সাইবার নিরাপত্তার দুর্বলতা আবার শিরোনামে পরিণত হয়েছে যা আমরা যে ডিজিটালাইজড প্রজন্মে বাস করি সেখানে ডেটার নিরাপত্তা নিয়ে গুরুতর উদ্বেগ প্রকাশ করে৷
আজ, ওয়েবসাইটগুলি বিশ্বের হাজার হাজার ভাষায় পঠিত হয়। ওয়ার্ডপ্রেস, জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম যা আমাদের ওয়েবসাইট তৈরি করতে দেয়। WPML বা একটি ওয়ার্ডপ্রেস মাল্টি-লিঙ্গুয়াল প্লাগইন 600,000 এর বেশি ওয়েবসাইট বিভিন্ন ভাষায় এর বিষয়বস্তু প্রদর্শনের জন্য ব্যবহার করেছে।
এই সপ্তাহান্তে, জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন WPML (WP মাল্টিলিঙ্গুয়াল) যা ওয়ার্ডপ্রেস ব্যবহারকারীদের জন্য একটি বৈচিত্র্যময় ভাষা সুবিধা প্রদান করে, হ্যাক করা হয়েছিল যা সাইবার জগতে অনেক গুঞ্জন তৈরি করেছে।
শোষণ
একটি পুরানো পাসওয়ার্ড এবং একটি লুকানো ব্যাকডোরের মাধ্যমে ওয়েবসাইটে অ্যাক্সেস পাওয়ার পরে, হ্যাকার একটি বার্তা পোস্ট করে ওয়েবসাইটটিকে বিকৃত করেছে যাতে দাবি করা হয়েছিল যে WPML প্লাগইনটি দুর্বলতায় পূর্ণ ছিল এবং এর ক্লায়েন্টদের উচিত যে কোনও সম্ভাব্য আপসের জন্য তাদের ওয়েবসাইটগুলি পরীক্ষা করা। এছাড়াও, তিনি WPML ক্লায়েন্টদের কাছে স্প্যাম ইমেলের মতো একই বার্তা পাঠিয়েছেন এবং দাবি করেছেন যে তিনি একজন নিরাপত্তা গবেষক যিনি WPML টিমের কাছে প্লাগইনের বেশ কয়েকটি দুর্বলতা রিপোর্ট করেছেন, যেগুলি ডেভেলপারদের দ্বারা উপেক্ষা করা হয়েছিল।
ধ্বংসস্তূপের নীচে একজন বিচ্ছিন্ন প্রাক্তন কর্মচারী রয়েছেন বলে অভিযোগ করা হয়েছিল। এটা বিশ্বাস করা হয় যে ব্যবহৃত লুকানো ব্যাকডোরটি আক্রমণকারী ঢুকিয়েছিল যখন সে এখনও কোম্পানিতে নিযুক্ত ছিল। প্রথম ইম্প্রেশনে, এটি প্লাগইনটিকে বিকৃত করার চেষ্টার মতো লাগছিল। হ্যাকার তার গ্রাহকদের কাছে ইমেল পাঠিয়েছিল যাতে যথেষ্ট পরিমাণ চার্জ করা সত্ত্বেও সঠিক নিরাপত্তা অফার না থাকায় ওয়েবসাইটটির সমালোচনা করে। তিনি গ্রাহকদের ওয়েবসাইটটি আনসাবস্ক্রাইব করার আহ্বান জানান এবং মালিকদের কাছ থেকে অর্থ ফেরত চাইতে তাদের উৎসাহিত করেন। সদস্যতা ত্যাগ করার জন্য ইমেলের নীচে একটি লিঙ্কও ছিল৷
ডব্লিউপিএমএল টিম থেকে আক্রমণের প্রতিক্রিয়া:
WPML ডেভেলপারদের মতে:
- ক্লায়েন্টের সাইটে চলমান WPML প্লাগইন শোষণ ধারণ করে না
- ক্লায়েন্টের অর্থপ্রদানের তথ্য আপোস করা হয়নি কারণ তারা এটি সংরক্ষণ করেনি
- অনুপ্রবেশকারীর ব্যবহারকারীদের নাম এবং ইমেল ঠিকানা রয়েছে৷ WPML.org -এ তাদের ব্যবহারকারীর অ্যাকাউন্টেও অ্যাক্সেস থাকতে পারে
- অনুপ্রবেশকারী ক্লায়েন্টের সাইটের চাবিগুলো চুরি করেছে, কিন্তু সেগুলো কোনো কাজে আসেনি। তারা সাইটটিকে wpml.org থেকে আপডেট পেতে অনুমতি দেয় কিন্তু সে সেগুলি ব্যবহার করে সাইটে কোনো পরিবর্তন করতে পারে না
আক্রমণের জন্য WPML টিমের প্রতিরোধমূলক ব্যবস্থা:
WPML টিম বলেছে যে তারা স্ক্র্যাচ থেকে তাদের ডেটা সার্ভার তৈরি করা শুরু করেছে যাতে তারা পিছনের দরজাটি সরিয়ে দিতে পারে এবং তাদের ক্লায়েন্টদের অ্যাকাউন্ট সুরক্ষিত থাকে তা নিশ্চিত করতে পারে।
যে চাঞ্চল্যকর নিরাপত্তা লঙ্ঘন ঘটেছে, আমরা চিন্তা করতে বাধ্য হলাম অনলাইনে আমাদের ডেটা কতটা নিরাপদ? এই আক্রমণের ক্ষয়ক্ষতি বিশ্লেষণ করে, এটি পাওয়া গেছে যে ওয়ার্ডপ্রেসের বিপুল সংখ্যক WPML প্লাগইন ব্যবহারকারীদের অন্তর্গত বিপুল পরিমাণ ডেটা অনিরাপদ এবং হ্যাকারের করুণার উপর ছেড়ে দেওয়া হয়েছিল, যা পরে WPML টিম দ্বারা নিশ্চিত করা হয়েছিল। তারা বলেছে যে তাদের গ্রাহকের নাম এবং ইমেল আইডি সম্বলিত ডাটাবেস হ্যাকার দ্বারা আপস করা হয়েছে। যদিও, হ্যাকারের লগ ইন করার এবং ব্যবহারকারীদের সাইটগুলিতে অ্যাক্সেস করার সম্ভাবনা সম্পর্কে জিজ্ঞাসা করা হলে দলটি চুপচাপ রয়ে গেছে। তারা ব্যবহারকারীদের মেইলের সাথে প্রেরিত কোনও লিঙ্ক খোলার বিরুদ্ধে পরামর্শ দিয়েছে কারণ এতে ম্যালওয়্যার থাকতে পারে। আপাতত, তারা ব্যবহারকারীদের শুধুমাত্র অফিসিয়াল ওয়েব ঠিকানার মাধ্যমে ওয়েবসাইটে লগইন করার জন্য অনুরোধ করেছে৷
৷WPML টিম ক্ষমা চেয়েছে এবং একটি আপডেট এবং উন্নত নিরাপত্তা কাঠামোর সাথে স্ক্র্যাচ থেকে তার সাইটটির পুনর্নির্মাণের বিষয়ে ব্যবহারকারীদের জানিয়েছে। প্রতিষ্ঠানটি আইনি ব্যবস্থা নেওয়ার পরিকল্পনা করছে বলেও জানিয়েছেন মালিক। যদিও কোম্পানী নিশ্চিত করেছে এবং নিশ্চিত করেছে যে ত্রুটিগুলি খুঁজে বের করা এবং সংশোধন করা হয়েছে, প্রশ্নটি রয়ে গেছে:আমাদের ডেটা অনলাইনে কতটা নিরাপদ?