কম্পিউটার

50 মিলিয়ন ফেসবুক অ্যাকাউন্ট হ্যাক:আপনার কি করা উচিত?

সাইবার নিরাপত্তা, অনলাইন গোপনীয়তা এবং ডেটা সুরক্ষার জগতে প্রতি মাসে অনেক কিছু চলছে। এটা রাখা কঠিন!

আমাদের মাসিক নিরাপত্তা ডাইজেস্ট আপনাকে প্রতি মাসে সবচেয়ে গুরুত্বপূর্ণ নিরাপত্তা এবং গোপনীয়তার খবরে ট্যাব রাখতে সাহায্য করবে। সেপ্টেম্বরে যা ঘটেছিল তা এখানে।

1. 50 মিলিয়ন Facebook অ্যাকাউন্ট হ্যাক হয়েছে

সেপ্টেম্বরের শেষ সপ্তাহে সবচেয়ে বড় খবরের একটি ছুড়ে দেওয়া হয়েছে:50 মিলিয়ন ব্যক্তিগত ফেসবুক ব্যবহারকারীর অ্যাকাউন্ট হ্যাক করা হয়েছে। Facebook 90 মিলিয়ন অ্যাকাউন্টের পাসওয়ার্ড রিসেট করেছে, শুধুমাত্র নিশ্চিত হওয়ার জন্য, ইঙ্গিত করে যে আপস করা অ্যাকাউন্টের চূড়ান্ত সংখ্যা বাড়তে পারে।

আক্রমণকারীরা Facebook এর "ভিউ অ্যাজ" বৈশিষ্ট্যের একটি দুর্বলতাকে কাজে লাগিয়েছে, যা ব্যবহারকারীদের তাদের নিজস্ব অ্যাকাউন্ট অন্যদের কাছে কেমন দেখাচ্ছে তা দেখতে দেয়৷ ফেসবুকের দুর্বলতা তিনটি বাগ থেকে উদ্ভূত হয়। প্রথমটি ফেসবুক ভিডিও আপলোড টুলটিকে ভিউ অ্যাজ পেজে উপস্থিত হওয়ার অনুমতি দেয়। দ্বিতীয়টি আপলোড টুলটিকে একটি অ্যাক্সেস কোড তৈরি করতে দেয়। একটি চূড়ান্ত বাগ হ্যাকার যে ব্যবহারকারী চায় তার জন্য পৃষ্ঠা হিসাবে দেখুন একটি অ্যাক্সেস কোড তৈরি করতে দেয়৷

সমস্যাটি ফেসবুক সাইটের মধ্যেই সীমাবদ্ধ নয়। এখন সর্বব্যাপী Facebook লগইন ব্যবহার করে সাইট এবং পরিষেবাগুলির সাথে অন্যান্য Facebook পরিষেবাগুলি যেমন Instagram এছাড়াও দুর্বল৷ (সামাজিক লগইন ব্যবহার করার সময় আপনি এভাবেই আপনার অ্যাকাউন্ট সুরক্ষিত করেন।)

প্রাথমিকভাবে, আপনি শিকার কিনা তা বলার একমাত্র উপায় হল Facebook যদি আপনাকে সতর্কতা ছাড়াই আপনার অ্যাকাউন্ট থেকে সাইন আউট করে। যাইহোক, Facebook এখন বলছে যে আপনার অ্যাকাউন্ট জড়িত থাকলে এটি আপনার নিউজ ফিডের শীর্ষে একটি বার্তা পোস্ট করবে৷

MakeUseOf এর ইউরোপীয় পাঠকদের জন্য ফেসবুক হ্যাক বিশেষ গুরুত্ব বহন করে; 2018 সালের মে মাসে EU সাধারণ ডেটা সুরক্ষা (GDPR) আইন প্রণয়নের পর থেকে এটি একটি বড় প্রযুক্তি কোম্পানির প্রথম উল্লেখযোগ্য তথ্য লঙ্ঘন

যেহেতু Facebook আয়ারল্যান্ডে নিবন্ধিত হয়েছে, আইরিশ ডেটা সুরক্ষা কমিশন GDPR-এর শর্তাবলীর অধীনে Facebook-কে একটি বিশাল জরিমানা ইস্যু করতে পারে, কিন্তু এখনও কমিশনার "লঙ্ঘনের প্রকৃতি এবং ব্যবহারকারীদের জন্য ঝুঁকি" স্পষ্ট করেননি৷ পি>

আপনি যদি ফেসবুক হ্যাকের শিকার হন, তাহলে এখানে চারটি জিনিস আপনাকে অবিলম্বে করতে হবে৷

2. পাঁচ চোখ সরকার আক্রমণ এনক্রিপশন

"যুক্তরাষ্ট্র, যুক্তরাজ্য, কানাডা, অস্ট্রেলিয়া এবং নিউজিল্যান্ডের সরকারগুলি ব্যক্তিগত অধিকার এবং গোপনীয়তার জন্য প্রতিশ্রুতিবদ্ধ এবং সেই অধিকারগুলিকে রক্ষা করতে এনক্রিপশনের ভূমিকাকে সমর্থন করে৷"

ফাইভ আই সরকারের মন্ত্রীরা --- মার্কিন যুক্তরাষ্ট্র, যুক্তরাজ্য, কানাডা, অস্ট্রেলিয়া এবং নিউজিল্যান্ড--- বার্ষিক এফসিএম-এর জন্য অস্ট্রেলিয়ায় মিলিত হয়েছেন। এই পাঁচটি দেশের মন্ত্রী পর্যায়েই উপরের বিবৃতিটি খসড়া করা হয়েছিল।

যাইহোক, যৌথ বিবৃতিটির আরও পরিদর্শন প্রকাশ করে যে ফাইভ আই মিত্ররা তাদের পণ্যগুলিতে "বৈধ অ্যাক্সেস সমাধান" প্রদানের জন্য অ্যাপল, ফেসবুক এবং গুগলের মতো প্রযুক্তি জায়ান্টদের বাধ্যতামূলক আইন প্রবর্তনের হুমকি দিচ্ছে। অন্য কথায়:ফাইভ আইজ দেশের সরকারগুলি এনক্রিপশন ব্যাকডোর চায়, এবং তারা এখন সেগুলি চায়৷

দুর্ভাগ্যবশত, এটা সম্ভব নয়। একজন ব্যক্তির জন্য একটি ব্যাকডোর তৈরি করা অন্যদের জন্য বিদ্যমান এটি বন্ধ করে না। একবার এনক্রিপশন ব্যাকডোর খুলে গেলে লক্ষ লক্ষ অন্যান্য আইন-মান্য ব্যবহারকারীদের নিরাপত্তা বাষ্পীভূত হয়ে যায়৷

এটা এমন কোনো সমস্যা নয় যা শীঘ্রই চলে যাবে। উপরন্তু, ব্রেকিং এনক্রিপশনের বিরুদ্ধে অসংখ্য আর্গুমেন্ট আছে, কিন্তু এর জন্য খুব কম। কখনও কখনও, এনক্রিপশন ব্রেকিং টুল যেমন GrayKey পপ-আপ আইন প্রয়োগকারীকে বিরতি দিতে, কিন্তু সেগুলি খুব কম এবং এর মধ্যে অনেক। অন্যান্য দেশগুলি একটি বিকল্প পদ্ধতি বিবেচনা করছে। উদাহরণস্বরূপ, জার্মান স্বরাষ্ট্র মন্ত্রণালয়ের নথিগুলি অ্যাপল, গুগল, ফেসবুক ইত্যাদির মতো পরিষেবা প্রদানকারীর উপর নির্ভর না করেই iOS, অ্যান্ড্রয়েড এবং ব্ল্যাকবেরি ডিভাইসগুলিকে লক্ষ্য করতে রিমোট কমিউনিকেশন ইন্টারসেপশন সফ্টওয়্যার ব্যবহারের উল্লেখ করে৷

পুলিশ তাদের সন্দেহভাজনদের ডিভাইসে পিছনের দরজা ইনস্টল করছে? এটা অন্য গল্প।

3. ব্রিটিশ এয়ারওয়েজ লঙ্ঘন:300,000 গ্রাহক প্রভাবিত

যুক্তরাজ্যের পতাকাবাহী ব্রিটিশ এয়ারওয়েজ (BA) প্রকাশ করেছে যে 22:58 থেকে 21 st সময়কালে আগস্ট 2018 থেকে 21:45 5 th তারিখে সেপ্টেম্বর 2018, 300,000 গ্রাহকের অর্থপ্রদানের বিবরণ লঙ্ঘন করা হয়েছে। (হ্যাঁ, এই অদ্ভুতভাবে নির্দিষ্ট সময়গুলি বিএ থেকে এসেছে।)

চুরি করা তথ্যে সেই সময়ের মধ্যে BA দিয়ে বুকিং করা গ্রাহকদের ব্যক্তিগত এবং আর্থিক তথ্য রয়েছে। যদিও এটি সেই গ্রাহকদের জন্য পাসপোর্ট বা শনাক্তকরণ নথির ডেটা অন্তর্ভুক্ত করেনি। বিবিসি রেডিও 4-এর টুডে অন ফ্রাইডে প্রোগ্রামে কথা বলতে গিয়ে, বিএ চেয়ারম্যান এবং সিইও অ্যালেক্স ক্রুজ বলেছেন যে হ্যাকটি ছিল "একটি অত্যাধুনিক, বিদ্বেষপূর্ণ অপরাধমূলক আক্রমণ" এবং বিএ "যা ঘটেছে তার জন্য অত্যন্ত দুঃখিত।" ক্রুজ আরও প্রতিশ্রুতি দিয়েছিলেন যে BA ক্ষতিগ্রস্থ গ্রাহকদের ক্ষতিপূরণ দিতে "100 শতাংশ প্রতিশ্রুতিবদ্ধ"৷

BA আনুষ্ঠানিকভাবে প্রকাশ করেনি কিভাবে হ্যাক হয়েছে। যাইহোক, RiskIQ-এর নিরাপত্তা গবেষকরা বিশ্বাস করেন যে হ্যাকাররা Modernizr JavaScript লাইব্রেরির একটি পরিবর্তিত সংস্করণের মাধ্যমে BA পেমেন্ট পৃষ্ঠায় দূষিত কোড স্থাপন করেছে। দূষিত কোড রোমানিয়াতে হোস্ট করা একটি সার্ভারে চুরি করা ডেটা আপলোড করেছে৷ এটি লিথুয়ানিয়ায় অবস্থিত Time4VPS নামের একটি VPS প্রদানকারীর অংশ৷

"এই আক্রমণে ব্যবহৃত অবকাঠামোটি শুধুমাত্র ব্রিটিশ এয়ারওয়েজকে মাথায় রেখে এবং উদ্দেশ্যমূলকভাবে লক্ষ্যবস্তু স্ক্রিপ্টগুলির সাথে সেট আপ করা হয়েছিল যা সনাক্তকরণ এড়াতে সাধারণ অর্থপ্রদান প্রক্রিয়াকরণের সাথে মিশে যাবে।"

গবেষকরা ম্যাগকার্ট নামে একটি গ্রুপের কাছে হ্যাকটি সনাক্ত করেছেন যারা টিকিটমাস্টার এবং নিউইগের সাম্প্রতিক আক্রমণের জন্যও দায়ী৷

4. ESET প্রথম UEFI-ভিত্তিক রুটকিট আবিষ্কার করুন

ESET-এর নিরাপত্তা গবেষকরা বন্যের মধ্যে প্রথম UEFI-ভিত্তিক রুটকিট আবিষ্কার করেছেন। রুটকিট একটি হ্যাকারকে একটি পূর্ণ-সিস্টেম বিন্যাসে বেঁচে থাকার সম্ভাবনা সহ একটি দুর্বল সিস্টেমে ক্রমাগত ম্যালওয়্যার ইনস্টল করার অনুমতি দেয়৷

একটি UEFI রুটকিটের আবিষ্কার বিশেষভাবে আনন্দদায়ক কারণ UEFI সিস্টেমগুলি ঐতিহ্যগতভাবে এই ধরনের হুমকির বিরুদ্ধে সুরক্ষিত রয়েছে। যাইহোক, রুটকিট একটি উল্লেখযোগ্য সমস্যা উপস্থাপন করে কারণ এটি সরানোর জন্য একটি সম্পূর্ণ মাদারবোর্ড ফার্মওয়্যার ফ্ল্যাশ প্রয়োজন; আপনার নিয়মিত অ্যান্টিভাইরাস এবং অ্যান্টিম্যালওয়্যার প্রোগ্রাম রুটকিটের কাছাকাছি যাবে না।

"যদিও একটি সিস্টেমের UEFI ইমেজ পরিবর্তন করা কঠিন, তবে সিস্টেমের UEFI মডিউলগুলি স্ক্যান করার এবং ক্ষতিকারকগুলি সনাক্ত করার জন্য কয়েকটি সমাধান বিদ্যমান," ESET ব্লগ পড়ে৷ "এছাড়াও, একটি সিস্টেমের UEFI ফার্মওয়্যার পরিষ্কার করার অর্থ হল এটিকে পুনরায় ফ্ল্যাশ করা, একটি অপারেশন সাধারণত করা হয় না এবং অবশ্যই গড় ব্যবহারকারীর দ্বারা করা হয় না৷ এই সুবিধাগুলি ব্যাখ্যা করে যে কেন নির্ধারিত এবং সম্পদশালী আক্রমণকারীরা সিস্টেমের UEFI কে টার্গেট করতে থাকবে৷"

LoJack নামে পরিচিত রুটকিটটি কুখ্যাত রাশিয়ান-সরকার লিঙ্কড হ্যাকিং গ্রুপ, ফ্যান্সি বিয়ারের কাজ বলে মনে করা হয়। হ্যাকাররা অ্যাবসোলিউট সফটওয়্যারের বৈধ LoJack ল্যাপটপ অ্যান্টি-থেফট টুল পরিবর্তন করেছে। একটি সিস্টেম মুছা বেঁচে থাকার জন্য টুলটি সিস্টেম BIOS-এ ইনস্টল করে। পরিবর্তনটি দুর্বল UEFI চিপগুলি পুনরায় লেখার জন্য মূল LoJack কোডের অংশগুলিকে প্রতিস্থাপন করে৷

আপনি কিভাবে UEFI রুটকিট থেকে রক্ষা করবেন? সবচেয়ে সহজ পদ্ধতি হল UEFI সিকিউর বুট চালু রাখা। আপনার সিস্টেম ফার্মওয়্যার তারপরে আপনার সিস্টেমকে ক্ষতি থেকে সুরক্ষিত রেখে সঠিক যাচাইকরণ শংসাপত্র ছাড়াই যেকোন ফাইল প্রত্যাখ্যান করবে৷

5. উত্তর কোরিয়ার হ্যাকারকে ওয়ানাক্রাই এবং সনি হ্যাকসে অভিযুক্ত করা হয়েছে

মার্কিন সরকার 2017 WannaCry গ্লোবাল র্যানসমওয়ার্ম আক্রমণের জন্য একজন উত্তর কোরিয়ার হ্যাকারকে অভিযুক্ত ও অনুমোদন দিয়েছে, সেইসাথে 2014 সনি পিকচার্স হ্যাক যা কোম্পানিকে তার আসন্ন চলচ্চিত্র, দ্য ইন্টারভিউ প্রত্যাহার করতে বাধ্য করেছিল। (সাক্ষাৎকারটি উত্তর কোরিয়ার নেতা কিম জং-উনকে হত্যার ষড়যন্ত্র নিয়ে একটি কমেডি।)

অভিযোগে অভিযোগ করা হয়েছে যে উত্তর কোরিয়ার প্রোগ্রামার পার্ক জিন হিয়ক চীন এবং ডিপিআরকেতে অফিস সহ একটি সরকারি ফ্রন্ট কোম্পানিতে কাজ করতেন। পার্ক এবং তার সহকর্মীরা উত্তর কোরিয়ার সামরিক বাহিনীর পক্ষে দূষিত কার্যকলাপে জড়িত বলে অভিযোগ রয়েছে৷

50 মিলিয়ন ফেসবুক অ্যাকাউন্ট হ্যাক:আপনার কি করা উচিত?

সহকারী অ্যাটর্নি জেনারেল জন ডেমার্স বলেছেন, "অভিযোগের দ্বারা অভিযুক্ত সাইবার-অপরাধের স্কেল এবং পরিধি বিস্ময়কর এবং আপত্তিকর সকলের কাছে যারা আইনের শাসন এবং দায়িত্বশীল দেশগুলির দ্বারা গৃহীত সাইবার নিয়মগুলিকে সম্মান করে৷ "অভিযোগে অভিযোগ করা হয়েছে যে উত্তর কোরিয়ার সরকার, একটি রাষ্ট্র-স্পন্সরড গোষ্ঠীর মাধ্যমে, একটি কেন্দ্রীয় ব্যাংক এবং অন্যান্য দেশের নাগরিকদের ছিনতাই করেছে, অর্ধেক বিশ্বকে শান্ত করার জন্য বাকস্বাধীনতার বিরুদ্ধে প্রতিশোধ নিয়েছে এবং বিঘ্নিত ম্যালওয়্যার তৈরি করেছে যা নির্বিচারে ক্ষতিগ্রস্তদের প্রভাবিত করেছে। অন্যান্য 150 টিরও বেশি দেশ, শত শত মিলিয়ন, বিলিয়ন নয়, বিলিয়ন ডলারের ক্ষতির কারণ।"

হ্যাকিং গ্রুপটিকে লকহিড মার্টিনের বিরুদ্ধে হ্যাক করার ব্যর্থ প্রচেষ্টার জন্যও দায়ী বলে মনে করা হয়। এই গ্রুপটি বাংলাদেশ ব্যাংক, ইকুয়েডরের ব্যাঙ্কো দেল অস্ট্রো, ভিয়েতনামের তিয়েন ফং ব্যাংক এবং বেশ কয়েকটি ক্রিপ্টোকারেন্সি এক্সচেঞ্জের বিরুদ্ধে হামলার জন্যও দায়ী।

উত্তর কোরিয়ার সরকার মার্কিন অভিযুক্তকে পাল্টা আঘাত করেছে, এটিকে একটি "স্মিয়ার অভিযান" বলে আখ্যা দিয়েছে। এটি আরও দাবি করে যে পার্ক একটি "অ-সত্তা"। বোধগম্য, পরিস্থিতি বিবেচনা করে।

নিরাপত্তা সংবাদ রাউন্ডআপ:সেপ্টেম্বর 2018

সেগুলি সেপ্টেম্বর 2018 এর পাঁচটি শীর্ষ নিরাপত্তা গল্প। তবে আরও অনেক কিছু ঘটেছে; আমাদের কাছে এটি বিস্তারিতভাবে তালিকাভুক্ত করার জায়গা নেই। এখানে আরও পাঁচটি আকর্ষণীয় নিরাপত্তা গল্প রয়েছে যা গত মাসে পপ আপ হয়েছে:

  • মার্কিন স্টেট ডিপার্টমেন্ট নিশ্চিত করেছে যে নিরাপত্তা লঙ্ঘন "1% কর্মচারীর ইনবক্সের কম" ইমেলকে প্রভাবিত করেছে৷
  • ডেটা ম্যানেজমেন্ট ফার্ম, Veeam, প্রায় দশ দিনের জন্য 445 মিলিয়ন রেকর্ড প্রকাশ করেছে৷
  • ইউএস অ্যাটর্নি অফিস প্রকাশ করেছে কিভাবে মিরাই বটনেট নির্মাতারা FBI কে "জটিল" সাইবার ক্রাইম কেস তদন্ত করতে সাহায্য করছে৷ তাদের সহায়তা তাদের কারাগার থেকে দূরে রাখে।
  • Uber তাদের 2017 ডেটা লঙ্ঘনের জন্য $148 মিলিয়ন জরিমানা নিয়েছে।
  • Nexusguard অনুসারে গড় DDoS আক্রমণের আকার 26Gbps আকারে 5 গুণ বেড়েছে৷

সাইবার নিরাপত্তা, গোপনীয়তা, ডেটা সুরক্ষা, ম্যালওয়্যার এবং এনক্রিপশনে প্রতি মাসে প্রচুর পরিমাণে ঘটে। আপনার অক্টোবর 2018 নিরাপত্তা রাউন্ডআপের জন্য পরের মাসের শুরুতে আবার চেক করুন। ইতিমধ্যে, এই পাঁচটি নিরাপত্তা লঙ্ঘন পরীক্ষা করে দেখুন যেগুলি আপনার ডেটাকে ঝুঁকিতে ফেলতে পারে!


  1. মাইক্রোসফট এউ ডেমন প্রক্রিয়া কি? আপনি এটা নিষ্ক্রিয় করা উচিত?

  2. আপনার পিসি ভবিষ্যত-প্রুফিং কি, এবং আপনার এটি করা উচিত?

  3. Magecart দ্বারা আক্রমণ? আপনার যা করা উচিত তা এখানে

  4. ডাবল ভিপিএন কী এবং আপনার এটি ব্যবহার করা উচিত