গাড়ি নির্মাতার অনলাইন পোর্টালে বড় নিরাপত্তা ত্রুটি, দূর থেকে আনলক করা যায় গাড়ি
Published: 17th, August 2025 GMT
একটি বহুল পরিচিত গাড়ি নির্মাতা প্রতিষ্ঠানের অনলাইন ডিলারশিপ পোর্টালে বড় ধরনের নিরাপত্তা ত্রুটি খুঁজে পেয়েছেন এক সাইবার নিরাপত্তা গবেষক। এই ত্রুটি কাজে লাগিয়ে বিশ্বের যেকোনো প্রান্ত থেকে গ্রাহকের গাড়ি দূরবর্তীভাবে আনলক করা সম্ভব। একই সঙ্গে গ্রাহকের ব্যক্তিগত, আর্থিক ও যানবাহন–সংক্রান্ত তথ্যও পাওয়া যায়।
সফটওয়্যার প্রতিষ্ঠান হারনেসের নিরাপত্তা গবেষক ইটন জভিয়ার টেকক্রাঞ্চকে দেওয়া এক সাক্ষাৎকারে জানান, তিনি পোর্টালের ত্রুটি কাজে লাগিয়ে একটি ‘ন্যাশনাল অ্যাডমিন’ অ্যাকাউন্ট তৈরি করেন। এই অ্যাকাউন্টের মাধ্যমে গাড়ি নির্মাতা প্রতিষ্ঠানের কেন্দ্রীয় ওয়েব পোর্টালে কার্যত সীমাহীনভাবে প্রবেশ করা যায়। ফলে দূর থেকে গাড়ির অবস্থান শনাক্ত করা, নির্দিষ্ট ফিচার সক্রিয় করা এবং মোবাইল অ্যাপের মাধ্যমে নিয়ন্ত্রণের মতো সুবিধাকে হ্যাকাররাও কাজে লাগাতে পারেন। জভিয়ার বলেন, তিনি প্রতিষ্ঠানের নাম প্রকাশ করবেন না, তবে এটি বিশ্বের সুপরিচিত গাড়ি নির্মাতাদের একটি, যার অধীনে রয়েছে একাধিক জনপ্রিয় ব্র্যান্ড। তাঁর ভাষায়, ডিলারশিপ সিস্টেমে কর্মী ও সহযোগীদের ব্যাপক প্রবেশাধিকার থাকায় নিরাপত্তা ত্রুটি দেখা দিলে তা ব্যাপক ক্ষতির কারণ হতে পারে।
এর আগেও বিভিন্ন গাড়ি নির্মাতার গ্রাহকসেবা ও যানবাহন ব্যবস্থাপনা সিস্টেমে ত্রুটি খুঁজে বের করেছেন জভিয়ার। এবারে ব্যক্তিগতভাবে করা এক প্রকল্পে এ ত্রুটি শনাক্ত করেন। জটিল এই লগইন ত্রুটি চিহ্নিত করার পর তিনি সরাসরি নিরাপত্তাব্যবস্থা পাশ কাটিয়ে একটি অ্যাডমিন অ্যাকাউন্ট তৈরি করেন। লগইন পেজ খোলার সময় ব্যবহারকারীর ব্রাউজারে ত্রুটিপূর্ণ কোড লোড হওয়ায় এ ত্রুটি দেখা যায়। সেই কোড পরিবর্তন করে নিরাপত্তা যাচাই এড়িয়ে যাওয়া সম্ভব। কোম্পানিটি জানিয়েছে, এর আগে এই ত্রুটি কেউ কাজে লাগিয়েছে এমন কোনো প্রমাণ তারা পায়নি।
জভিয়ারের তৈরি অ্যাডমিন অ্যাকাউন্ট দিয়ে যুক্তরাষ্ট্রজুড়ে এক হাজারের বেশি ডিলারের সিস্টেমে প্রবেশ করা যায়। “এসব ডিলারের আর্থিক নথি, গ্রাহকের ব্যক্তিগত তথ্য, যোগাযোগের ঠিকানা—সবই দেখতে পারবেন, অথচ কেউ টেরও পাবে না,” বলেন জভিয়ার। তিনি আরও জানান, পোর্টালে থাকা একটি ‘ন্যাশনাল কনজিউমার লুকআপ’ টুল ব্যবহার করে শুধু গ্রাহকের নাম বা গাড়ির ভেহিকেল আইডেন্টিফিকেশন নম্বর দিয়েই মালিকের পরিচয় বের করা যায়। তিনি একটি পার্কিং লটে রাখা গাড়ির উইন্ডশিল্ড থেকে ভেহিকেল আইডেন্টিফিকেশন নম্বর সংগ্রহ করে মালিকের তথ্য বের করেন। পোর্টালের মাধ্যমে যেকোনো গাড়িকে মোবাইল অ্যাকাউন্টের সঙ্গে যুক্ত করা যায়। এতে অ্যাপ ব্যবহার করে দূর থেকে গাড়ি আনলক করার মতো ফিচার নিয়ন্ত্রণ করা যায়। পরীক্ষামূলকভাবে জভিয়ার এক বন্ধুর অনুমতি নিয়ে তাঁর গাড়ির মালিকানা নিজের অ্যাকাউন্টে স্থানান্তর করেন।
এ ছাড়া পোর্টালে থাকা ‘সিঙ্গেল সাইন-অন’ সুবিধা ব্যবহার করে একই লগইন তথ্য দিয়ে একাধিক সিস্টেমে প্রবেশ করা যায়। অ্যাডমিন হিসেবে অন্য ব্যবহারকারীর পরিচয়ে লগইন করার সুযোগও পাওয়া যায়। পোর্টাল থেকে গ্রাহকের ব্যক্তিগত ও আর্থিক তথ্য ছাড়াও গাড়ির রিয়েলটাইম লোকেশন ট্র্যাকিং সিস্টেম এবং গাড়ি পরিবহন বাতিলের অপশনও অ্যাক্সেস করা যায়। যদিও তিনি এসব ফিচার ব্যবহার করেননি।
সূত্র: টেকক্রাঞ্চ
.উৎস: Prothomalo
কীওয়ার্ড: ব যবহ র কর অ য ক উন ট গ র হক র প রব শ
এছাড়াও পড়ুন:
গাড়ি নির্মাতার অনলাইন পোর্টালে বড় নিরাপত্তা ত্রুটি, দূর থেকে আনলক করা যায় গাড়ি
একটি বহুল পরিচিত গাড়ি নির্মাতা প্রতিষ্ঠানের অনলাইন ডিলারশিপ পোর্টালে বড় ধরনের নিরাপত্তা ত্রুটি খুঁজে পেয়েছেন এক সাইবার নিরাপত্তা গবেষক। এই ত্রুটি কাজে লাগিয়ে বিশ্বের যেকোনো প্রান্ত থেকে গ্রাহকের গাড়ি দূরবর্তীভাবে আনলক করা সম্ভব। একই সঙ্গে গ্রাহকের ব্যক্তিগত, আর্থিক ও যানবাহন–সংক্রান্ত তথ্যও পাওয়া যায়।
সফটওয়্যার প্রতিষ্ঠান হারনেসের নিরাপত্তা গবেষক ইটন জভিয়ার টেকক্রাঞ্চকে দেওয়া এক সাক্ষাৎকারে জানান, তিনি পোর্টালের ত্রুটি কাজে লাগিয়ে একটি ‘ন্যাশনাল অ্যাডমিন’ অ্যাকাউন্ট তৈরি করেন। এই অ্যাকাউন্টের মাধ্যমে গাড়ি নির্মাতা প্রতিষ্ঠানের কেন্দ্রীয় ওয়েব পোর্টালে কার্যত সীমাহীনভাবে প্রবেশ করা যায়। ফলে দূর থেকে গাড়ির অবস্থান শনাক্ত করা, নির্দিষ্ট ফিচার সক্রিয় করা এবং মোবাইল অ্যাপের মাধ্যমে নিয়ন্ত্রণের মতো সুবিধাকে হ্যাকাররাও কাজে লাগাতে পারেন। জভিয়ার বলেন, তিনি প্রতিষ্ঠানের নাম প্রকাশ করবেন না, তবে এটি বিশ্বের সুপরিচিত গাড়ি নির্মাতাদের একটি, যার অধীনে রয়েছে একাধিক জনপ্রিয় ব্র্যান্ড। তাঁর ভাষায়, ডিলারশিপ সিস্টেমে কর্মী ও সহযোগীদের ব্যাপক প্রবেশাধিকার থাকায় নিরাপত্তা ত্রুটি দেখা দিলে তা ব্যাপক ক্ষতির কারণ হতে পারে।
এর আগেও বিভিন্ন গাড়ি নির্মাতার গ্রাহকসেবা ও যানবাহন ব্যবস্থাপনা সিস্টেমে ত্রুটি খুঁজে বের করেছেন জভিয়ার। এবারে ব্যক্তিগতভাবে করা এক প্রকল্পে এ ত্রুটি শনাক্ত করেন। জটিল এই লগইন ত্রুটি চিহ্নিত করার পর তিনি সরাসরি নিরাপত্তাব্যবস্থা পাশ কাটিয়ে একটি অ্যাডমিন অ্যাকাউন্ট তৈরি করেন। লগইন পেজ খোলার সময় ব্যবহারকারীর ব্রাউজারে ত্রুটিপূর্ণ কোড লোড হওয়ায় এ ত্রুটি দেখা যায়। সেই কোড পরিবর্তন করে নিরাপত্তা যাচাই এড়িয়ে যাওয়া সম্ভব। কোম্পানিটি জানিয়েছে, এর আগে এই ত্রুটি কেউ কাজে লাগিয়েছে এমন কোনো প্রমাণ তারা পায়নি।
জভিয়ারের তৈরি অ্যাডমিন অ্যাকাউন্ট দিয়ে যুক্তরাষ্ট্রজুড়ে এক হাজারের বেশি ডিলারের সিস্টেমে প্রবেশ করা যায়। “এসব ডিলারের আর্থিক নথি, গ্রাহকের ব্যক্তিগত তথ্য, যোগাযোগের ঠিকানা—সবই দেখতে পারবেন, অথচ কেউ টেরও পাবে না,” বলেন জভিয়ার। তিনি আরও জানান, পোর্টালে থাকা একটি ‘ন্যাশনাল কনজিউমার লুকআপ’ টুল ব্যবহার করে শুধু গ্রাহকের নাম বা গাড়ির ভেহিকেল আইডেন্টিফিকেশন নম্বর দিয়েই মালিকের পরিচয় বের করা যায়। তিনি একটি পার্কিং লটে রাখা গাড়ির উইন্ডশিল্ড থেকে ভেহিকেল আইডেন্টিফিকেশন নম্বর সংগ্রহ করে মালিকের তথ্য বের করেন। পোর্টালের মাধ্যমে যেকোনো গাড়িকে মোবাইল অ্যাকাউন্টের সঙ্গে যুক্ত করা যায়। এতে অ্যাপ ব্যবহার করে দূর থেকে গাড়ি আনলক করার মতো ফিচার নিয়ন্ত্রণ করা যায়। পরীক্ষামূলকভাবে জভিয়ার এক বন্ধুর অনুমতি নিয়ে তাঁর গাড়ির মালিকানা নিজের অ্যাকাউন্টে স্থানান্তর করেন।
এ ছাড়া পোর্টালে থাকা ‘সিঙ্গেল সাইন-অন’ সুবিধা ব্যবহার করে একই লগইন তথ্য দিয়ে একাধিক সিস্টেমে প্রবেশ করা যায়। অ্যাডমিন হিসেবে অন্য ব্যবহারকারীর পরিচয়ে লগইন করার সুযোগও পাওয়া যায়। পোর্টাল থেকে গ্রাহকের ব্যক্তিগত ও আর্থিক তথ্য ছাড়াও গাড়ির রিয়েলটাইম লোকেশন ট্র্যাকিং সিস্টেম এবং গাড়ি পরিবহন বাতিলের অপশনও অ্যাক্সেস করা যায়। যদিও তিনি এসব ফিচার ব্যবহার করেননি।
সূত্র: টেকক্রাঞ্চ
পুঁজিবাজারে তালিকাভুক্ত কোম্পানির সুশাসন বাড়ে: আনিসুজ্জামান