সেপ্টেম্বরের শেষ সপ্তাহে ৫ কোটি ব্যবহারকারীর ফেসবুক অ্যাকাউন্ট হ্যাকিংয়ের শিকার হওয়ার স্বীকারোক্তি দেয় বিশ্বের সবচেয়ে জনপ্রিয় সামাজিক যোগাযোগমাধ্যম ফেসবুক। সে সময় তারা একটি নিরাপত্তা ত্রুটির কথা জানিয়েছিল এবং তাদের কোটি কোটি অ্যাকাউন্টের সুরক্ষায় বেশ কিছু পদক্ষেপ নিয়েছিল। সাইবার বিশ্লেষকরা বলছেন, গৃহীত সেসব পদক্ষেপের মধ্য দিয়ে ভবিষ্যতের সম্ভাব্য হ্যাকিং হয়তো ঠেকানো যাবে, তবে ইতোমধ্যেই হ্যাক হওয়া অ্যাকাউন্টগুলোর ঝুঁকি কমানো যাবে না। বিশেষজ্ঞরা একে ভয়াবহ নিরাপত্তা ঝুঁকি আকারে দেখছেন। তারা বলছেন, কেবল ফেসবুক নিজে নয়, ইতোমধ্যেই হ্যাককৃত অ্যাকাউন্টগুলোর তথ্য নিয়ে সাইবার হামলাকারীরা স্বয়ংক্রিয় লগ-ইন প্রমাণাদি বা টোকেন চুরি করতে সক্ষম হবে। এই টোকেনগুলোর মাধ্যমে স্পোটিফাই, পিনটারেস্ট বা ইয়েল্পের মতো জনপ্রিয় অ্যাপ ও সেবাগুলোর জন্য খুব সহজেই লগ-ইন করতে পারবে। যা এসব থার্ড পার্টি অ্যাপস ও ওয়েবসাইটগুলোর নিরাপত্তা ব্যবস্থাই ভেঙে ফেলতে পারে। প্রভাশালী ব্রিটিশ সংবাদমাধ্যম দ্য গার্ডিয়ানের এক বিশেষ প্রতিবেদনে দাবি করা হয়েছে, ফেসবুকের ওই ত্রুটি তার নিজের পাশাপাশি হাজার হাজার অ্যাপস ও ওয়েবসাইটের জন্য নিরাপত্তা ঝুঁকি সৃষ্টি করেছে।
গত ২৮ সেপ্টেম্বর শুক্রবার বিশ্বের জনপ্রিয় সামাজিক যোগাযোগমাধ্যম ফেসবুকের তরফ থেকে জানানো হয়, প্রায় পাঁচ কোটি ব্যবহারকারীর অ্যাকাউন্ট হ্যাকিংয়ের শিকার হয়েছে। ফেসবুক জানায়, একটি নিরাপত্তা ত্রুটির কারণে এসব অ্যাকাউন্টের নিয়ন্ত্রণ নিয়েছে আক্রমণকারীরা। ভিউ এজ (view as) নামের সুবিধার দুর্বলতাকে কাজে লাগিয়ে সুযোগ নিয়ে মানুষের অ্যাকাউন্টের নিয়ন্ত্রণ নিয়েছে। মঙ্গলবার এই ঘটনা ধরা পড়ে। কোম্পানিটি পুলিশকে বিষয়টি অবহিত করেছে। অস্বাভাবিক লগ-ইন কার্যক্রম থেকে সন্দেহ হলে ফেসবুক প্রকৌশলীরা ২০১৭ সালের জুলাই মাস থেকে বিদ্যমান থাকা ত্রুটিটি ধরতে সক্ষম হন। স্বাধীন গবেষকরা বলছেন, এই ত্রুটিজনিত ক্ষতি ফেসবুকের সীমানা ছাড়িয়ে যেতে পারে।
শিকাগোর ইলিনোয়িস বিশ্ববিদ্যালয়ের কম্পিউটার সায়েন্সের সহকারী অধ্যাপক জেসন পোলাকিস সম্প্রতি সিঙ্গেল সাইন-অন (এসএসও) ব্যবস্থার দুর্বলতার বিষয়ে একটি লেখা লিখেছেন। ফেসবুকেও একই ব্যবস্থা ব্যবহার করা হয়। পোলাকিস বলেন, এই টোকেনগুলো ফাঁস হলে তা ফেসবুক ছাড়াও আরও অনেকেই আক্রান্ত হবে। এটা থার্ড পার্টি অ্যাপস ও ওয়েবসাইটগুলোতে প্রবেশের একটি গুপ্তপথ।
বিভিন্ন অক্ষর ও সংখ্যার মাধ্যমে তৈরি করা একটি টোকেনে চাপ দেওয়ার মাধ্যমে স্বয়ংক্রিয়ভাবে অন্যান্য অ্যাপ ও ওয়েবসাইটে প্রবেশ করা যায়। এর ফলে গ্রাহককে নতুন করে পাসওয়ার্ড দিতে হয় না। নিরাপত্তা প্রতিষ্ঠান আভিপয়েন্টের ঝুঁকি, গোপনীয়তা ও তথ্য নিরাপত্তা বিষয়ক প্রধান কর্মকর্তা ডানা সিমবারকোফ বলেন, দুর্ভাগ্যবশত নিরাপত্তা দৃষ্টিভঙ্গিতে অন্য কোনও সেবা নিতে ফেসবুক বা অন্য কোনও সামাজিক মাধ্যম ব্যবহার করা বুদ্ধিমানের কাজ নয়। তিনি বলেন, ‘এটা সহজ ও সুবিধাজনক কিন্তু যখন আপনি শর্টকাট ব্যবহার করবেন তার একটা খারাপ দিক থাকতে পারে।’ তিনি আরও বলেন, ‘একটি অ্যাপ ব্যবহার করে আরেকটি অ্যাপে ঢোকা উচিত নয়। কারণ, যখন এসবের কোনও একটা ব্যবস্থা বিপদে পড়বে, অন্য সবকটিও বিপদে পড়ে যাবে।’
যখন হামলাকারীরা একজনের টোকেন চুরির করার প্রক্রিয়া জেনে যাবে তখন তারা খুব সহজেই স্বয়ংক্রিয় প্রক্রিয়ায় ফেসবুকের লাখ লাখ অ্যাকাউন্ট ব্যবহার করতে পারবে। এমনকি অনেক থার্ড পার্টি অ্যাকাউন্টের সব তথ্যও তারা চুরি করতে পারবে। এখন এসব অ্যাকাউন্ড ফেসবুকের ওপর নির্ভর করেই রয়েছে।
ফেসবুকে থাকা বিভিন্ন বাগের কারণে ভিডিও পোস্টিং ফিচার থেকে ব্যবহারকারীদের টোকেনগুলো হামলাকারীদের কাছে উন্মুক্ত হয়ে যায়। এরপর পেজের এইচটিএমএল কোড থেকে তারা সহজেই এসব টোকেন চুরি করতে পারতো। ফেসবুকে থাকা বিভিন্ন বাগের কারণে ভিডিও পোস্টিং ফিচার থেকে ব্যবহারকারীদের টোকেনগুলো হামলাকারীদের কাছে উন্মুক্ত হয়ে যায়। এরপর পেজের এইচটিএমএল কোড থেকে তারা সহজেই এসব টোকেন চুরি করতে পারতো। তবে ত্রুটিটি ধরা পড়ার পরই ফেসবুকের পক্ষ থেকে কিছু পদক্ষেপ নেওয়া হয়। তারা নিজেদের সাইটে বাগি ফিচারগুলো বন্ধ করে দিয়েছে আর ৯ কোটি ব্যবহারকারীর টোকেন পরিবর্তন করে দিয়ে তাদের লগ আউট করে দিয়েছে। যখন ব্যবহারকারীরা আবারও লগ ইন করে তাদের একটি করে নতুন টোকেন দেওয়া হয়। এর মাধ্যমে ভবিষ্যতে হামলকারীদের কাছ থেকে তার লগইন সংক্রান্ত তথ্যাদি নিরাপদ করা যাবে বলে মনে করা হচ্ছে। তবে ইতোমধ্যেই যেসব গ্রাহকের তথ্য চুরি হয়েছে তাদের বিষয়ে এখনও কিছু করা যায়নি।
পোলাকিস বলেন, ‘তার মানে যদি হামলাকারীরা ইতোমধ্যে আপনার ফেসবুকে লগ-ইনের তথ্য পেয়ে থাকে তাহলে তারা এখনও সেখানে আছে। তবে এটা আপনার অ্যাপের নিরাপত্তা ব্যবস্থার ওপর নির্ভর করবে।’ তিনি বলেন, ‘যদি নষ্ট করে দেওয়ার আগেই তারা থার্ড পার্টি অ্যাপসে ঢোকার জন্য এসব টোকেন ব্যবহার করে থাকে তাহলে ব্যাপারটা জটিল হয়ে যাবে।’ পোলাকিস আরও বলেন, ‘আমরা দেখেছি, অনেক ওয়েবসাইটে হামলাকারীরা প্রকৃত পাসওয়ার্ড না জেনেই বিভিন্ন অ্যাকাউন্টের ই-মেইল ও পাসওয়ার্ড পরিবর্তন করতে পেরেছে। তাই এখন যদি সিঙ্গেল সাইন-অন ব্যবস্থা কাজও না করে বা ফেসবুক অ্যাকাউন্টে তাদের প্রবেশাধিকার নাও থাকে তারপরও তারা থার্ড পার্টি অ্যাপসগুলোতে সহজেই ঢুকতে পারবে।’
এই অবস্থায় করণীয় সম্পর্কে জানার জন্য সবচেয়ে জনপ্রিয় অ্যাপস ও ওয়েবসাইটগুলোর শীর্ষ ৬টি ও ফেসবুকের কাছে পরামর্শ চায় ব্রিটিশ সংবাদমাধ্যম দ্য গার্ডিয়ান। ইয়েল্প কোনও মন্তব্য করেনি। আর স্পটিফাই’র মুখপাত্র বলেছেন, তাদের গানের ওয়েবসাইটটি কোনও নিরাপত্তা হুমকির শিকার হয়নি। তবে তারা অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করার জন্য গ্রাহকদের পরামর্শ দিয়েছেন। বাকি প্রতিষ্ঠানগুলো গার্ডিয়ানকে কোনও জবাব দেয়নি।
পোলাকিস বলেন, পাসওয়ার্ড পরিবর্তন করার মাধ্যমে লাভ হতেও পারে আবার নাও হতে পারে। এটা অ্যাপসের ওপর নির্ভর করে। তারপরও এটা করা যুক্তিযুক্ত। তিনি বলেন, ‘যদি আপনার মনে হয় যে ইতোমধ্যে আপনার অ্যাকাউন্টের টোকেন ব্যবহার করা হয়েছে বলে আশঙ্কা করে থাকেন, তাহলে ওই সব অ্যাকাউন্টের অস্বাভাবিক কার্যক্রম সম্পর্কে সচেতন থাকুন।’
ওয়ানস্পানের নিরাপত্তা সমাধান পরিচালক উইল লাসালা পরামর্শ দেন, সব ব্যবহারকারীই উন্নত অ্যাপ সুরক্ষার অনুশীলন করতে পারেন। এজন্য কোনও অ্যাপসকেই ডিফল্ট হওয়ার অনুমতি দেওয়া যাবে না ও খুব কম ব্যবহার করা হয় এমন অ্যাপস বাতিল করে দিতে হবে। সম্ভব হলে দ্বি-ধাপ প্রমাণীকরণ ব্যবস্থা চালু করার পরামর্শ দেন তিনি। এটা হলে অপরিচিত যন্ত্র থেকে গ্রাহকের অ্যাকাউন্টে লগ-ইন করার চেষ্টা করা হলে দ্বিতীয় ধাপে পরিচিতি চাইবে। এজন্য আপনার ফোনে টেক্সট মেসেজসহ অন্য কোনও উপায় ব্যবহার করা হতে পারে।
