পেইপাল তাদের গ্রাহকের অ্যাকাউন্ট রক্ষা করার জন্য যে বৃত্তাকার পদ্ধতি অবলম্বন করে থাকে সেখানে খুব সহজেই একটি নিরাপত্তা ত্রুটি খুজে পেয়েছেন হগার্ড। ওয়েব ব্রাউজারের প্রধান সার্ভার থেকে পেইপালের কিছু ডেটা সরিয়ে ফেলতে সক্ষম হন তিনি। এর ফলে তিনি প্রতিষ্ঠানের দুই ধাপের পরিচয় শনাক্তকারী পদ্ধতি ভেদ করে মূল সার্ভারে প্রবেশ করতে সমর্থ হন, জানিয়েছে বিবিসি।
এই দুই ধাপের পরিচয় শনাক্তকারী পদ্ধতিটি গ্রাহকের অ্যাকাউন্টকে অধিক নিরাপত্তা প্রদানের লক্ষ্যে প্রবেশকারীর পরিচয় নিশ্চিত করতো। যদিও পেইপাল-এর পক্ষ থেকে জানানো হয়েছে অভিযোগ পাওয়ার পরপরই নিরাপত্তা ত্রুটিটি সারিয়ে ফেলা হয়েছে।
একটি ব্লগপোস্টে হগার্ড বলেন, সম্প্রতি এক ভ্রমণের সময় যখন তার পেইপাল ব্যবহারের দরকার ছিল এবং তার মোবাইল ফোনে নেটওয়ার্ক ছিল, তখন তিনি এই নিরাপত্তা ত্রুটি আবিষ্কার করেন।
নেটওয়ার্ক না থাকায় পেইপাল তার মোবাইল ফোনে নিশ্চিতকরণ বার্তা পাঠাতে পারছিল না, যার মাধ্যমে দুই স্তরের পরিচয় নিশ্চিতকরণ পদ্ধতিটি কাজ করে। এমন পরিস্থিতিতে প্রতিষ্ঠানটি পরিচয় নিশ্চিত করার জন্য গ্রাহককে একটি নিরাপত্তা প্রশ্নের সঠিক উত্তর প্রদান করতে বলে, যা প্রথমবার অ্যাকাউন্ট খোলার সময় প্রদান করা হয়েছিল।
হগার্ড সেই প্রশ্নের উত্তরও মনে করতে পারছিলেন না। ফলে তিনি একটি প্রক্সি ব্যবহার করে তার ল্যাপটপ থেকে পেইপালের সার্ভারে ক্ষণস্থায়ী পরিচয় নিশ্চিতকরণ তথ্যটি প্রেরণ করেন। প্রক্সি তিনি এমনভাবে ব্যবহার করেন যাতে তথ্য এমনভাবে পরিবর্তন হয় যে, পেইপালের সার্ভার মনে করে তিনি প্রশ্নের সঠিক উত্তর দিয়েছেন। তিনি মাত্র পাঁচ মিনিটে প্রক্রিয়াটি সম্পন্ন করেন বলেও জানানো হয়।
৩ অক্টোবর প্রতিষ্ঠানের কাছে এই নিরাপত্তা ত্রুটিটি নিয়ে অভিযোগ জানানো হয় এবং তার তিন দিনের মাথায় তা সারিয়ে ফেলা হয়।
এক বিবৃতিতে পেইপাল-এর পক্ষ থেকে বলা হয়, “আমরা খুব দ্রুত সমস্যার সমাধান খুঁজে বের করতে পেরেছি। আমাদের কাছে পেইপাল প্রভাবিত হয় এমন কোনো তথ্য নেই। পেইপাল তার গ্রাহকদের ডেটা, অর্থ এবং অ্যাকাউন্ট সম্পর্কিত তথ্যের নিরাপত্তার বিষয়ে সব সময় সর্বোচ্চ সচেতনতা বজায় রাখে।”
নিরাপত্তা গবেষক ট্রয় হান্ট বলেন, “এই দূর্ঘটনাটি একটি সতর্কীকরণ বার্তা ছিল যে, বৃহৎ প্রতিষ্ঠানগুলোও ছোট ভুল থেকে বড় বিপদে পড়তে পারে।”