This briefing exists because "why not just use WhatsApp?" is a fair question, and it deserves a fully researched answer — not a slogan. What follows is the jurisdictional, technical, and documented-incident case for why consumer messaging apps were never built to survive the pressure that is routinely applied to government communications.
WhatsApp and Telegram are foreign-owned consumer products with no independent certification against state-level threats. Their metadata — who spoke to whom, when, and from where — remains visible to the operator even when message content is encrypted. A sitting government's phone has been compromised through a single WhatsApp file. The most senior U.S. national security officials leaked live strike operations over a consumer app. A foreign platform reversed a decade-old data-protection commitment within weeks after its own CEO was arrested. None of this is hypothetical. It has already happened to others.
হোয়াটসঅ্যাপ ও টেলিগ্রাম বিদেশি মালিকানাধীন সাধারণ ভোক্তা-পণ্য, যেগুলোর রাষ্ট্রীয় পর্যায়ের হুমকি প্রতিরোধে কোনো স্বাধীন সনদায়ন নেই। বার্তার বিষয়বস্তু এনক্রিপ্টেড থাকলেও মেটাডেটা — কে, কখন, কোথা থেকে কার সাথে যোগাযোগ করেছে — অপারেটরের কাছে দৃশ্যমান থাকে। একটি রাষ্ট্রপ্রধানের ফোন একটিমাত্র হোয়াটসঅ্যাপ ফাইলের মাধ্যমে আপোস হয়েছিল। যুক্তরাষ্ট্রের সর্বোচ্চ পর্যায়ের জাতীয় নিরাপত্তা কর্মকর্তারা একটি সাধারণ অ্যাপে সরাসরি সামরিক অভিযানের তথ্য ফাঁস করেছিলেন। একটি বিদেশি প্ল্যাটফর্ম তার নিজস্ব প্রধান নির্বাহীর গ্রেপ্তারের কয়েক সপ্তাহের মধ্যেই এক দশকের পুরনো তথ্য-সুরক্ষা নীতি উল্টে দিয়েছিল। এর কোনোটিই কাল্পনিক নয় — এসব ইতিমধ্যে অন্যদের সাথে ঘটেছে।
Every government eventually asks the same question: our officials already have WhatsApp or Telegram on their phones, so why does the state need to procure something else? The honest answer has three separate parts —
Who owns and controls the app?
What has and has not been independently proven about its security ?, and
What has already happened to other governments that assumed a consumer app was good enough ?
This page works through all three, with sources, so your team can evaluate the claim rather than take it on faith.
প্রতিটি সরকার একসময় একই প্রশ্ন করে: কর্মকর্তাদের ফোনে তো এমনিতেই হোয়াটসঅ্যাপ বা টেলিগ্রাম আছে, তাহলে রাষ্ট্রের আলাদা কিছু সংগ্রহ করার প্রয়োজন কেন? সৎ উত্তরটির তিনটি ভিন্ন অংশ আছে —
অ্যাপটির মালিকানা ও নিয়ন্ত্রণ কার হাতে ?,
এর নিরাপত্তা সম্পর্কে স্বাধীনভাবে কী প্রমাণিত হয়েছে এবং কী হয়নি ?, এবং
যেসব সরকার একটি সাধারণ ভোক্তা-অ্যাপকেই যথেষ্ট মনে করেছিল তাদের ক্ষেত্রে ইতিমধ্যে কী ঘটেছে?
এই পাতায় সূত্রসহ তিনটি বিষয়ই আলোচনা করা হয়েছে, যাতে আপনার দল বিশ্বাসের ওপর নয়, প্রমাণের ভিত্তিতে বিষয়টি যাচাই করতে পারে।
WhatsApp is owned by Meta Platforms, a company incorporated and headquartered in the United States. Under the U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), any provider subject to U.S. jurisdiction can be compelled to produce data it controls — regardless of where that data is physically stored. The Act was written specifically to close the argument that storing data outside the U.S. puts it outside U.S. legal reach: control of the company, not the location of the servers, is what matters. This means a Bangladeshi official's WhatsApp data does not need to sit on a U.S. server to be reachable by U.S. legal process; it only needs to be data that Meta possesses, has custody of, or controls.
Telegram presents the same problem from a different angle. The company is registered in the British Virgin Islands with operational headquarters that have moved between Russia, Germany, Dubai, and other jurisdictions over the years. In August 2024, French authorities arrested Telegram's CEO and founder, Pavel Durov, at a Paris airport and indicted him on charges including failure to cooperate with law enforcement data requests. Within weeks, Telegram reversed a long-standing policy: where it had previously said it would only share user data with authorities in terrorism cases, it began handing over IP addresses and phone numbers in response to valid legal requests covering a much broader range of crimes, and began publishing transparency reports on that cooperation.
The lesson for a foreign government relying on either platform is the same: your officials' data-handling protections exist entirely at the discretion of a company headquartered somewhere else, subject to that country's courts, and can change overnight because of a legal or personal event involving that company's leadership — an event Bangladesh has no visibility into and no say over.
হোয়াটসঅ্যাপের মালিক মেটা প্ল্যাটফর্মস, যা যুক্তরাষ্ট্রে নিবন্ধিত ও সদর দপ্তরযুক্ত একটি প্রতিষ্ঠান। যুক্তরাষ্ট্রের CLOUD Act (২০১৮) অনুযায়ী, মার্কিন এখতিয়ারের অধীন যেকোনো প্রতিষ্ঠানকে তার নিয়ন্ত্রণাধীন তথ্য সরবরাহে বাধ্য করা যায় — সেই তথ্য পৃথিবীর যেখানেই সংরক্ষিত থাকুক না কেন। এই আইনটি বিশেষভাবে এই যুক্তি খণ্ডন করতেই তৈরি — যে তথ্য যুক্তরাষ্ট্রের বাইরে রাখলেই তা মার্কিন আইনি এখতিয়ারের বাইরে চলে যায়। এখানে গুরুত্বপূর্ণ হলো প্রতিষ্ঠানের নিয়ন্ত্রণ, সার্ভারের অবস্থান নয়। অর্থাৎ একজন বাংলাদেশি কর্মকর্তার হোয়াটসঅ্যাপ তথ্য মার্কিন সার্ভারে থাকতে হবে না — মেটার হেফাজতে বা নিয়ন্ত্রণে থাকাই যথেষ্ট।
টেলিগ্রামের ক্ষেত্রেও একই সমস্যা ভিন্নভাবে দেখা যায়। প্রতিষ্ঠানটি ব্রিটিশ ভার্জিন দ্বীপপুঞ্জে নিবন্ধিত, এবং এর কার্যক্রমের সদর দপ্তর বছরের পর বছর রাশিয়া, জার্মানি, দুবাই ও অন্যান্য এখতিয়ারের মধ্যে স্থানান্তরিত হয়েছে। ২০২৪ সালের আগস্টে ফরাসি কর্তৃপক্ষ প্যারিসের একটি বিমানবন্দরে টেলিগ্রামের প্রতিষ্ঠাতা ও সিইও পাভেল দুরভকে গ্রেপ্তার করে এবং আইন প্রয়োগকারী সংস্থার তথ্য অনুরোধে সাড়া না দেওয়াসহ একাধিক অভিযোগে অভিযুক্ত করে। কয়েক সপ্তাহের মধ্যেই টেলিগ্রাম দীর্ঘদিনের নীতি পাল্টে ফেলে — আগে শুধু সন্ত্রাসবাদ সংক্রান্ত ক্ষেত্রে তথ্য দেওয়ার কথা বললেও, এখন তারা অনেক বিস্তৃত পরিসরের অপরাধের ক্ষেত্রে বৈধ আইনি অনুরোধে আইপি ঠিকানা ও ফোন নম্বর সরবরাহ শুরু করে এবং সে সংক্রান্ত স্বচ্ছতা প্রতিবেদন প্রকাশ করতে শুরু করে।
একটি বিদেশি সরকারের জন্য শিক্ষাটি একই: আপনার কর্মকর্তাদের তথ্য সুরক্ষা সম্পূর্ণভাবে অন্য দেশে অবস্থিত একটি প্রতিষ্ঠানের ইচ্ছাধীন, যা সেই দেশের আদালতের অধীন এবং যা সেই প্রতিষ্ঠানের নেতৃত্বের সাথে সম্পর্কিত কোনো আইনি বা ব্যক্তিগত ঘটনার কারণে রাতারাতি বদলে যেতে পারে — এমন এক ঘটনা, যার ওপর বাংলাদেশের কোনো দৃষ্টিভঙ্গি বা সিদ্ধান্তের সুযোগ নেই।
Neither WhatsApp nor Telegram holds NATO clearance, NSA-approved cryptographic status, NIAP (National Information Assurance Partnership) Common Criteria certification, or FIPS 140-2 validation for their encryption modules — the standards specifically designed to test whether a communications system can withstand a well-resourced state-level adversary rather than an ordinary criminal. These certifications require the vendor to submit its architecture to independent adversarial testing bodies whose sole purpose is to try to break it. Consumer apps are built and hardened against opportunistic criminals, fraud, and account takeover — a real but fundamentally different threat model from a foreign intelligence service with the resources of a nation-state behind it.
Telegram adds a further gap: by default, ordinary "Cloud Chats" in Telegram are not end-to-end encrypted at all — only the optional, manually-activated "Secret Chats" feature uses end-to-end encryption, and it is not the default for group conversations or most day-to-day use. In practice, this means the majority of Telegram conversations — including ones officials may assume are protected — are encrypted only in transit and at rest on Telegram's own servers, where the company itself can access the content.
হোয়াটসঅ্যাপ বা টেলিগ্রাম কারোরই ন্যাটো ক্লিয়ারেন্স, এনএসএ-অনুমোদিত ক্রিপ্টোগ্রাফিক মর্যাদা, NIAP (ন্যাশনাল ইনফরমেশন অ্যাসুরেন্স পার্টনারশিপ) কমন ক্রাইটেরিয়া সনদায়ন, অথবা তাদের এনক্রিপশন মডিউলের জন্য FIPS 140-2 বৈধতা নেই — এই মানদণ্ডগুলো বিশেষভাবে তৈরি করা হয়েছে এটি যাচাই করার জন্য যে একটি যোগাযোগ ব্যবস্থা সাধারণ অপরাধীর নয়, বরং রাষ্ট্রীয় পর্যায়ের সুসম্পদশালী প্রতিপক্ষের আক্রমণ প্রতিরোধ করতে পারে কি না। এই সনদায়নে বিক্রেতাকে তার স্থাপত্য স্বাধীন প্রতিকূল পরীক্ষণ সংস্থার কাছে জমা দিতে হয়, যাদের একমাত্র কাজই সেটি ভাঙার চেষ্টা করা। সাধারণ ভোক্তা-অ্যাপ তৈরি ও সুরক্ষিত করা হয় সুযোগসন্ধানী অপরাধী, প্রতারণা ও অ্যাকাউন্ট দখলের বিরুদ্ধে — যা বাস্তব হলেও রাষ্ট্রীয় শক্তির পেছনে থাকা বিদেশি গোয়েন্দা সংস্থার হুমকি থেকে সম্পূর্ণ ভিন্ন এক মডেল।
টেলিগ্রামে আরও একটি ফাঁক আছে: ডিফল্টভাবে টেলিগ্রামের সাধারণ "ক্লাউড চ্যাট" মোটেও এন্ড-টু-এন্ড এনক্রিপ্টেড নয় — শুধুমাত্র ঐচ্ছিক ও নিজে হাতে চালু করতে হয় এমন "সিক্রেট চ্যাট" ফিচারে এন্ড-টু-এন্ড এনক্রিপশন ব্যবহৃত হয়, এবং এটি গ্রুপ কথোপকথন বা দৈনন্দিন ব্যবহারের জন্য ডিফল্ট নয়। বাস্তবে এর অর্থ হলো, টেলিগ্রামের অধিকাংশ কথোপকথন — এমনকি যেগুলো কর্মকর্তারা সুরক্ষিত মনে করতে পারেন — শুধুমাত্র ট্রানজিটে ও টেলিগ্রামের নিজস্ব সার্ভারে সংরক্ষণের সময় এনক্রিপ্টেড থাকে, যেখানে প্রতিষ্ঠানটি নিজেই বিষয়বস্তু অ্যাক্সেস করতে সক্ষম।
The table below compares the two paths directly, category by category.
End-to-end encryption protects the content of a message — what was said. It does not, by design, hide the metadata: who contacted whom, at what time, how often, for how long, and frequently from what location. That metadata is generated and handled by the network operator itself, not by the encryption protocol, which means it remains visible to the company running the app — and, in turn, to any government with legal authority over that company.
Under the CLOUD Act framework specifically, "non-content information" — the category metadata falls under — is explicitly one of the data types that can be compelled from a U.S.-jurisdiction provider through legal process, separately from message content. For a government's senior leadership, metadata alone can reveal an enormous amount: who is talking to whom before a major decision, how often a crisis cell is convening, or which officials are in contact with a foreign counterpart — all without a single message ever being decrypted.
এন্ড-টু-এন্ড এনক্রিপশন কেবল বার্তার বিষয়বস্তু রক্ষা করে — কী বলা হয়েছে তা। এটি ডিজাইনগতভাবেই মেটাডেটা লুকায় না: কে কার সাথে, কখন, কতবার, কতক্ষণ এবং প্রায়শই কোন স্থান থেকে যোগাযোগ করেছে। এই মেটাডেটা তৈরি ও পরিচালনা করে নেটওয়ার্ক অপারেটর নিজেই, এনক্রিপশন প্রোটোকল নয় — অর্থাৎ এটি অ্যাপ পরিচালনাকারী প্রতিষ্ঠানের কাছে দৃশ্যমান থাকে, এবং সেই প্রতিষ্ঠানের ওপর আইনি কর্তৃত্ব রাখা যেকোনো সরকারের কাছেও।
CLOUD Act কাঠামোর অধীনে নির্দিষ্টভাবে "নন-কনটেন্ট তথ্য" — যার আওতায় মেটাডেটা পড়ে — স্পষ্টভাবে এমন একটি তথ্যের শ্রেণি, যা মার্কিন এখতিয়ারাধীন প্রতিষ্ঠানের কাছ থেকে আইনি প্রক্রিয়ার মাধ্যমে, বার্তার বিষয়বস্তু থেকে আলাদাভাবে, আদায় করা যায়। একটি সরকারের শীর্ষ নেতৃত্বের জন্য শুধু মেটাডেটাই বিপুল তথ্য প্রকাশ করতে পারে: একটি বড় সিদ্ধান্তের আগে কে কার সাথে কথা বলছে, একটি সংকট-কক্ষ কতবার বৈঠক করছে, অথবা কোন কর্মকর্তারা কোনো বিদেশি প্রতিপক্ষের সাথে যোগাযোগ করছেন — এর কোনোটির জন্যই একটি বার্তাও ডিক্রিপ্ট করার প্রয়োজন নেই।
A secure container is architecturally separate from the rest of the operating system — a locked vault inside the phone rather than just another app sitting alongside everything else. If the surrounding phone is compromised — through malware, a malicious app, or an exploited operating-system bug — an attacker who gains general access to the device still cannot open what's inside the container. Consumer messaging apps do not offer this separation: they rely on the same shared operating environment as every other app on the phone, so a single compromise anywhere on the device can potentially expose them too.
একটি সুরক্ষিত কনটেইনার (container) স্থাপত্যগতভাবে ফোনের বাকি অপারেটিং সিস্টেম থেকে আলাদা — এটি ফোনের ভেতরে একটি তালাবদ্ধ ভল্টের মতো, অন্য যেকোনো সাধারণ অ্যাপের মতো নয়। চারপাশের ফোনটি যদি ম্যালওয়্যার, কোনো ক্ষতিকর অ্যাপ, বা অপারেটিং সিস্টেমের কোনো দুর্বলতার মাধ্যমে আপোস হয়ে যায়, তাহলেও যে আক্রমণকারী ডিভাইসে সাধারণ প্রবেশাধিকার পেয়েছে, সে কনটেইনারের ভেতরের কিছু খুলতে পারবে না। সাধারণ মেসেজিং অ্যাপে এই পৃথকীকরণ নেই — এগুলো ফোনের অন্য সব অ্যাপের মতোই একই ভাগাভাগি করা পরিবেশের ওপর নির্ভর করে, ফলে ডিভাইসের যেকোনো একটি জায়গায় আপোস হলে এগুলোও উন্মুক্ত হয়ে যেতে পারে।
An encryption key is, in effect, the password to a person's private communications. In a certified sovereign deployment, the government holds and controls that key. In consumer messaging apps, the vendor generates, manages, or has the technical ability to access key material as part of running the service — meaning the company itself, not just an attacker, is a party that can technically read or hand over the underlying data. A government has no way to verify or audit how a foreign vendor manages that custody, and no contractual leverage to change it.
একটি এনক্রিপশন কী কার্যত একজন ব্যক্তির ব্যক্তিগত যোগাযোগের পাসওয়ার্ড। একটি সনদপ্রাপ্ত সার্বভৌম স্থাপনায়, সেই কী সরকার নিজে ধারণ ও নিয়ন্ত্রণ করে। সাধারণ মেসেজিং অ্যাপে, বিক্রেতা প্রতিষ্ঠান পরিষেবা পরিচালনার অংশ হিসেবে কী উপাদান তৈরি, পরিচালনা, বা প্রযুক্তিগতভাবে অ্যাক্সেস করার সক্ষমতা রাখে — অর্থাৎ শুধু একজন আক্রমণকারী নয়, প্রতিষ্ঠানটি নিজেই এমন একটি পক্ষ যে প্রযুক্তিগতভাবে অন্তর্নিহিত তথ্য পড়তে বা হস্তান্তর করতে সক্ষম। একটি সরকারের কাছে বিদেশি বিক্রেতা এই হেফাজত কীভাবে পরিচালনা করে তা যাচাই বা নিরীক্ষা করার কোনো উপায় নেই, এবং তা পরিবর্তনের কোনো চুক্তিগত ক্ষমতাও নেই।
A zero-click attack compromises a device without the victim clicking a link, opening a file, or making any error at all — the exploit fires simply because a malicious message arrived. This class of attack cannot be defended against through user training or vigilance; it can only be defended against architecturally. Container isolation is exactly that architectural defense: even if a zero-click exploit compromises the surrounding phone, a properly isolated secure container is designed to remain unreadable to the attacker. Reason Five below documents a real, independently confirmed zero-click case.
একটি জিরো-ক্লিক আক্রমণ ব্যবহারকারীর কোনো লিংকে ক্লিক করা, ফাইল খোলা, বা কোনো ভুল করা ছাড়াই একটি ডিভাইসকে আপোস করে ফেলে — একটি ক্ষতিকর বার্তা পৌঁছানোর সাথে সাথেই এক্সপ্লয়েটটি সক্রিয় হয়ে যায়। এই ধরনের আক্রমণ ব্যবহারকারীর প্রশিক্ষণ বা সতর্কতার মাধ্যমে প্রতিরোধ করা সম্ভব নয় — এটি কেবল স্থাপত্যগতভাবেই প্রতিরোধ করা যায়। কনটেইনার আইসোলেশন ঠিক এই স্থাপত্যগত প্রতিরক্ষা প্রদান করে: চারপাশের ফোনটি একটি জিরো-ক্লিক এক্সপ্লয়েটের মাধ্যমে আপোস হলেও, সঠিকভাবে বিচ্ছিন্ন একটি সুরক্ষিত কনটেইনার আক্রমণকারীর কাছে অপাঠযোগ্য থাকার জন্যই ডিজাইন করা। নিচের রিজন ফাইভ-এ একটি প্রকৃত, স্বাধীনভাবে নিশ্চিতকৃত জিরো-ক্লিক ঘটনা নথিভুক্ত করা হয়েছে।
Four independently documented incidents, each involving a consumer messaging app and a government-level target.
A United Nations forensic analysis concluded, with medium-to-high confidence, that the phone of Amazon founder Jeff Bezos was compromised in May 2018 after a video file was sent from a WhatsApp account personally used by Saudi Arabia's Crown Prince. Within hours, data exfiltration from the phone reportedly increased by over 29,000%. UN human rights experts called for a formal investigation, and the case remains one of the most thoroughly documented examples of a consumer messaging app being used as the entry point for state-linked surveillance of a high-profile figure.
জাতিসংঘের একটি ফরেনসিক বিশ্লেষণে "মাঝারি থেকে উচ্চ মাত্রার আস্থা" সহকারে সিদ্ধান্তে আসা হয় যে, ২০১৮ সালের মে মাসে অ্যামাজনের প্রতিষ্ঠাতা জেফ বেজোসের ফোন আপোস হয়েছিল, যখন সৌদি আরবের ক্রাউন প্রিন্স ব্যক্তিগতভাবে ব্যবহৃত একটি হোয়াটসঅ্যাপ অ্যাকাউন্ট থেকে একটি ভিডিও ফাইল পাঠানো হয়েছিল। কয়েক ঘণ্টার মধ্যেই ফোন থেকে তথ্য বহির্গমন প্রতিবেদন অনুযায়ী ২৯,০০০ শতাংশেরও বেশি বেড়ে যায়। জাতিসংঘের মানবাধিকার বিশেষজ্ঞরা একটি আনুষ্ঠানিক তদন্তের আহ্বান জানান, এবং এই ঘটনাটি একটি সাধারণ মেসেজিং অ্যাপকে একজন উচ্চপ্রোফাইল ব্যক্তির ওপর রাষ্ট্র-সংশ্লিষ্ট নজরদারির প্রবেশপথ হিসেবে ব্যবহারের সবচেয়ে ভালোভাবে নথিভুক্ত উদাহরণগুলোর একটি হিসেবে রয়ে গেছে।
A vulnerability in WhatsApp's own infrastructure was exploited in 2019 to deliver spyware to more than 1,400 accounts across 51 countries, including journalists, human rights defenders, diplomats, and government officials. WhatsApp and its parent Meta sued the spyware maker, NSO Group, and after six years of litigation, a U.S. federal jury awarded Meta over $167 million in damages in 2025, with a permanent injunction issued against NSO in 2025–2026. The verdict confirmed the abuse occurred — but it could not undo the fact that the underlying platform vulnerability had already exposed well over a thousand people, including sitting officials, before it was fixed.
২০১৯ সালে হোয়াটসঅ্যাপের নিজস্ব অবকাঠামোর একটি দুর্বলতা কাজে লাগিয়ে ৫১টি দেশের ১,৪০০-এরও বেশি অ্যাকাউন্টে স্পাইওয়্যার প্রবেশ করানো হয়, যার মধ্যে সাংবাদিক, মানবাধিকারকর্মী, কূটনীতিক ও সরকারি কর্মকর্তারাও ছিলেন। হোয়াটসঅ্যাপ ও এর মূল প্রতিষ্ঠান মেটা স্পাইওয়্যার নির্মাতা এনএসও গ্রুপের বিরুদ্ধে মামলা করে, এবং ছয় বছরের আইনি লড়াইয়ের পর ২০২৫ সালে একটি মার্কিন ফেডারেল জুরি মেটাকে ১৬৭ মিলিয়ন ডলারেরও বেশি ক্ষতিপূরণ প্রদান করে, এবং ২০২৫-২৬ সালে এনএসও-র বিরুদ্ধে একটি স্থায়ী নিষেধাজ্ঞা জারি করা হয়। এই রায় প্রমাণ করে যে অপব্যবহারটি ঘটেছিল — কিন্তু এটি এই বাস্তবতা মুছে দিতে পারেনি যে প্ল্যাটফর্মের অন্তর্নিহিত দুর্বলতাটি ঠিক হওয়ার আগেই এক হাজারেরও বেশি মানুষ, এমনকি দায়িত্বরত কর্মকর্তাদেরও, ঝুঁকিতে ফেলে দিয়েছিল।
In March 2025, the most senior U.S. national security officials — including the Vice President, multiple cabinet secretaries, and intelligence agency directors — coordinated live military strike operations against Houthi targets in Yemen over the consumer app Signal. A journalist was inadvertently added to the group and subsequently published operational details, including strike timing and targeting information. Signal is a well-regarded encrypted app, but like WhatsApp and Telegram, it is not certified or approved for classified government communications — a distinction the incident made painfully public. This case matters for Bangladesh specifically because it shows that even a government with access to the most secure, purpose-built classified systems in the world can still expose itself the moment officials default to a convenient consumer app instead.
২০২৫ সালের মার্চে যুক্তরাষ্ট্রের সর্বোচ্চ পর্যায়ের জাতীয় নিরাপত্তা কর্মকর্তারা — যার মধ্যে ছিলেন ভাইস প্রেসিডেন্ট, একাধিক মন্ত্রিসভা সদস্য এবং গোয়েন্দা সংস্থার পরিচালকগণ — ইয়েমেনে হুথি লক্ষ্যবস্তুর বিরুদ্ধে সরাসরি সামরিক অভিযান পরিচালনার সমন্বয় করেছিলেন সাধারণ ভোক্তা-অ্যাপ সিগন্যালের মাধ্যমে। একজন সাংবাদিক অনিচ্ছাকৃতভাবে সেই গ্রুপে যুক্ত হয়ে যান এবং পরবর্তীতে অভিযানের সময়সূচি ও লক্ষ্যবস্তু সংক্রান্ত তথ্যসহ বিস্তারিত প্রকাশ করেন। সিগন্যাল একটি সুপরিচিত এনক্রিপ্টেড অ্যাপ, কিন্তু হোয়াটসঅ্যাপ ও টেলিগ্রামের মতোই, এটি শ্রেণীবদ্ধ (classified) সরকারি যোগাযোগের জন্য সনদপ্রাপ্ত বা অনুমোদিত নয় — একটি পার্থক্য যা এই ঘটনার মাধ্যমে বেদনাদায়কভাবে জনসমক্ষে চলে আসে। বাংলাদেশের জন্য এই ঘটনাটি গুরুত্বপূর্ণ, কারণ এটি দেখায় যে বিশ্বের সবচেয়ে সুরক্ষিত ও উদ্দেশ্য-নির্মিত শ্রেণীবদ্ধ ব্যবস্থার অধিকারী একটি সরকারও কর্মকর্তারা সুবিধাজনক একটি সাধারণ অ্যাপের দিকে ঝুঁকে গেলেই নিজেকে ঝুঁকিতে ফেলে দিতে পারে।
For years, Telegram publicly stated it would only share user data with law enforcement in terrorism-related cases — a policy the platform used to position itself as uniquely resistant to government pressure. In August 2024, French authorities arrested and indicted Telegram's CEO, Pavel Durov, at a Paris airport, citing the platform's failure to respond to legal data requests. Within about a month, Telegram reversed the policy entirely, agreeing to share IP addresses and phone numbers for a much wider range of offenses. No government that relied on Telegram's prior policy — including any government that assumed its officials' data was protected by that stance — was consulted before the reversal.
বছরের পর বছর ধরে টেলিগ্রাম প্রকাশ্যে বলে আসছিল যে তারা শুধুমাত্র সন্ত্রাসবাদ-সংক্রান্ত ক্ষেত্রেই আইন প্রয়োগকারী সংস্থার সাথে ব্যবহারকারীর তথ্য শেয়ার করবে — একটি নীতি, যা প্ল্যাটফর্মটি নিজেকে সরকারি চাপের বিরুদ্ধে অনন্যভাবে প্রতিরোধী হিসেবে তুলে ধরতে ব্যবহার করত। ২০২৪ সালের আগস্টে ফরাসি কর্তৃপক্ষ প্যারিসের একটি বিমানবন্দরে টেলিগ্রামের সিইও পাভেল দুরভকে গ্রেপ্তার ও অভিযুক্ত করে, আইনি তথ্য অনুরোধে সাড়া না দেওয়ার অভিযোগ তুলে। প্রায় এক মাসের মধ্যেই টেলিগ্রাম তাদের নীতি সম্পূর্ণরূপে পাল্টে ফেলে, এবং অনেক বিস্তৃত পরিসরের অপরাধের ক্ষেত্রে আইপি ঠিকানা ও ফোন নম্বর শেয়ার করতে সম্মত হয়। টেলিগ্রামের পূর্ববর্তী নীতির ওপর নির্ভর করা কোনো সরকারের সাথেই — এমনকি যেসব সরকার সেই নীতির কারণে তাদের কর্মকর্তাদের তথ্য সুরক্ষিত মনে করেছিল, তাদের সাথেও — এই পরিবর্তনের আগে কোনো পরামর্শ করা হয়নি।
In 2021, researchers at Citizen Lab discovered an iMessage exploit — later named FORCEDENTRY — that compromised iPhones with no user interaction whatsoever: no link clicked, no file opened, no mistake made by the target. Apple confirmed the vulnerability (CVE-2021-30860) and patched it, but not before it had been used against human rights activists in Bahrain, a French human rights lawyer, and an Indian journalist. The same class of attack — a zero-click WhatsApp calling vulnerability, CVE-2019-3568 — was the technical mechanism behind the 1,400-account compromise described in Reason Five, Case 2. Together, these confirm that container isolation, described in Reason Four, is not a theoretical safeguard: zero-click exploits against consumer apps and consumer messaging infrastructure are real, independently documented, and have already reached journalists, lawyers, and activists who had no way to see the attack coming.
২০২১ সালে সিটিজেন ল্যাবের গবেষকরা একটি আইমেসেজ এক্সপ্লয়েট আবিষ্কার করেন — পরবর্তীতে যার নাম দেওয়া হয় ফোর্সডএন্ট্রি — যা কোনো ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই আইফোন আপোস করত: কোনো লিংকে ক্লিক নেই, কোনো ফাইল খোলা নেই, লক্ষ্যবস্তুর কোনো ভুলও নেই। অ্যাপল নিজেই এই দুর্বলতা (CVE-2021-30860) নিশ্চিত করে এবং তা সমাধান করে, কিন্তু ততদিনে এটি বাহরাইনের মানবাধিকারকর্মী, একজন ফরাসি মানবাধিকার আইনজীবী এবং একজন ভারতীয় সাংবাদিকের বিরুদ্ধে ব্যবহৃত হয়ে গিয়েছিল। একই শ্রেণির আক্রমণ — হোয়াটসঅ্যাপ কলিং-এর একটি জিরো-ক্লিক দুর্বলতা, CVE-2019-3568 — রিজন ফাইভ, কেস ২-এ বর্ণিত ১,৪০০ অ্যাকাউন্ট আপোসের প্রযুক্তিগত পদ্ধতি ছিল। একসাথে এই দুটি ঘটনা নিশ্চিত করে যে রিজন ফোর-এ বর্ণিত কনটেইনার আইসোলেশন কোনো তাত্ত্বিক সুরক্ষা নয় — সাধারণ অ্যাপ ও সাধারণ মেসেজিং অবকাঠামোর বিরুদ্ধে জিরো-ক্লিক আক্রমণ বাস্তব, স্বাধীনভাবে নথিভুক্ত, এবং ইতিমধ্যে সাংবাদিক, আইনজীবী ও কর্মীদের কাছে পৌঁছে গেছে, যাদের সেই আক্রমণ আসতে দেখার কোনো উপায়ই ছিল না।
SecuSUITE, AtHoc, and UEM carry the NATO, NSA, NIAP, and FIPS 140-2 credentials this page describes — deployed on Bangladesh's own infrastructure, under Bangladesh's own control.
All requests reviewed within 48 hours · Confidential · Non-disclosure guaranteed
United Nations Special Rapporteurs on extrajudicial executions and freedom of expression — forensic findings on the Jeff Bezos phone compromise (2020)
WhatsApp Inc. and Meta Platforms, Inc. v. NSO Group Technologies Ltd., U.S. District Court, Northern District of California (2019–2026 proceedings and 2025 jury verdict)
Reporting on the March 2025 U.S. national security Signal group chat disclosures ("Signalgate"), including contemporaneous coverage by The Atlantic and subsequent U.S. congressional and Pentagon review findings
Reporting on the August 2024 arrest and indictment of Telegram CEO Pavel Durov in France, and Telegram's subsequent September 2024 data-sharing policy change and transparency reporting
U.S. Department of Justice — official guidance on the CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) and its jurisdictional scope
The Citizen Lab, University of Toronto — "FORCEDENTRY: NSO Group iMessage Zero-Click Exploit Captured in the Wild" (2021), and Apple's confirmation and patch of CVE-2021-30860
NIST FIPS 140-2 (Security Requirements for Cryptographic Modules), the NSA Commercial Solutions for Classified (CSfC) Program, and the BlackBerry SecuSUITE–Samsung Knox partnership documentation