Facebook দিয়ে লগইন করুন। গুগল দিয়ে লগইন করুন। ওয়েবসাইটগুলি নিয়মিতভাবে সহজে সাইন ইন করার আকাঙ্ক্ষাকে কাজে লাগায় যাতে আমরা পরিদর্শন করি এবং নিশ্চিত করে যে তারা ব্যক্তিগত ডেটা পাইয়ের একটি টুকরো দখল করে। কিন্তু কি খরচে? একজন নিরাপত্তা গবেষক সম্প্রতি Facebook দিয়ে লগইন করুন-এ একটি দুর্বলতা আবিষ্কার করেছেন৷ বৈশিষ্ট্য অনেক হাজার সাইটে পাওয়া যায়. একইভাবে, Google অ্যাপ ডোমেন নাম ইন্টারফেসের মধ্যে একটি বাগ কয়েক হাজার ব্যক্তির ব্যক্তিগত ডেটা জনসাধারণের কাছে উন্মুক্ত করেছে৷
এই দুটি সবচেয়ে বড় গৃহস্থালী প্রযুক্তি-নামের মুখোমুখি গুরুতর সমস্যা। এই সমস্যাগুলি যথাযথ অস্বস্তির সাথে চিকিত্সা করা হবে এবং দুর্বলতাগুলি প্যাচ করা হবে, জনসাধারণকে কি যথেষ্ট সচেতনতা দেওয়া হয়েছে? আসুন প্রতিটি ক্ষেত্রে দেখি, এবং আপনার ওয়েব নিরাপত্তার জন্য এর অর্থ কী৷
৷কেস 1:Facebook দিয়ে লগইন করুন
Facebook দুর্বলতার সাথে লগইন আপনার অ্যাকাউন্টগুলিকে প্রকাশ করে - কিন্তু আপনার আসল Facebook পাসওয়ার্ড নয় - এবং আপনার ইনস্টল করা তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি, যেমন Bit.ly, Mashable, Vimeo, About.me , এবং অন্যদের হোস্ট।
Sakurity-এর নিরাপত্তা গবেষক, Egor Homakov দ্বারা আবিষ্কৃত সমালোচনামূলক ত্রুটি, হ্যাকারদের Facebook কোডে একটি তত্ত্বাবধানের অপব্যবহার করতে দেয়৷ ত্রুটিটি যথাযথ ক্রস-সাইট অনুরোধ জালিয়াতির অভাব থেকে উদ্ভূত হয়৷ (CSFR) তিনটি ভিন্ন প্রক্রিয়ার জন্য সুরক্ষা:Facebook লগইন, Facebook লগআউট, এবং তৃতীয় পক্ষের অ্যাকাউন্ট সংযোগ। দুর্বলতা মূলত একটি অবাঞ্ছিত পক্ষকে একটি প্রমাণীকৃত অ্যাকাউন্টের মধ্যে ক্রিয়া সম্পাদন করতে দেয়৷ আপনি দেখতে পারেন কেন এটি একটি গুরুত্বপূর্ণ সমস্যা হবে৷
৷তবুও ফেসবুক, এখনও পর্যন্ত, সমস্যাটির সমাধান করার জন্য খুব কম কিছু করার জন্য নির্বাচিত হয়েছে কারণ এটি বিশাল সংখ্যক সাইটের সাথে তাদের নিজস্ব সামঞ্জস্যের সাথে আপস করবে। তৃতীয় সমস্যাটি যেকোন সংশ্লিষ্ট ওয়েবসাইটের মালিকের দ্বারা ঠিক করা যেতে পারে, কিন্তু প্রথম দুটি শুধুমাত্র ফেসবুকের দরজায় পড়ে থাকে।
Facebook-এর দ্বারা করা পদক্ষেপের অভাবকে আরও উদাহরণ হিসেবে দেখানোর জন্য, Homakov RECONNECT নামে একটি হ্যাকার টুল প্রকাশ করে সমস্যাটিকে আরও এগিয়ে দিয়েছে৷ এটি বাগটিকে কাজে লাগায়, হ্যাকারদের তৃতীয় পক্ষের সাইটে অ্যাকাউন্ট হাইজ্যাক করতে ব্যবহৃত কাস্টম URL তৈরি করতে এবং সন্নিবেশ করতে দেয়৷ টুলটি প্রকাশ করার জন্য হোমাকভকে দায়িত্বজ্ঞানহীন বলা যেতে পারে, তবে দোষটি স্পষ্টভাবে ফেসবুকের দুর্বলতাকে প্যাচ করতে অস্বীকার করার কারণে এক বছর আগে আলোতে আনা হয়েছিল .
এই সময়ের মধ্যে, সতর্ক থাকুন। স্প্যামি-সুদর্শন পৃষ্ঠাগুলি থেকে অবিশ্বস্ত লিঙ্কগুলিতে ক্লিক করবেন না, বা আপনি জানেন না এমন লোকেদের থেকে বন্ধুত্বের অনুরোধ গ্রহণ করবেন না৷ ফেসবুকও একটি বিবৃতি প্রকাশ করেছে যাতে বলা হয়:
"এটি একটি ভালভাবে বোধগম্য আচরণ৷ লগইন ব্যবহার করে সাইট বিকাশকারীরা আমাদের সর্বোত্তম অনুশীলনগুলি অনুসরণ করে এবং OAuth লগইনের জন্য আমাদের প্রদান করা 'state' প্যারামিটার ব্যবহার করে এই সমস্যাটি প্রতিরোধ করতে পারে৷"
উত্সাহজনক।
কেস 1a:কে আমাকে আনফ্রেন্ড করেছে?
অন্যান্য Facebook ব্যবহারকারীরা তৃতীয় পক্ষের OAuth লগইন শংসাপত্র চুরির শিকার হয়ে আরেকটি "পরিষেবার" শিকার হচ্ছেন। OAuth লগইনটি ব্যবহারকারীদের নিরাপত্তার প্রাচীর বজায় রেখে কোনও তৃতীয় পক্ষের অ্যাপ্লিকেশন বা পরিষেবাতে তাদের পাসওয়ার্ড প্রবেশ করা বন্ধ করার জন্য ডিজাইন করা হয়েছে৷
পরিষেবাগুলি যেমন আনফ্রেন্ড অ্যালার্ট৷ যারা তাদের অনলাইন বন্ধুত্ব ত্যাগ করেছে তা আবিষ্কার করার চেষ্টা করছে, ব্যক্তিদের তাদের লগইন শংসাপত্র লিখতে বলছে - তারপর তাদের সরাসরি দূষিত সাইট yougotunfriended.com এ পাঠাচ্ছে . UnfriendAlert একটি সম্ভাব্য অবাঞ্ছিত প্রোগ্রাম (PUP) হিসাবে শ্রেণীবদ্ধ করা হয়, ইচ্ছাকৃতভাবে অ্যাডওয়্যার এবং ম্যালওয়্যার ইনস্টল করা হয়৷
দুর্ভাগ্যবশত, Facebook এই ধরনের পরিষেবাগুলিকে সম্পূর্ণরূপে বন্ধ করতে পারে না, তাই পরিষেবা ব্যবহারকারীদের দায়িত্ব হল সতর্ক থাকা এবং সত্য বলে মনে হয় এমন জিনিসগুলির জন্য না পড়ে৷
কেস 2:Google Apps বাগ
আমাদের দ্বিতীয় দুর্বলতাটি ডোমেন নাম নিবন্ধনের Google Apps পরিচালনার ত্রুটি থেকে উদ্ভূত হয়৷ আপনি যদি কখনও একটি ওয়েবসাইট নিবন্ধন করে থাকেন তবে আপনি জানতে পারবেন আপনার নাম, ঠিকানা, ইমেল ঠিকানা এবং অন্যান্য গুরুত্বপূর্ণ ব্যক্তিগত তথ্যের বিধান প্রক্রিয়াটির জন্য অপরিহার্য। রেজিস্ট্রেশনের পর, পর্যাপ্ত সময় থাকলে যে কেউ Whois চালাতে পারবেন এই সর্বজনীন তথ্য খুঁজে পেতে, যদি না আপনি আপনার ব্যক্তিগত ডেটা গোপন রাখার জন্য নিবন্ধনের সময় একটি অনুরোধ করেন। এই বৈশিষ্ট্যটি সাধারণত একটি খরচে আসে এবং এটি সম্পূর্ণ ঐচ্ছিক৷
যারা eNom এবং এর মাধ্যমে সাইট নিবন্ধন করছে একটি প্রাইভেট Whois অনুরোধ করে তাদের ডেটা ধীরে ধীরে 18-মাস-অথবা সময়ের মধ্যে ফাঁস হয়েছে। সফ্টওয়্যার ত্রুটি, ফেব্রুয়ারি 19 th আবিষ্কৃত এবং পাঁচ দিন পরে প্লাগ করা হয়েছে, প্রতিবার নিবন্ধন পুনর্নবীকরণের সময় ব্যক্তিগত ডেটা ফাঁস করা হয়েছে, সম্ভাব্যভাবে ব্যক্তিগত ব্যক্তিদের যে কোনও ডেটা সুরক্ষা সমস্যায় উন্মোচিত করে৷
282,000 বাল্ক রেকর্ড রিলিজ অ্যাক্সেস করা সহজ নয়। আপনি ওয়েবে এটি জুড়ে হোঁচট হবে না. কিন্তু এটি এখন Google-এর ট্র্যাক রেকর্ডে একটি অমার্জনীয় দাগ, এবং ইন্টারনেটের বিস্তীর্ণ জায়গা থেকেও সমানভাবে অমার্জনীয়। এবং এমনকি যদি 5%, 10%, বা 15% ব্যক্তি অত্যন্ত লক্ষ্যযুক্ত, দূষিত বর্শা ফিশিং ইমেলগুলি পেতে শুরু করে, এটি Google এবং eNom উভয়ের জন্যই একটি বড় ডেটা মাথাব্যথার কারণ হয়ে দাঁড়ায়৷
কেস 3:স্পুফড মি
এটি একটি মাল্টিপল নেটওয়ার্ক দুর্বলতা যা একজন হ্যাকারকে অনেক জনপ্রিয় সাইট দ্বারা লিভারেজ করা তৃতীয় পক্ষের সাইন ইন সিস্টেমগুলিকে আবার কাজে লাগাতে দেয়৷ হ্যাকার শিকারের ইমেল ঠিকানা ব্যবহার করে একটি চিহ্নিত দুর্বল পরিষেবার সাথে একটি অনুরোধ করে, যেটি আগে দুর্বল পরিষেবার কাছে পরিচিত ছিল। হ্যাকার তখন জাল অ্যাকাউন্টের মাধ্যমে ব্যবহারকারীর বিবরণ ফাঁকি দিতে পারে, নিশ্চিত করা ইমেল যাচাইয়ের সাথে সম্পূর্ণ সামাজিক অ্যাকাউন্টে অ্যাক্সেস লাভ করে।
এই হ্যাকটি কাজ করার জন্য, তৃতীয় পক্ষের সাইটটিকে অবশ্যই অন্য একটি পরিচয় প্রদানকারী ব্যবহার করে অন্য একটি সামাজিক নেটওয়ার্ক সাইন-ইন বা স্থানীয় ব্যক্তিগত ওয়েবসাইট শংসাপত্রগুলি ব্যবহার করার ক্ষমতা সমর্থন করতে হবে৷ এটি Facebook হ্যাকের অনুরূপ, কিন্তু Amazon, LinkedIn, এবং MYDIGIPASS সহ অন্যান্য ওয়েবসাইটগুলির একটি বিস্তৃত পরিসরে দেখা গেছে, এবং সম্ভাব্যভাবে ক্ষতিকারক অভিপ্রায় সহ সংবেদনশীল পরিষেবাগুলিতে সাইন ইন করতে ব্যবহার করা যেতে পারে৷
এটি একটি ত্রুটি নয়, এটি একটি বৈশিষ্ট্য
আক্রমণের এই মোডে জড়িত কিছু সাইট আসলে রাডারের অধীনে একটি জটিল দুর্বলতাকে উড়তে দেয়নি:সেগুলি সরাসরি সিস্টেমে তৈরি করা হয়েছে। একটি উদাহরণ হল টুইটার। ভ্যানিলা টুইটার ভাল , যদি আপনার একটি অ্যাকাউন্ট থাকে। একবার আপনি একাধিক অ্যাকাউন্ট পরিচালনা করার পরে, বিভিন্ন শিল্পের জন্য, বিভিন্ন শ্রোতাদের কাছে পৌঁছানোর জন্য, আপনার Hootsuite বা TweetDeck-এর মতো একটি অ্যাপ্লিকেশন প্রয়োজন৷
এই অ্যাপ্লিকেশনগুলি টুইটারের সাথে খুব অনুরূপ লগইন পদ্ধতি ব্যবহার করে যোগাযোগ করে কারণ তাদেরও আপনার সামাজিক নেটওয়ার্কে সরাসরি অ্যাক্সেসের প্রয়োজন, এবং ব্যবহারকারীদের একই অনুমতি প্রদান করতে বলা হয়। এটি অনেক সামাজিক নেটওয়ার্ক প্রদানকারীদের জন্য একটি কঠিন পরিস্থিতি তৈরি করে কারণ তৃতীয় পক্ষের অ্যাপগুলি সামাজিক ক্ষেত্রে অনেক কিছু নিয়ে আসে, তবুও ব্যবহারকারী এবং প্রদানকারী উভয়ের জন্য স্পষ্টভাবে নিরাপত্তা অসুবিধা তৈরি করে৷
রাউন্ডআপ
আমরা তিন-এবং-বিট-সামাজিক সাইন-ইন দুর্বলতাগুলি চিহ্নিত করেছি যা আপনি এখন সনাক্ত করতে সক্ষম হবেন এবং আশা করি এড়াতে পারবেন৷ সামাজিক সাইন-ইন হ্যাক রাতারাতি শুকিয়ে যাচ্ছে না। হ্যাকারদের জন্য সম্ভাব্য প্রতিদান খুব বেশি, এবং যখন Facebook-এর মতো বিশাল প্রযুক্তি কোম্পানিগুলি তাদের ব্যবহারকারীদের সর্বোত্তম স্বার্থে কাজ করতে অস্বীকার করে, তখন এটি মূলত দরজা খুলে দেয় এবং তাদের ডেটা গোপনীয়তার ডোরম্যাটে তাদের পা মুছতে দেয়৷
আপনার সামাজিক অ্যাকাউন্ট কি তৃতীয় পক্ষের দ্বারা আপস করা হয়েছে? কি হলো? আপনি কিভাবে পুনরুদ্ধার করলেন?