টুইটারের অনুসন্ধানের সঙ্গে দ্বিমত পোষণ করেছে সর্বপ্রথম এই খবর প্রকাশ করা ইসরাইলভিত্তিক সাইবার নিরাপত্তা কোম্পানি ‘হাডসন রক’।
Published : 13 Jan 2023, 03:00 PM
নিজস্ব প্ল্যাটফর্মের লাখ লাখ ব্যবহারকারীর ইমেইল ফাঁস হওয়ার অভিযোগ পুরোপুরি নাকচ করেছে টুইটার।
এই বিষয়ে নিজেদের প্রথম বিবৃতিতে সামাজিক প্ল্যাটফর্মটি লিখেছে, এইসব ডেটা প্ল্যাটফর্মের সিস্টেম থেকে বেহাত হয়েছে, ‘এর কোনো প্রমাণ মেলেনি’। বরং এগুলো সম্ভবত ‘এরইমধ্যে সর্বজনীনভাবে অনলাইনে থাকা’ একটি ডেটা সংগ্রহ। তবে, বিভিন্ন জাল ইমেইল সম্পর্কে ব্যবহারকারীদের সতর্ক থাকতে বলেছে টুইটার।
টুইটারের অনুসন্ধানের সঙ্গে দ্বিমত পোষণ করেছে সর্বপ্রথম এই খবর প্রকাশ করা ইসরাইলভিত্তিক সাইবার নিরাপত্তা কোম্পানি ‘হাডসন রক’।
“আমি সকল নিরপত্তা গবেষককে অনুরোধ করছি, তারা যেন এইসব ফাঁস করা ডেটা গভীরভাবে পরীক্ষা করে টুইটারের এই উপসংহার নাকচ করে যে এগুলো তাদের নিজস্ব সার্ভার থেকে ফাঁস হয়নি।” --বলেন হাডসন রকের সহ-প্রতিষ্ঠাতা অ্যালন গাল।
বাগ বাউন্টি
ডিসেম্বরে ইউরোপীয় ইউনিয়নে টুইটারের মূল নিয়ন্ত্রক সংস্থা আয়ারল্যান্ডের ‘ডেটা প্রোটেকশন কমিশন (ডিপিসি)’ ঘোষণা দেয়, তারা ৫৪ লাখ অ্যাকাউন্টের ডেটা ফাঁস সম্পর্কিত এক তদন্ত কার্যক্রম চালাচ্ছে।
টুইটার বলছে, ২০২১ সালের জুনে সিস্টেম আপডেটের সময় ঘটিত নিরাপত্তা ‘ত্রুটির’ কারণে ফাঁস হওয়া ডেটার সঙ্গে তারা এগুলো মিলিয়ে দেখেছে।
এই ত্রুটির মানে টুইটার বলছে, কেউ একটি ইমেইল ঠিকানা বা ফোন নম্বর হাতিয়ে নিলে এই ত্রুটিপূর্ণ সিস্টেম ব্যবহার করে টুইটারের যে কোনো অ্যাকাউন্টে সংযোগ ঘটানো যাবে।
টুইটার বলছে, ২০২২ সালের জানুয়ারিতে এই ত্রুটি নিয়ে সতর্কবার্তা পাওয়ার পর তারা তদন্ত করে এর সমাধান করেছে। এর জন্য তারা ‘বাগ বাউন্টি’ নামে একটি পরিকল্পনা তৈরি করে, যেখানে বিভিন্ন নিরাপত্তাজনিত সমস্যা সম্পর্কে সতর্কবার্তা দিলে গবেষকদের পুরস্কৃত করা হয়।
হ্যাকার ফোরামের ‘চাঁদাবাজি’
ডিসেম্বরে হাডসন রক জানায়, ‘রিউশি’ নামে পরিচিত এক হ্যাকার এর চেয়েও বড় ফাঁসের হুমকি দিয়ে টুইটারের কাছ থেকে অর্থ হাতিয়ে নিতে চেয়েছিলেন।
রিউশি দাবি করেন, তার কাছে ৪০ কোটি ব্যবহারকারীর অ্যাকাউন্টের সঙ্গে সম্পৃক্ত ইমেইল ও ফোন নম্বরের বড় এক সংগ্রহ রয়েছে। আর তিনি এগুলো বিশেষভাবে টুইটারের কাছে ‘বিক্রি’ করতে চান।
তিনি আরও বলেন, টুইটারের সিস্টেমে ঘটিত ত্রুটি থেকে তিনি এইসব তথ্য হাতিয়ে নিয়েছেন।
এই চাঁদাবাজির হুমকির বিষয়টি প্রকাশ্যে আসার পর ‘ডিপিসি’ বলেছে, ‘নিরাপত্তা ত্রুটি সম্পর্কিত ডেটা সুরক্ষা আইন টুইটার কতোটা মেনে চলেছে, ওই বিষয়টি তারা পরীক্ষা করবে’।
ফের ফাঁস
গত সপ্তাহে ২০ কোটি ব্যবহারকারীর অ্যাকাউন্ট সম্পর্কিত ইমেইল ফাঁসের দাবি করেন আরেক হ্যাকার। আর ছোট একটি আর্থিক ফি’র বিনিময়ে এগুলো যে কারও কাছেই ‘বিক্রির জন্য উন্মুক্ত’ বলে উঠে এসেছে বিবিসি’র প্রতিবেদনে।
টুইটার বলছে, দুটো ক্ষেত্রেই একই ডেটাসেট ব্যবহৃত হয়েছে। তবে, এগুলোর কোনোটাই টুইটারের সিস্টেমের ত্রুটি ব্যবহার করে ফাঁস হয়নি।
“বিভিন্ন তথ্যের ওপর ভিত্তি করে সমস্যাটি তদন্ত করতে গিয়ে ইনটেল বিশ্লেষণ করে দেখে, অনলাইনে বিক্রি হওয়া ডেটা যে টুইটারের সিস্টেমের দুর্বলতাকে কাজে লাগিয়ে হাতিয়ে নেওয়া হয়েছে, এমন কোন প্রমাণ মেলেনি।” --বলেছে টুইটার।
“এইসব ডেটা সম্ভবত বিভিন্ন উৎসের মাধ্যমে অনলাইনে পাওয়া সর্বজনীন ডেটার সংগ্রহ।”
ফাঁস করা ইমেইল ঠিকানাগুলো আসল কি না, বা এগুলো ব্যবহারকারীর অ্যাকাউন্টের সঠিকভাবে মিলে যায় কি না, ওই বিষয়ে টুইটার কিছু বলেনি।
এর আগে প্রযুক্তিবিষয়ক সাইট ব্লিপিং কম্পিউটারের প্রতিবেদনে উঠে আসে, তারা কিছু সংখ্যক ইমেইল ঠিকানা যাচাই করে খুঁজে সিদ্ধান্তে এসেছে, এগুলো আসল।
এইসব ফাঁস হওয়া ডেটা নিয়ে ব্যবহারকারীদের ‘বাড়তিভাবে সতর্ক’ থাকতে বলেছে টুইটার। কোম্পানিটি আরও বলেছে, এগুলো ‘খুবই কার্যকর’ জাল ফিশিং মেইল তৈরির উদ্দেশ্যে ব্যবহৃত হতে পারে।
শীর্ষস্থানীয় সামাজিক প্ল্যাটফর্মটি আরও যোগ করে, এর সঙ্গে প্রাসঙ্গিক বিভিন্ন ডেটা সুরক্ষা কর্তৃপক্ষকে তারা নিজেদের অনুসন্ধান সম্পর্কে জানিয়েছে।