এটি শিশুদের ইলেকট্রনিক শেখার পণ্য সরবরাহকারী, VTech-এর জন্য একটি উত্তাল সময় হয়েছে৷ হংকং-ভিত্তিক কোম্পানি সরাসরি-বাজার প্রতিযোগী LeapFrog-এর জন্য অধিগ্রহণের পরিকল্পনা ঘোষণা করেছে $72 মিলিয়নের বিনিময়ে, ব্যাপকভাবে তাদের মার্কেট-শেয়ার প্রসারিত করে এবং শিশুদের ইলেকট্রনিক শেখার পণ্যগুলির অগ্রণী বিকাশকারী এবং সরবরাহকারী হিসাবে নিজেদের অবস্থান করে। দুর্ভাগ্যবশত, সপ্তাহটি পরিকল্পনা অনুযায়ী চলতে পারেনি।
2015 সালে একটি বড় হ্যাক করার পরে VTech তাদের শর্তাবলী আপডেট করেছে, কোন দ্বিতীয় চিন্তা ছাড়াই পিতামাতা এবং যত্নশীলদের উপর দায়িত্বের দায় স্পষ্টভাবে স্থানান্তর করেছে।
তারা কি পরিবর্তন হয়েছে? তারা কি সুরক্ষিত করেছে? আপনার কি করা উচিত?
VTech-এর কি হয়েছে?
VTech গত নভেম্বরে হ্যাক হয়েছিল, আক্রমণকারী 4 মিলিয়নেরও বেশি প্রাপ্তবয়স্কদের অ্যাকাউন্ট এবং 6 মিলিয়নেরও বেশি শিশু অ্যাকাউন্ট থেকে ডেটা নিয়ে চলে গেছে। হ্যাকটি নাম, ইমেল ঠিকানা, পাসওয়ার্ড, গোপন প্রশ্ন এবং উত্তর, আইপি ঠিকানা, মেইলিং ঠিকানা এবং ডাউনলোড ইতিহাস সহ প্রতিটি আপস করা অ্যাকাউন্টের ব্যক্তিগত ডেটা প্রকাশ করে। এর পাশাপাশি, VTech-এর অ্যাপ স্টোর ডাটাবেস, লার্নিং লজও আপস করা হয়েছিল।
এখান থেকে, চ্যাট লগ, ব্যক্তিগত অডিও ফাইল এবং ফটোগ্রাফ সহ ডেটা আপোস করা হয়েছিল, অনেকগুলি ডিভাইসগুলি ব্যবহার করে সরাসরি শিশুদের সাথে সম্পর্কিত৷
দুর্বলতা
৷ভাইস ম্যাগাজিনের প্রযুক্তি-কেন্দ্রিক মাদারবোর্ড-এর জন্য লেখেন, লরেঞ্জো বিচিরাই প্রাথমিকভাবে হ্যাকটি প্রকাশ করেছিলেন। প্রকাশনা প্রাথমিক নিবন্ধটি প্রকাশিত হওয়ার পরে, হ্যাকটি সম্পাদন করার দাবিকারী ব্যক্তি দ্বারা বিচিরাইয়ের সাথে যোগাযোগ করা হয়েছিল, যিনি যাচাইয়ের জন্য সাংবাদিককে সংবেদনশীল ছবি প্রদান করেছিলেন৷
বিচিরাই তখন তথ্য নিরাপত্তা বিশেষজ্ঞ ট্রয় হান্টকে আমন্ত্রণ জানান, প্রদত্ত তথ্য বিশ্লেষণ করার জন্য ফাঁসটি বৈধ কিনা তা নিশ্চিত করার জন্য। নিশ্চিতকরণের পরে, হান্ট আরও ডেটা বিচ্ছিন্ন করেছে এবং VTech প্রভাবিত দুর্বলতার বিবরণ প্রকাশ করেছে। দুর্বলতাগুলি, যেমন হান্ট আবিষ্কার করেছিলেন, নৃশংস ছিল৷
৷অবজেক্ট রেফারেন্স ত্রুটির অর্থ ব্যবহারকারীরা সহজেই ইউআরএল-এর মাধ্যমে অন্যদের অ্যাকাউন্ট অ্যাক্সেস করতে পারে, সমগ্র হোস্ট সিস্টেমটি যেকোন ধরনের SQL ইনজেকশনের জন্য অত্যন্ত সংবেদনশীল ছিল, এবং সেখানে ছিল:
"কোথাও SSL নেই... পাসওয়ার্ড, পিতামাতার বিশদ বিবরণ এবং বাচ্চাদের সম্পর্কে সংবেদনশীল তথ্য প্রেরণ করা সহ সমস্ত যোগাযোগগুলি এনক্রিপ্ট করা সংযোগের মাধ্যমে হয়৷"
তিনি একটি সাধারণ MD5 হ্যাশের সাথে "এনক্রিপ্ট করা" পাসওয়ার্ডগুলিও খুঁজে পেয়েছেন, কোনও সল্টিং ছাড়াই, বা এমনকি একটি উন্নত হ্যাশিং অ্যালগরিদমও দেখতে পাচ্ছেন না, যার অর্থ সামান্য উন্নত কম্পিউটিং দক্ষতা থাকা যে কেউ খুব অল্প সময়ের মধ্যেই সেগুলিকে ক্র্যাক করতে পারে৷
এর পাশাপাশি, গোপন প্রশ্ন এবং উত্তরগুলি সাধারণ পাঠ্যে সংরক্ষণ করা হয়েছিল, কোনও অতিরিক্ত নিরাপত্তা ব্যবস্থা ছাড়াই। হান্ট নিরাপত্তা প্রশ্নগুলির খারাপ মানেরও উল্লেখ করেছে, যেমন "আপনার প্রিয় রঙ কি?" অথবা "আপনার জন্ম কোথায়?" এবং অন্যান্য সমানভাবে সহজ-আবিষ্কার তথ্য।
শিশু ব্যবহারকারী
একবার একজন অভিভাবক তাদের প্রাপ্তবয়স্কদের অ্যাকাউন্ট তৈরি করলে, সন্তানের অ্যাকাউন্ট তৈরি করা যেতে পারে। প্রতিটি শিশুর অ্যাকাউন্ট সরাসরি প্রাপ্তবয়স্কদের অ্যাকাউন্টের সাথে সংযুক্ত থাকে এবং তারা তাদের নিজস্ব অবতার, জন্ম তারিখ এবং লিঙ্গ যোগ করতে পারে।
তারপরে উভয় অ্যাকাউন্টকে একসাথে লিঙ্ক করতে একটি "parent_id" ব্যবহার করে ডেটা একটি স্ব-রেফারেন্সিং টেবিলে সংরক্ষণ করা হয়, যেমন:
এর অর্থ হল লঙ্ঘনের ক্ষেত্রে সুরক্ষিত অতিরিক্ত ডেটার সাথে, প্রতিটি শিশুকে সহজভাবে তাদের পিতামাতার সাথে মেলানো যেতে পারে, অন্যান্য ব্যক্তিগত তথ্যের সাথে তাদের ঠিকানা প্রকাশ করে৷
T&C পরিবর্তন করুন
৷যেহেতু আমরা প্রায়শই দীর্ঘ ব্যবহারকারী চুক্তি, গোপনীয়তা বিবৃতি, ওয়েবসাইট, গেম, পরিষেবা এবং আরও অনেক কিছুর শর্তাবলীর পরিবর্তনের মুখোমুখি হই, তাই আমরা সকলেই ব্যবহৃত ভাষার প্রতি একটু নিন্দা হয়ে গেছি। আমি যে পরিমাণ T&C-এর মাধ্যমে ক্লিক করেছি তা আমি একেবারেই গণনা করতে পারি না, এবং আশ্চর্য হচ্ছি যে কোনো সময়ে আমি আমার আত্মার উপর স্বাক্ষর করেছি।
আপনি মনে করবেন যে কোনও বড় ডেটা লঙ্ঘনের মানক প্রতিক্রিয়া হল যে কোনও এবং সমস্ত সুরক্ষা ত্রুটিগুলির জন্য একটি শক্তিশালী তদন্ত, সম্ভবত তথ্য সুরক্ষা পেশাদারদের দ্বারা ইতিমধ্যে সম্পন্ন করা কাজকে স্বাগত জানাচ্ছে যা শিশুদের সম্পর্কিত সংবেদনশীল ডেটা সুরক্ষিত করার চেষ্টা করছে৷
VTech এর জন্য নয়।
পরিবর্তে, তারা স্বতন্ত্রভাবে অস্বস্তিকর পরিভাষা সহ তাদের শর্তাবলী আপডেট করেছে। দায়ের সীমাবদ্ধতা শিরোনাম একটি বিভাগে , শর্তাবলী পড়ুন:
"আপনি স্বীকার করেন এবং সম্মত হন যে আপনার সাইট ব্যবহার করার সময় আপনার পাঠানো বা গ্রহণ করা কোনো তথ্য নিরাপদ নাও হতে পারে এবং অননুমোদিত পক্ষগুলি দ্বারা বাধা বা পরে অর্জিত হতে পারে"
আমি দুঃখিত. কি? ব্যবহারকারী আবার হ্যাক হলে রাগান্বিত হবেন বা কোম্পানিকে দায়ী করবেন না? 2016 সালে, যেকোনও কোম্পানী যেকোন ধরণের নেটওয়ার্ক ডিভাইসের প্রচার করে কিভাবে দায়িত্বের বোঝা তাদের ব্যবহারকারীদের উপর এমন পরিস্থিতিতে সরিয়ে দিতে পারে যেখানে তারা সক্রিয়ভাবে সংবেদনশীল তথ্য খুঁজছে।
অপসারিত?
কোনভাবেই না. এমনকি তাদের শর্তাবলী-ভিত্তিক শ্লীলতাহানির আগে, ইউকে-এর তথ্য কমিশনারের কার্যালয় একাধিক মার্কিন রাজ্যের বিচারব্যবস্থা সহ ডেটা লঙ্ঘনের তদন্ত করছিল। একইভাবে, লঙ্ঘনের অবিলম্বে, হংকংয়ের গোপনীয়তা কমিশনার স্টিফেন ওং নিশ্চিত করেছেন যে তার অফিস VTech-এর উপর একটি "সম্মতি পরীক্ষা" শুরু করেছে যে কোম্পানিটি মৌলিক নিরাপত্তা নীতিগুলি মেনে চলে কিনা তা মূল্যায়ন করতে৷
যখন আমি এই নিবন্ধটি লিখছিলাম, ইউকে ইনফরমেশন কমিশনার অফিস নিশ্চিত করেছে যে নতুন শর্তাদি বর্তমান ইউকে আইন লঙ্ঘন করবে, এই বলে:
"আইনটি স্পষ্ট যে এটি এমন সংস্থা যা লোকেদের ব্যক্তিগত ডেটা পরিচালনা করে যারা সেই ডেটা সুরক্ষিত রাখার জন্য দায়ী"
আপনার কি করা উচিত?
সত্যই, যতক্ষণ না VTech তাদের নিরাপত্তা ক্রিয়াকলাপকে যথেষ্ট পরিমাণে সংশোধন করেছে বলে প্রমাণিত না হয়, তাদের ওয়েবসাইট সহ তাদের পণ্যগুলি ব্যবহার করবেন না৷
ভবিষ্যতে, কোনও নেটওয়ার্কযুক্ত শিশুদের খেলনা কেনার আগে, একটি দ্রুত "[পণ্যের নাম/কোম্পানীর নাম]+নিরাপত্তা" অনুসন্ধান চালানো বুদ্ধিমানের কাজ হবে, অথবা আপনি "[পণ্যের নাম/কোম্পানীর নাম]+হ্যাক/ডেটা লঙ্ঘন" করার চেষ্টা করতে পারেন। আপনি যে পণ্যটি আপনার সন্তানের হাতে দিতে চলেছেন সেগুলির মধ্যে যেকোনও একটি সংমিশ্রণ দ্রুত নিরাপত্তার মঙ্গলকে চিত্রিত করবে৷
নিরাপত্তা লঙ্ঘন ঘটতে যাচ্ছে. আমরা একটি বিশাল ডিজিটাইজড বিশ্বে বাস করি, বিপুল সংখ্যক সাইট জুড়ে সংবেদনশীল তথ্য শেয়ার করি। যাইহোক, আমাদের নিজেদেরকে ফায়ারিং লাইনের মধ্যে ফেলতে হবে না, এবং সমানভাবে, আমাদের ব্যক্তিগত ডেটার গোপনীয়তার প্রতি সামান্য সম্মান আশা করার অধিকার আমাদের আছে - আমাদের সন্তানদের কথাই ছেড়ে দিন৷
VTech লঙ্ঘনের দ্বারা প্রভাবিত? অথবা আপনি নেটওয়ার্কিং এবং তথ্য নিরাপত্তা বিশ্বের একটি খেলনা প্রস্তুতকারকের সাথে সহানুভূতি করতে পারেন? নিচে আমাদের জানান!
