ফাঁস হওয়া ডেটাবেইজে ৪ কোটি ৮০ লাখ জিমেইল পাসওয়ার্ড

নতুন বছরে সাইবার নিরাপত্তা নিয়ে উদ্বেগ আরও বাড়ল। সম্প্রতি অনলাইনে উন্মুক্ত এক ডেটাবেইজে জিমেইলের প্রায় ৪ কোটি ৮০ লাখ ব্যবহারকারীর ইউজারনেম ও পাসওয়ার্ডসহ মোট ১৪ কোটির বেশি লগইন তথ্য পাওয়া গেছে। এতে ফেইসবুক, ইনস্টাগ্রাম, নেটফ্লিক্স ও ইয়াহুর মতো প্লাটফর্মের তথ্যও রয়েছে।

এই ডেটাবেজটি খুঁজে পায়েছেন সাইবার নিরাপত্তা গবেষক জেরেমিয়া ফাউলার। তিনি বলছেন, ডেটাবেইজটিতে মোট ১৪ কোটি ৯৪ লাখ ৪ হাজার ৭৫৪টি ইউনিক লগইন ও পাসওয়ার্ড ছিল। ফাউলার বলেন, “এই ডেটাবেইজে কোনো পাসওয়ার্ড সুরক্ষা বা এনক্রিপশন ছিল না। এতে প্রায় ৯৬ জিবি আকারের ক্রেডেনশিয়াল ডেটা ছিল।”

ফাউলারের দেওয়া তথ্য অনুযায়ী, সবচেয়ে বেশি ক্ষতিগ্রস্ত প্লাটফর্মগুলোর তালিকা শীর্ষে রয়েছে জিমেইল। সেখানে প্রায় ৪ কোটি ৮০ লাখ অ্যাকাউন্টের তথ্য পাওয়া গেছে। এরপর রয়েছে ফেইসবুকের প্রায় ১ কোটি ৭০ লাখ, ইনস্টাগ্রামের ৬৫ লাখ, ইয়াহুর ৪০ লাখ, নেটফ্লিক্সের ৩৪ লাখ এবং আউটলুকের ১৫ লাখ অ্যাকাউন্টের তথ্য।

ভালো খবর হলো, এই ডেটাবেইজ এখন আর অনলাইনে নেই। তবে সেটি সরাতে ফাউলারের এক মাসেরও বেশি সময় লেগেছে। এ সময়ের মধ্যে কতটা ক্ষতি হয়েছে, তা নির্দিষ্ট করে বলা কঠিন।

এ নিয়ে সাইটিডেলের সিইও ম্যাট কনলন বলেন, “দুরভিসন্ধিমূলক উদ্দেশ্য থাকা যে কারো জন্য এটি এক ধরনের গুপ্তধনের মতো। সাম্প্রতিক বছরগুলোতে ইনফোস্টিলার ম্যালওয়্যারের ব্যবহার অনেক বেড়েছে। এই ঘটনা স্পষ্ট করে দিয়েছে যে, সমস্যাটি কতটা বিস্তৃত।”

ব্ল্যাক ডাকের সিনিয়র সিকিউরিটি ইঞ্জিনিয়ার বোরিস সিপোট বলেন, “ডেটাবেইজটি সরানোর আগে কতটা তথ্য ফাঁস হয়েছে, তা জানার কোনো উপায় নেই। এতে সরকারি, ব্যাংকিং ও স্ট্রিমিং সেবার লগইন তথ্যও ছিল। তাই এটি ছিল সাইবার অপরাধীদের জন্য খুব মূল্যবান লক্ষ্য।”

ফাউলার ধারণা করেন এই তথ্য সংগ্রহ করেছে ‘ইনফোস্টিলার’ বা ‘কি লগার’ ধরনের ম্যালওয়্যার, যা ব্যবহারকারীর ডিভাইসে ঢুকে টাইপ করা তথ্য রেকর্ড করে।

এপিআইকনটেক্সটের সিইও মায়ুর উপাধ্যায় বলেন, “এই ঘটনা মনে করিয়ে দেয়, শুধু তথ্য চুরি হলেই ঝুঁকি শেষ হয় না। একই পাসওয়ার্ড বারবার ব্যবহার করলে বিপদ আরও বাড়ে। একবার লগইন তথ্য ফাঁস হলে সেগুলো দিয়ে অন্য সেবায় স্বয়ংক্রিয়ভাবে ঢোকার চেষ্টা চালানো হয়, যাকে বলা হয় ক্রেডেনশিয়াল স্টাফিং।”

ভোক্তা প্রাইভেসি নিয়ে কাজ করা পিক্সেল প্রাইভেসির ক্রিস হক বলেন, “এত বড় আকারে ক্রেডেনশিয়াল ফাঁস ব্যবহারকারীদের জন্য বড় ঝুঁকি তৈরি করে, বিশেষ করে যারা জানেনই না যে, তাদের তথ্য কোথাও ছড়িয়ে পড়েছে।” তিনি ব্যবহারকারীদের HaveIBeenPwned ওয়েবসাইটে গিয়ে ইমেইল ঠিকানা দিয়ে আগের কোনো ডেটা লিকে তথ্য ছিল কি না, তা যাচাই করার পরামর্শ দিয়েছেন।

এ বিষয়ে গুগল বলেছে, তারা বিষয়টি সম্পর্কে অবগত। গুগলের একজন মুখপাত্র বলেন, “এই ডেটাসেটটি মূলত ইনফোস্টিলার ম্যালওয়্যারের মাধ্যমে ব্যক্তিগত ডিভাইস থেকে সংগ্রহ করা তথ্যের সমষ্টি। আমরা এ ধরনের কার্যক্রম নিয়মিত নজরদারিতে রাখি। কোনো অ্যাকাউন্টের তথ্য ফাঁস শনাক্ত হলে স্বয়ংক্রিয়ভাবে সেটি লক করি এবং পাসওয়ার্ড রিসেট করতে বাধ্য করি।”

ফোর্বস ম্যাগাজিনের ওয়েবসাইটে প্রকাশিত প্রতিবেদন বলছে, এটি নতুন কোনো একক ডেটা ব্রিচ নয়। বরং আগের বিভিন্ন সময় ফাঁস হওয়া তথ্য এক জায়গায় জড়ো করে তৈরি করা একটি বড় ডেটাবেইজ।

বিশেষজ্ঞরা ব্যবহারকারীদের আতঙ্কিত না হয়ে দ্রুত পাসওয়ার্ড পরিবর্তন, প্রতিটি সেবার জন্য আলাদা পাসওয়ার্ড ব্যবহার এবং সম্ভব হলে গুগলের পাসকি ফিচার চালুর পরামর্শ দিয়েছেন। এতে ভবিষ্যতে এমন ঝুঁকি অনেকটাই কমানো সম্ভব।