মাইক্রোসফটের ওয়ানড্রাইভ ফাইল পিকারে একটি নিরাপত্তাত্রুটি ধরা পড়েছে। এ ত্রুটির কারণে কোনো ব্যবহারকারী যদি কোনো অ্যাপের মাধ্যমে কেবল একটি ফাইল প্রকাশের (আপলোড) অনুমতি দেন, তবুও সেই অ্যাপ তার পুরো ক্লাউড স্টোরেজে প্রবেশাধিকার পেতে পারে।
যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান ওএসিস রিসার্চ টিম সম্প্রতি এ ত্রুটি শনাক্ত করে। গবেষকেরা বলছেন, ওয়ানড্রাইভ ফাইল পিকারে ব্যবহৃত ও-অথ অনুমোদনব্যবস্থায় অতিরিক্ত অনুমতি ও অস্পষ্ট সম্মতির বার্তার (কনসেন্ট স্ক্রিন) কারণে ব্যবহারকারীরা বুঝতে পারেন না তাঁরা আসলে কতটা তথ্যের অ্যাকসেস দিচ্ছেন। ফলে ব্যবহারকারীর অজান্তেই তাঁদের ক্লাউডে সংরক্ষিত সব তথ্যের ওপর কোনো তৃতীয় পক্ষের অ্যাপ পূর্ণ নিয়ন্ত্রণ প্রতিষ্ঠা করতে পারে। ওএসিসের দাবি, ওয়ানড্রাইভের সঙ্গে সংযুক্ত জনপ্রিয় অ্যাপগুলোর মধ্যে চ্যাটজিপিটি, স্ল্যাক, ট্রেলো ও ক্লিকআপ এ ঝুঁকির আওতায় রয়েছে।
গবেষকদের মতে, ওয়ানড্রাইভ ফাইল পিকার ব্যবহার করে যখন কোনো অ্যাপের মাধ্যমে একটি ফাইল আপলোড করা হয়, তখন সেটি আসলে পুরো ড্রাইভের ওপর ‘রিড’ অনুমতি চায়। এর পেছনের কারণ হলো ওয়ানড্রাইভে এখনো নির্দিষ্ট ফাইল বা ফোল্ডার বেছে নিয়ে সীমিত অনুমতি দেওয়ার সুবিধা নেই। এ প্রক্রিয়ায় ব্যবহারকারীর সামনে যে সম্মতির বার্তা দেখানো হয়, সেটি অস্পষ্ট ও বিভ্রান্তিকর। এতে ব্যবহারকারীরা মনে করেন, তাঁরা কেবল একটি নির্দিষ্ট ফাইল শেয়ারের অনুমতি দিচ্ছেন; কিন্তু বাস্তবে অ্যাপটি তখন পুরো ক্লাউড স্টোরেজে প্রবেশ করতে পারে।
ওএসিস বলছে, এ ত্রুটি ক্ষতিকর অ্যাপের পাশাপাশি নির্ভরযোগ্য অ্যাপগুলোর ক্ষেত্রেও সমস্যা তৈরি করছে। কারণ, নির্দিষ্ট স্কোপ বা সীমিত অনুমতির ব্যবস্থা না থাকায় অনেক অ্যাপ বাধ্য হয়ে পুরো ড্রাইভের অনুমতি চাইছে, যদিও তাদের প্রয়োজন মাত্র একটি ফাইলের। গবেষকেরা আরও জানিয়েছেন, অনেক অ্যাপ ব্যবহারকারীর অ্যাকসেস টোকেন ওয়েব ব্রাউজারের সেশন স্টোরেজে সাধারণ লেখার বা প্লেইনটেক্সট আকারে সংরক্ষণ করে। এতে সাইবার আক্রমণের মাধ্যমে সহজেই সেই টোকেন চুরি হওয়ার আশঙ্কা তৈরি হয়। এ ছাড়া কিছু অ্যাপ ‘রিফ্রেশ টোকেন’ সংগ্রহ করে। ফলে একবার অনুমতি পেলেই ব্যবহারকারীর লগইন ছাড়াই দীর্ঘ সময় তথ্য ব্যবহারের সুযোগ থেকে যায়। ও-অথ ব্যবস্থায় সূক্ষ্ম নিয়ন্ত্রণের অভাব এবং অনুমতির অস্পষ্টতা ব্যক্তিগত ও প্রাতিষ্ঠানিক উভয় পর্যায়ের ব্যবহারকারীদের নিরাপত্তা হুমকির মুখে ফেলছে।
গবেষকেরা বিষয়টি মাইক্রোসফটকে জানালে প্রতিষ্ঠানটি ত্রুটির বিষয়টি স্বীকার করেছে। তবে এখন পর্যন্ত কোনো স্থায়ী সমাধান দেওয়া হয়নি। সাময়িক সমাধান হিসেবে ওএসিস রিসার্চ টিম ওয়ানড্রাইভ ব্যবহার করে ও-অথের মাধ্যমে ফাইল আপলোড করার সুবিধা সাময়িকভাবে নিষ্ক্রিয় রাখার পরামর্শ দিয়েছে। একই সঙ্গে রিফ্রেশ টোকেন ব্যবহার না করা, অ্যাকসেস টোকেন নিরাপদভাবে সংরক্ষণ করা ও প্রয়োজন ফুরালে তা মুছে ফেলার পরামর্শ দিয়েছে।
সূত্র: দ্য হ্যাকার নিউজ
.উৎস: Prothomalo
এছাড়াও পড়ুন:
কেন্দ্রীয় কারাগারে বন্দীদের নিয়ে ঈদ আনন্দ, গান গাইলেন নোবেল
ঈদুল আজহা উপলক্ষে ঢাকার কেরানীগঞ্জ কেন্দ্রীয় কারাগারে অনুষ্ঠিত হয়েছে বিশেষ সাংস্কৃতিক অনুষ্ঠান। সেখানে কারাবন্দি হিসেবে উপস্থিত ছিলেন সংগীতশিল্পী মইনুল আহসান নোবেল। তিনি মঞ্চে উঠে গেয়েছেন নগর বাউল জেমসের গান; মাতিয়েছেন বন্দিদের।
ঈদের দিন আজ শনিবার বিকাল সাড়ে ৩টায় কারা কর্তৃপক্ষের আয়োজনে বন্দিশালার মাঠে আয়োজিত হয় এই বিশেষ অনুষ্ঠান।
ঈদের দিনে জেলের বন্দিদের জন্য গান গেয়ে হয়তো ‘আশা’ দেখিয়েছেন নোবেল। বন্দি মানুষগুলোর জন্যও হয়তো ঈদ হতে পারে আনন্দের। তবে, গায়ক নোবেল নিজেকে পরিশুদ্ধ করে ফিরে আসবে গানের জগতে, এমনটাই হয়তো চাইবেন তার ভক্তরা।
মঞ্চে নোবেল ‘অভিনয়’, ‘ভিগি ভিগি’, ‘সেই তুমি কেন এত অচেনা হয়ে গেলে’সহ তার জনপ্রিয় কয়েকটি গান পরিবেশন করেন। নোবেলের কণ্ঠে গাওয়া এসব গান শুনে অন্য বন্দিরাও আবেগ-উচ্ছ্বাসে মেতে ওঠেন। গানে গানে তৈরি হয় এক ভিন্নরকম উৎসবমুখর পরিবেশ।
অনিশ্চয়তা কাটেনি, সব পক্ষই অনড়