মাইক্রোসফটের ওয়ানড্রাইভ ফাইল পিকারে একটি নিরাপত্তাত্রুটি ধরা পড়েছে। এ ত্রুটির কারণে কোনো ব্যবহারকারী যদি কোনো অ্যাপের মাধ্যমে কেবল একটি ফাইল প্রকাশের (আপলোড) অনুমতি দেন, তবুও সেই অ্যাপ তার পুরো ক্লাউড স্টোরেজে প্রবেশাধিকার পেতে পারে।
যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান ওএসিস রিসার্চ টিম সম্প্রতি এ ত্রুটি শনাক্ত করে। গবেষকেরা বলছেন, ওয়ানড্রাইভ ফাইল পিকারে ব্যবহৃত ও-অথ অনুমোদনব্যবস্থায় অতিরিক্ত অনুমতি ও অস্পষ্ট সম্মতির বার্তার (কনসেন্ট স্ক্রিন) কারণে ব্যবহারকারীরা বুঝতে পারেন না তাঁরা আসলে কতটা তথ্যের অ্যাকসেস দিচ্ছেন। ফলে ব্যবহারকারীর অজান্তেই তাঁদের ক্লাউডে সংরক্ষিত সব তথ্যের ওপর কোনো তৃতীয় পক্ষের অ্যাপ পূর্ণ নিয়ন্ত্রণ প্রতিষ্ঠা করতে পারে। ওএসিসের দাবি, ওয়ানড্রাইভের সঙ্গে সংযুক্ত জনপ্রিয় অ্যাপগুলোর মধ্যে চ্যাটজিপিটি, স্ল্যাক, ট্রেলো ও ক্লিকআপ এ ঝুঁকির আওতায় রয়েছে।
গবেষকদের মতে, ওয়ানড্রাইভ ফাইল পিকার ব্যবহার করে যখন কোনো অ্যাপের মাধ্যমে একটি ফাইল আপলোড করা হয়, তখন সেটি আসলে পুরো ড্রাইভের ওপর ‘রিড’ অনুমতি চায়। এর পেছনের কারণ হলো ওয়ানড্রাইভে এখনো নির্দিষ্ট ফাইল বা ফোল্ডার বেছে নিয়ে সীমিত অনুমতি দেওয়ার সুবিধা নেই। এ প্রক্রিয়ায় ব্যবহারকারীর সামনে যে সম্মতির বার্তা দেখানো হয়, সেটি অস্পষ্ট ও বিভ্রান্তিকর। এতে ব্যবহারকারীরা মনে করেন, তাঁরা কেবল একটি নির্দিষ্ট ফাইল শেয়ারের অনুমতি দিচ্ছেন; কিন্তু বাস্তবে অ্যাপটি তখন পুরো ক্লাউড স্টোরেজে প্রবেশ করতে পারে।
ওএসিস বলছে, এ ত্রুটি ক্ষতিকর অ্যাপের পাশাপাশি নির্ভরযোগ্য অ্যাপগুলোর ক্ষেত্রেও সমস্যা তৈরি করছে। কারণ, নির্দিষ্ট স্কোপ বা সীমিত অনুমতির ব্যবস্থা না থাকায় অনেক অ্যাপ বাধ্য হয়ে পুরো ড্রাইভের অনুমতি চাইছে, যদিও তাদের প্রয়োজন মাত্র একটি ফাইলের। গবেষকেরা আরও জানিয়েছেন, অনেক অ্যাপ ব্যবহারকারীর অ্যাকসেস টোকেন ওয়েব ব্রাউজারের সেশন স্টোরেজে সাধারণ লেখার বা প্লেইনটেক্সট আকারে সংরক্ষণ করে। এতে সাইবার আক্রমণের মাধ্যমে সহজেই সেই টোকেন চুরি হওয়ার আশঙ্কা তৈরি হয়। এ ছাড়া কিছু অ্যাপ ‘রিফ্রেশ টোকেন’ সংগ্রহ করে। ফলে একবার অনুমতি পেলেই ব্যবহারকারীর লগইন ছাড়াই দীর্ঘ সময় তথ্য ব্যবহারের সুযোগ থেকে যায়। ও-অথ ব্যবস্থায় সূক্ষ্ম নিয়ন্ত্রণের অভাব এবং অনুমতির অস্পষ্টতা ব্যক্তিগত ও প্রাতিষ্ঠানিক উভয় পর্যায়ের ব্যবহারকারীদের নিরাপত্তা হুমকির মুখে ফেলছে।
গবেষকেরা বিষয়টি মাইক্রোসফটকে জানালে প্রতিষ্ঠানটি ত্রুটির বিষয়টি স্বীকার করেছে। তবে এখন পর্যন্ত কোনো স্থায়ী সমাধান দেওয়া হয়নি। সাময়িক সমাধান হিসেবে ওএসিস রিসার্চ টিম ওয়ানড্রাইভ ব্যবহার করে ও-অথের মাধ্যমে ফাইল আপলোড করার সুবিধা সাময়িকভাবে নিষ্ক্রিয় রাখার পরামর্শ দিয়েছে। একই সঙ্গে রিফ্রেশ টোকেন ব্যবহার না করা, অ্যাকসেস টোকেন নিরাপদভাবে সংরক্ষণ করা ও প্রয়োজন ফুরালে তা মুছে ফেলার পরামর্শ দিয়েছে।
সূত্র: দ্য হ্যাকার নিউজ
.উৎস: Prothomalo
এছাড়াও পড়ুন:
লোহাগড়া পৌরসভার সাবেক মেয়র কারাগারে
বৈষম্যবিরোধী ছাত্র আন্দোলনে হামলার অভিযোগে দায়ের হওয়া মামলায় নড়াইলের লোহাগড়া পৌরসভার সাবেক মেয়র ও উপজেলা যুবলীগের সভাপতি আশরাফুল আলমের জামিন নামঞ্জুর করে তাকে কারাগারে পাঠানোর আদেশ দিয়েছেন আদালত।
বুধবার (৩০ জুলাই) লোহাগড়া আমলী আদালতের বিচারক রত্না সাহা এই আদেশ দেন। নড়াইল আদালতের অতিরিক্ত পাবলিক প্রসিকিউটর (এপিপি) অ্যাডভোকেট আজিজুল ইসলাম বিষয়টি নিশ্চিত করেছেন।
মামলার এজাহার সূত্রে জানা যায়, গত বছরের ৪ আগস্ট বৈষম্যবিরোধী ছাত্র-জনতার আন্দোলনে হামলা চালায় আওয়ামী লীগ (কার্যক্রম নিষিদ্ধ), যুবলীগ ও নিষিদ্ধ ঘোষিত সংগঠন ছাত্রলীগের নেতাকর্মীরা।
আরো পড়ুন:
সমন্বয়ক পরিচয়ে তদবির-হুমকি: যুবককে ২ মাসের কারাদণ্ড
চট্টগ্রাম কারাগার পরিদর্শন: ছবি তোলা নিয়ে যা বললেন ধর্ম উপদেষ্টা
এ সময় ছাত্র-জনতাকে ছত্রভঙ্গ করতে তারা গুলি ছুঁড়ে ও ককটেল বিস্ফোরণ ঘটায়। ১৩ শিক্ষার্থীকে রামদা, বাঁশের লাঠি, লোহার রড দিয়ে পিটিয়ে ও কুপিয়ে আহত করা হয়।
এ ঘটনায় ওই বছরের ৯ ডিসেম্বর বৈষম্যবিরোধী ছাত্র আন্দোলন নড়াইল জেলা শাখার মুখ্য সংগঠক কাজি ইয়াজুর রহমান বাবু বাদী হয়ে ২৯৫ জনের নাম উল্লেখসহ অজ্ঞাত আরো সাড়ে ৩০০ থেকে ৩৫০ জনকে আসামি করে লোহাগড়া থানায় মামলা দায়ের করেন। মামলায় ১৯ নম্বর আসামি করা হয় আশরাফুল আলমকে।
ঢাকা/শরিফুল/রাজীব
চর্যাগানের সুরে আদি সংস্কৃতির দ্যোতনা