পেইপালের সুরক্ষা ত্রুটি সংশোধন

 

পেইপাল তাদের গ্রাহকের অ্যাকাউন্ট রক্ষা করার জন্য যে বৃত্তাকার পদ্ধতি অবলম্বন করে থাকে সেখানে খুব সহজেই একটি নিরাপত্তা ত্রুটি খুজে পেয়েছেন হগার্ড। ওয়েব ব্রাউজারের প্রধান সার্ভার থেকে পেইপালের কিছু ডেটা সরিয়ে ফেলতে সক্ষম হন তিনি। এর ফলে তিনি প্রতিষ্ঠানের দুই ধাপের পরিচয় শনাক্তকারী পদ্ধতি ভেদ করে মূল সার্ভারে প্রবেশ করতে সমর্থ হন, জানিয়েছে বিবিসি।

এই দুই ধাপের পরিচয় শনাক্তকারী পদ্ধতিটি গ্রাহকের অ্যাকাউন্টকে অধিক নিরাপত্তা প্রদানের লক্ষ্যে প্রবেশকারীর পরিচয় নিশ্চিত করতো। যদিও পেইপাল-এর পক্ষ থেকে জানানো হয়েছে অভিযোগ পাওয়ার পরপরই নিরাপত্তা ত্রুটিটি সারিয়ে ফেলা হয়েছে।

একটি ব্লগপোস্টে হগার্ড বলেন, সম্প্রতি এক ভ্রমণের সময় যখন তার পেইপাল ব্যবহারের দরকার ছিল এবং তার মোবাইল ফোনে নেটওয়ার্ক ছিল, তখন তিনি এই নিরাপত্তা ত্রুটি আবিষ্কার করেন।

নেটওয়ার্ক না থাকায় পেইপাল তার মোবাইল ফোনে নিশ্চিতকরণ বার্তা পাঠাতে পারছিল না, যার মাধ্যমে দুই স্তরের পরিচয় নিশ্চিতকরণ পদ্ধতিটি কাজ করে। এমন পরিস্থিতিতে প্রতিষ্ঠানটি পরিচয় নিশ্চিত করার জন্য গ্রাহককে একটি নিরাপত্তা প্রশ্নের সঠিক উত্তর প্রদান করতে বলে, যা প্রথমবার অ্যাকাউন্ট খোলার সময় প্রদান করা হয়েছিল।

হগার্ড সেই প্রশ্নের উত্তরও মনে করতে পারছিলেন না। ফলে তিনি একটি প্রক্সি ব্যবহার করে তার ল্যাপটপ থেকে পেইপালের সার্ভারে ক্ষণস্থায়ী পরিচয় নিশ্চিতকরণ তথ্যটি প্রেরণ করেন। প্রক্সি তিনি এমনভাবে ব্যবহার করেন যাতে তথ্য এমনভাবে পরিবর্তন হয় যে, পেইপালের সার্ভার মনে করে তিনি প্রশ্নের সঠিক উত্তর দিয়েছেন। তিনি মাত্র পাঁচ মিনিটে প্রক্রিয়াটি সম্পন্ন করেন বলেও জানানো হয়।

৩ অক্টোবর প্রতিষ্ঠানের কাছে এই নিরাপত্তা ত্রুটিটি নিয়ে অভিযোগ জানানো হয় এবং তার তিন দিনের মাথায় তা সারিয়ে ফেলা হয়।

এক বিবৃতিতে পেইপাল-এর পক্ষ থেকে বলা হয়, “আমরা খুব দ্রুত সমস্যার সমাধান খুঁজে বের করতে পেরেছি। আমাদের কাছে পেইপাল প্রভাবিত হয় এমন কোনো তথ্য নেই। পেইপাল তার গ্রাহকদের ডেটা, অর্থ এবং অ্যাকাউন্ট সম্পর্কিত তথ্যের নিরাপত্তার বিষয়ে সব সময় সর্বোচ্চ সচেতনতা বজায় রাখে।”

নিরাপত্তা গবেষক ট্রয় হান্ট বলেন, “এই দূর্ঘটনাটি একটি সতর্কীকরণ বার্তা ছিল যে, বৃহৎ প্রতিষ্ঠানগুলোও ছোট ভুল থেকে বড় বিপদে পড়তে পারে।”

Leave a Reply

Your email address will not be published. Required fields are marked *