অনলাইনে গুগল, হোয়াটসঅ্যাপ, ফেসবুকের লক্ষাধিক টু-ফ্যাক্টর অথেনটিকেশন নিরাপত্তা কোড ফাঁস
একটি কোম্পানির অভ্যন্তরীণ ডেটাবেস থেকে গুগল, হোয়াটসঅ্যাপ, ফেসবুক এবং টিকটক ব্যবহারকারীদের লক্ষাধিক অ্যাকাউন্টের ব্যক্তিগত টু-ফ্যাক্টর অথেনটিকেশন (২এফএ) কোড অনলাইনে ফাঁস হয়ে গিয়েছে।
তবে একজন নিরাপত্তা গবেষকের বরাত দিয়ে এক প্রতিবেদনে ফোর্বস জানিয়েছে, ব্যবহারকারীদের বর্তমানে নিরাপত্তা নিয়ে দুশ্চিন্তা করার প্রয়োজন নেই।
প্রযুক্তিবিষয়ক ওয়েবসাইট টেকক্রাঞ্চের তথ্য অনুযায়ী, ডেটাবেস ফাঁস হওয়ার জন্য দায়ী কোম্পানিটি হলো এশিয়ান প্রযুক্তি কোম্পানি ওয়াইএক্স ইন্টারন্যাশনাল। টেকক্রাঞ্চ যোগাযোগ করার পর ওয়াইএক্স ইন্টারন্যাশনাল ইন্টারনেটে উন্মুক্ত থাকা ওই ডেটাবেস সুরক্ষিত করে।
নিরাপত্তা গবেষক অনুরাগ সেন প্রথম এ ত্রুটি খুঁজে পান। তিনি জানান, যেকোনো পাসওয়ার্ড ছাড়াই অরক্ষিত রাখা ডেটাবেসটির আইপি ঠিকানা জানলে যে কারও পক্ষেই যে কোনো সাধারণ ওয়েব ব্রাউজার ব্যবহার করেই ওই ডেটাবেসে প্রবেশ করা সম্ভব হতো।
ওয়াইএক্স ইন্টারন্যাশনাল টেক্সট মেসেজ রাউটিং সেবা প্রদান করে। প্রযুক্তি কোম্পানিটির সংগ্রহে থাকা তথ্যের মধ্যে উল্লেখযোগ্য হলো গুগল, হোয়াটসঅ্যাপ, ফেসবুক এবং টিকটকের পাসওয়ার্ড রিসেট লিংক ও ২এফএ কোড। প্রতিদিন প্রায় ৫০ লাখ এসএমএস প্রবাহের জন্য ওয়াইএক্স ইন্টারন্যাশনালের ডেটাবেসকে সংবেদনশীল তথ্যের ভান্ডার হিসেবে বিবেচনা করা হয়।
অনুরাগ জানান, নিয়মিত চেকিংয়ের অংশ হিসেবে এ ডেটাবেসের খোঁজ পান তিনি। গত পাঁচ বছর ধরে ক্লাউডভিত্তিক বিভিন্ন ডেটাবেসের নিরাপত্তা দুর্বলতাগুলো পরীক্ষা করে আসছেন তিনি।
তিনি বলেন, 'অনেক কোম্পানি তাদের প্রোডাকশন সার্ভারগুলোকে ক্লাউডে সরিয়ে নিচ্ছে, কিন্তু মৌলিক অথেনটিকেশন এবং এনক্রিপশন রাখছে না। টু-ফ্যাক্টর অথেনটিকেশন সংরক্ষণ এবং প্রক্রিয়াকরণের পদ্ধতি আরও শক্তিশালী এবং নিরাপদ হওয়া উচিত।'
নিরাপত্তা বিশেষজ্ঞরা টু-ফ্যাক্টর অথেনটিকেশন কোডের জন্য এসএমএস ব্যবহার না করার পরামর্শ দিয়ে থাকেন। সফটওয়্যার কোম্পানি ইএসইটির বৈশ্বিক সাইবার নিরাপত্তা উপদেষ্টা জেক মুর বলেন, 'এসএমএসের মাধ্যমে ব্যবহার করা ওয়ান টাইম সিকিউরিটি কোড বাড়তি নিরাপত্তা দিলেও বর্তমানে সাইবার নিরাপত্তা ঝুঁকি অনেক বেশি বেড়ে যাওয়ায় অ্যাকাউন্টগুলোতে কয়েক স্তরের নিরাপত্তা ব্যবহার করাই শ্রেয়।'
স্রেফ পাসওয়ার্ড ব্যবহার না করে তার সঙ্গে পাসকি, অথেনটিকেটর অ্যাপ এবং সিকিউরিটি কি ব্যবহার করলে নিরাপত্তা ঝুঁকি অনেকটা কমে যায়। তাই মুরের মতে, কেউ যদি শুধু পাসওয়ার্ড আর এসএমএস অথেন্টিকেশনের ওপর নির্ভর করেন, তাহলে সেক্ষেত্রে তাকে বিষয়টি দ্বিতীয়বার ভেবে দেখা উচিত।
তবে তিনি নিশ্চয়তা দিয়ে বলেন, ব্যবহারকারীদের টু-ফ্যাক্টর অথেনটিকেশন কোডগুলো ফাঁস হওয়া নিয়ে আপাতত চিন্তা করার কিছুই নেই। কিন্তু এ ত্রুটিটি থেকে অনেক কিছুই শেখার আছে। 'বর্তমানে অন্যান্য বিকল্প থাকার পরেও পুরোনো টেক্সট মেসেজিং প্রযুক্তি ব্যবহার করা নিরাপত্তার জন্য একটু বেশি ঝুঁকিপূর্ণ,' বলেন তিনি।
