ইবে-এর কম-তারা নিরাপত্তা অনুশীলনের জন্য একটি খ্যাতি রয়েছে, এবং দেখে মনে হচ্ছে এটি শীঘ্রই যে কোনও সময় ভাল হবে না। একটি সম্প্রতি প্রকাশিত নিরাপত্তা দুর্বলতা কিছু ব্যবহারকারীকে বিপদে ফেলছে এবং eBay সম্পূর্ণ একটির পরিবর্তে শুধুমাত্র একটি আংশিক সংশোধন করার সিদ্ধান্ত নিয়েছে৷
দুর্বলতা সম্পর্কে আপনার যা জানা দরকার, এটি কীভাবে কাজ করে এবং কীভাবে নিরাপদ থাকতে হয় তা এখানে রয়েছে৷
সক্রিয় বিষয়বস্তু, XSS, এবং eBay স্ক্যামস
প্রশ্নে থাকা বিশেষ নিরাপত্তা দুর্বলতা "সক্রিয় বিষয়বস্তু" এর সাথে যুক্ত, যা বিক্রেতারা তাদের বিজ্ঞাপনে এম্বেড করতে পারে। একটি আইটেম বর্ণনাকে আরও আকর্ষণীয় বা উপযোগী করতে সক্রিয় বিষয়বস্তু বিভিন্ন প্রযুক্তি ব্যবহার করতে পারে -- এটি হতে পারে একটি ছোট ফ্ল্যাশ অ্যাপ, একটি জাভাস্ক্রিপ্ট মেনু, একটি ওয়েব পোল, অথবা এমবেডেড এবং ইন্টারেক্টিভ অন্য কিছু। নীচের চিত্রিত বিজ্ঞাপনে, এটি "xsellgalleryscript" নামে একটি স্ক্রিপ্ট যা আপনাকে বিক্রেতার কাছ থেকে অন্যান্য আইটেম কেনার চেষ্টা করে৷
বেশিরভাগ ক্ষেত্রে, সক্রিয় সামগ্রী সম্পূর্ণ নিরাপদ। এটা হালকা বিরক্তিকর, কিন্তু নিরাপদ. যাইহোক, ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) সহ, অন্য সাইটে রাখা একটি স্ক্রিপ্ট একটি ইবে পৃষ্ঠায় লোড করা যেতে পারে এবং সেই স্ক্রিপ্টটি যেকোনও হতে পারে -- এটি ম্যালওয়্যার ডাউনলোড করতে পারে, আপনার ব্যবহারকারীর শংসাপত্রগুলি ফিশ করার চেষ্টা করতে পারে বা অন্যান্য ধরণের তৈরি করতে পারে মারপিট অবশ্যই, কারণ এই আক্রমণটি একটি সাধারণ ঘটনা, ইবে ফিল্টার ব্যবহার করে যা এটি প্রতিরোধ করার চেষ্টা করে৷
দুর্ভাগ্যবশত, কেউ একটি উপায় খুঁজে পেয়েছেন. এটি JSF*ck নামে একটি কৌশল ব্যবহার করে, শুধুমাত্র ছয়টি অক্ষর ব্যবহার করে জাভাস্ক্রিপ্ট কোড লেখার একটি আকর্ষণীয় উপায়:[]()!+। দুটি বন্ধনী, দুটি বন্ধনী, একটি বিস্ময় চিহ্ন এবং একটি প্লাস চিহ্ন দিয়ে, আপনি যেকোনো জাভাস্ক্রিপ্ট কোড তৈরি এবং চালাতে পারেন৷
এটি একটি মজার ব্যায়াম, যেমন Brainf**k প্রোগ্রামিং ভাষা। কিন্তু এটি ইবে-এর ফিল্টার ব্যবহার করতেও ব্যবহার করা যেতে পারে।
চেক পয়েন্ট নামে একটি সাইবারসিকিউরিটি ফার্ম প্রথমে এই দুর্বলতার কথা জানিয়েছিল এবং বলেছিল যে এটি ডেস্কটপ সাইটে বা iOS বা অ্যান্ড্রয়েড অ্যাপের মাধ্যমে ম্যালওয়্যার ডাউনলোড করতে বা ব্যবহারকারীদের ফিশিং পৃষ্ঠাগুলিতে পুনর্নির্দেশ করতে ব্যবহার করা যেতে পারে যেখানে তারা অসাবধানতাবশত ব্যবহারকারীর শংসাপত্রগুলি দিতে পারে। এখানে অ্যাকশনে আক্রমণের একটি ভিডিও রয়েছে:
চেক পয়েন্ট ডিসেম্বর 2015 এ ইবেতে এই দুর্বলতা প্রদর্শন করেছে এবং রিপোর্ট করেছে, আশা করে যে তারা শোষণ প্রতিরোধ করতে তাদের সফ্টওয়্যার আপডেট করবে। বিবিসি অনুসারে, ইবে জানুয়ারী মাসে চেক পয়েন্টকে বলেছিল যে তাদের দুর্বলতা ঠিক করার কোন পরিকল্পনা নেই, তবে তারা ফেব্রুয়ারিতে একটি আংশিক সমাধান বাস্তবায়ন করেছে। কেন শুধু একটি আংশিক সংশোধন? "[আমার] বোঝা গুরুত্বপূর্ণ যে আমাদের মার্কেটপ্লেসে দূষিত বিষয়বস্তু অসাধারণভাবে অস্বাভাবিক," ইবে বিবিসিকে বলেছে৷
এই ধরনের আক্রমণের ঝুঁকি অত্যন্ত কম বলে ইবে-এর জেদ সত্ত্বেও, নিরাপত্তা সংস্থা নেটক্রাফ্ট রিপোর্ট করেছে যে এটি সক্রিয়ভাবে সম্ভাব্য ক্রেতাদের ইমেল ঠিকানা ফিশ করতে এবং একটি জাল এসক্রো পরিষেবার মাধ্যমে অর্থপ্রদান সম্পূর্ণ করতে উত্সাহিত করতে ব্যবহৃত হচ্ছে৷ এবং কেলেঙ্কারীটি কাজ করেছে -- নেটক্রাফ্ট ইবে, পুলিশ এবং তার ব্যাঙ্ক যে তাকে সাহায্য করতে পারেনি বলে জানানোর পরে সাহায্যের জন্য একজন বিরক্ত ব্যবহারকারীর আবেদনের স্ক্রিনশট শেয়ার করেছে।
কিভাবে ইবেতে XSS দুর্বলতা থেকে নিজেকে রক্ষা করবেন
যতক্ষণ না eBay এই সমস্যার সম্পূর্ণ সমাধান না করে, ততক্ষণ আপনি এমন একটি তালিকায় ছুটে যেতে পারেন যা একজন স্ক্যামার আপস করেছে এবং নিজেকে ঝুঁকির মধ্যে ফেলেছে। তবে, ধরা পড়ার ঝুঁকি কমাতে আপনি কিছু জিনিস করতে পারেন।
আপনার প্রথমে যা করা উচিত তা হল আপনি আপনার ব্রাউজারে একটি ক্লিক-টু-প্লে ক্ষমতা ব্যবহার করছেন তা নিশ্চিত করুন৷ ক্রোমে এই ক্ষমতাটি অন্তর্নির্মিত রয়েছে, ফায়ারফক্সের জনপ্রিয় নোস্ক্রিপ্ট এক্সটেনশন রয়েছে এবং সাফারি ব্যবহারকারীরা JS ব্লকার 5 ইনস্টল করতে পারেন। আপনি বিশেষভাবে অনুমতি না দিলে এটি কোনো স্ক্রিপ্ট লোড হতে বাধা দেবে। আপনার ইবেতে সেগুলি লোড করার দরকার নেই, তবে আপনি যদি তা করেন তবে আপনি একটি একক ক্লিকে সেগুলি সক্ষম করতে পারেন৷
আপনি যদি প্লাগইনগুলি সক্ষম করেন, তাহলে আপনার সুবিধা নেওয়া হচ্ছে না তা নিশ্চিত করার জন্য আপনাকে অতিরিক্ত সতর্ক থাকতে হবে৷ যখনই আপনি একটি এখনই কিনুন ক্লিক করতে চলেছেন৷ , অফার করুন , বা বিড ইবেতে লিঙ্ক করুন, নিশ্চিত করুন যে আপনার ব্রাউজারে URLটি ebay.com, এবং অন্য কিছু নয়। যদি আপনাকে ফিশ করা হয়, তাহলে ডোমেনটি ebay.com ছাড়া অন্য কিছু হবে৷
৷আপনি যদি একটি eBay মোবাইল অ্যাপ ব্যবহার করেন, তাহলে নিশ্চিত করুন যে কোনো লিঙ্ক করা পৃষ্ঠার URL দুবার চেক করুন, বিশেষ করে যদি এটি আপনাকে eBay লগইন তথ্যের জন্য জিজ্ঞাসা করে। এবং অন্য কোন অ্যাপ ডাউনলোড করবেন না! ইবে অ্যাপ আপনাকে অন্য কিছু ডাউনলোড করতে উৎসাহিত করবে না। ব্রায়ান ক্রেবস, সেখানকার সেরা নিরাপত্তা ব্লগারদের একজন, অনলাইন নিরাপত্তার জন্য তার 3টি মৌলিক নিয়মে বলেছেন, আপনি যদি এটি খুঁজতে না যান তবে এটি ইনস্টল করবেন না!
এর বাইরে, এটি স্ট্যান্ডার্ড অনলাইন মার্কেটপ্লেস নিরাপত্তা সামগ্রী। শুধুমাত্র ওয়েবসাইটের মাধ্যমে যোগাযোগ করুন, এবং ইমেলের মাধ্যমে নয়, যাই হোক না কেন। ইবে থেকে ইমেলের লিঙ্কগুলিতে ক্লিক করবেন না, কেবল ebay.com-এ যান যদি ইমেলটি কোনও স্ক্যামার থেকে আসে। সাইটের লিঙ্কগুলি ব্যবহার করার আগে সেগুলি নিরাপদ কিনা তা পরীক্ষা করে দেখুন৷ একটি শক্তিশালী পাসওয়ার্ড ব্যবহার করুন এবং এটি নিয়মিত পরিবর্তন করুন। নিয়মিত "নিজেকে নিরাপদ রাখুন" টিপস যা আমরা সব সময় শেয়ার করি তা এখানেও প্রযোজ্য৷
৷এই ইবে ক্রস-সাইট স্ক্রিপ্টিং কেলেঙ্কারীতে ধরা পড়বেন না
eBay-এ স্ক্যাম থেকে নিজেকে রক্ষা করার জন্য একটু সতর্কতা এবং একটু সক্রিয় প্রতিরোধের প্রয়োজন। একটি স্ক্রিপ্ট-ব্লকিং ব্রাউজার বা এক্সটেনশন ব্যবহার করার মধ্যে, সন্দেহজনক ইউআরএলগুলির জন্য দেখা এবং অদ্ভুত ডাউনলোড বা অনুরোধগুলির জন্য সতর্ক থাকা নিশ্চিত করার মধ্যে, আপনার সম্পূর্ণ ভাল থাকা উচিত, এমনকি যদি eBay এই দুর্বলতাটি ঠিক না করে (যা তারা সম্ভবত করবে না, অনন্ত কিছুক্ষণের জন্য). তাই কিছু দ্রুত পদক্ষেপ নিন এবং ইবেতে কেনাকাটা করে প্রচুর অর্থ সাশ্রয় করুন!
আপনি কি ইবে কেনাকাটা করেন? নিরাপত্তার দুর্বলতার বিষয়ে তাদের কর্মহীনতার রেকর্ড কি আপনাকে উদ্বিগ্ন করে? আপনি কি সেখানে কেনাকাটা করার সম্ভাবনা কম কারণ তারা এই নির্দিষ্ট বাগের প্রতিবেদনে ভাল সাড়া দেয়নি? নিচে আপনার চিন্তা শেয়ার করুন!
