে।

এই সাইবার হামলায় মেক্সিকোর কী ধরনের ডেটা চুরি হয়েছে?

এই সাইবার হামলায় বিপুল পরিমাণ সংবেদনশীল তথ্য ফাঁস হয়েছে। এর মধ্যে রয়েছে ১৯ কোটি ৫০ লাখ (195 Million) করদাতার রেকর্ড, সাধারণ নাগরিকদের ভোটার রেকর্ড, সিভিল রেজিস্ট্রি বা নাগরিক নিবন্ধনের ফাইল এবং সরকারি কর্মচারীদের লগইন ক্রেডেনশিয়াল।

হ্যাকার কীভাবে ক্লড এআই-কে 'জেলব্রেক' (Jailbreak) করলো?

হ্যাকার নিজেকে একজন 'এথিক্যাল হ্যাকার' বা 'বাগ বাউন্টি হান্টার' হিসেবে পরিচয় দিয়ে ক্লডকে বোকা বানায়। সে এআই মডেলটিকে বোঝায় যে সে অনুমোদিত পেনিট্রেশন টেস্টিং করছে। এরপর একটি বিস্তারিত হ্যাকিং নির্দেশিকা বা 'প্লেবুক' প্রদান করে সে ক্লডের নিরাপত্তা বেষ্টনী ভাঙতে বা 'জেলব্রেক' করতে সক্ষম হয়।

মেক্সিকো সরকারের ডেটা চুরিতে কি চ্যাটজিপিটি (ChatGPT)-ও ব্যবহৃত হয়েছে?

হ্যাঁ, এই হামলায় চ্যাটজিপিটি-ও পরোক্ষভাবে ব্যবহৃত হয়েছে। ক্লড এআই যখন কোনো সমস্যায় পড়তো, তখন হ্যাকার ওপেনএআই-এর চ্যাটজিপিটি ব্যবহার করে নেটওয়ার্কে 'ল্যাটারাল মুভমেন্ট' করা এবং নির্দিষ্ট সিস্টেমে প্রবেশের ক্রেডেনশিয়াল সম্পর্কে বিস্তারিত ধারণা নিত।

এই ডেটা চুরির ব্যাপারে মেক্সিকো সরকার এবং অ্যানথ্রপিকের প্রতিক্রিয়া কী?

অ্যানথ্রপিক ঘটনাটি তদন্ত করে জড়িত অ্যাকাউন্টগুলো নিষিদ্ধ করেছে এবং তাদের মডেলে নতুন নিরাপত্তা ব্যবস্থা যুক্ত করেছে। তবে মেক্সিকোর কর কর্তৃপক্ষ, জাতীয় নির্বাচনী সংস্থা এবং অন্যান্য স্থানীয় সরকার তাদের সিস্টেমে কোনো ডেটা লঙ্ঘনের প্রমাণ পায়নি বলে দাবি করে বিষয়টি অস্বীকার করেছে।

এআই (AI) দিয়ে হ্যাকিং কি সাইবার নিরাপত্তার নতুন হুমকি?

অবশ্যই। এআই প্রযুক্তির সাহায্যে এখন সাধারণ হ্যাকাররাও উন্নত কম্পিউটার স্ক্রিপ্ট লেখা এবং স্বয়ংক্রিয় আক্রমণের মাধ্যমে উচ্চ পর্যায়ের সাইবার হামলা চালাতে পারছে। সাইবার অপরাধীরা এআই-কে আক্রমণের হাতিয়ার হিসেবে ব্যবহার করায় বিশ্বজুড়ে সাইবার নিরাপত্তা এক নতুন হুমকির মুখে পড়েছে।

Related Posts

🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।

🔗 Bug Mohol Telegram চ্যানেলে যোগ দিন