খুঁতযুক্ত এই অটোফিলস প্লাগইনটি ব্যাপক ব্যবহার করা হয়। এর মাধ্যমে অনুমোদিত কোনো ওয়েবসাইটে লিংকডইনের সদস্যদের প্রোফাইলের নাম, ইমেইল ঠিকানা, স্থান এবং তাদের কর্মক্ষেত্রের মত মৌলিক তথ্যগুলো স্বয়ংক্রিয়ভাবে পূরণ হয়ে যেতো।
সাইটে প্রবেশে অথবা ইমেইলে নিউজলেটার সাবস্ক্রাইব করতে দ্রুত লগইনে এই প্লাগইন বেশ জনপ্রিয়।
সাদা তালিকাভুক্ত ডোমেইনগুলোকেই শুধু এই সুবিধা দেওয়া হয়। আর নতুন ডোমেইনের অনুমোদন করে থাকে লিংকডইনই।
অ্যালেক্সা র্যাংকিংয়ে শীর্ষ ১০ হাজার ওয়েবসাইট থেকে কয়েক ডজন সাইটকে সাদা তালিকাভুক্ত করেছে লিংকডইন। এর মাঝে টুইটার, মাইক্রোসফট, লিংকডইন এবং আরো অনেক সাইট রয়েছে।
প্রযুক্তি সাইট জেডডিনেটের প্রতিবেদনে সংশয় প্রকাশ করা হয় যে, তালিকায় থাকা ওয়েবসাইটগুলোর যে কোনোটিই কোনো রকম অনুমতি ছাড়াই গ্রাহকের ব্যক্তিগত তথ্য দেখতে পারে।
তালিকার কোনো সাইটে ক্রস-সাইট-স্ক্রিপ্টিং (এক্সএসএস) ক্রুটি থাকলে এর মাধ্যমে হ্যাকার বা আক্রমণকারী ক্ষতিকারক কোড চালাতে পারবে।
শুধু তাই নয়, আক্রমণকারী ‘পিগি-ব্যাক’ পদ্ধতিতে ওই সাদা তালিকা ব্যবহার করে লিংকডইনের গ্রাহক তথ্য পেয়ে যেতে পারে।
তালিকার কেউ না কেউ এই তথ্য চুরির কাজটি করেছে, বলা হয় প্রতিবেদনটিতে।
অটোফিল বাগের ত্রুটি নিয়ে বৃহস্পতিবার এক বক্তব্যে জ্যাক কেবল বলেন, “ওয়েবসাইটের পাতার যে কোনো জায়গায় ক্লিক করলেই গ্রাহকের তথ্য অনিচ্ছা স্বত্ত্বেও প্রকাশ হয়ে যেতে পারে।” জ্যাক প্রথম এই বাগের খোঁজ পান।
লিংকডইন এই বাগ সারানোর পদক্ষেপ না নিলে এবং বাগের কারণে সাদা তালিকায় থাকা সাইটগুলোর ঝুঁকি নিয়ে জ্যাক কেবলের ইমেইলে সাড়া না দেওয়ায় জেডডিনেটের সাথে যোগাযোগ করেন তিনি।
ত্রুটিটি ধরিয়ে দিতে তিনি একটি প্রুফ-অব-কনসেপ্ট কোডও তৈরি করেন।
এদিকে জ্যাক কেবল এই খুঁতটি প্রকাশ করে দেওয়ার পর লিংকডইনের পক্ষ থেকে জানানো হয়, বাগটি সারানো হয়েছে।
সাইটের নাম গোপন রেখে তিনি জানান, একটি সাইটের এক্সএসএস ত্রুটি তাকে নীরবেই প্রুফ-অব-কনসেপ্ট কোড চালানোর সুযোগ করে দেয়। কোডটি তিনি নিজের সার্ভার থেকেই চালাতে পারেন।
এরপর একটি পেইজ সামনে আসে যেখানে লেখা ছিল: “এই পেইজের যে কোনো জায়গায় ক্লিক করুন।” ব্যবহারকারীর তথ্য নেওয়ার সময়ই ওই রকম বার্তা দেওয়া হয়।
এক্সএসএসের এই ত্রুটির কারণে তথ্য চলে যেতে পারে ক্ষতিকারক কারো সার্ভারে।
আশংকা প্রকাশ করে কেবল বলেন, “কোনো রকম গোপনীয়তা ছাড়াই এভাবে গ্রাহকের তথ্য প্রকাশ হয়ে যাচ্ছে।”
“ধরা যাক, আমি প্রাইভেসি সেটিংয়ে আমার নামের শেষ অংশ অথবা ইমেইল অ্যাড্রেস প্রদর্শন বন্ধ করি এবং একটি স্থানের নাম দেই। এরপরও আমার পূর্ণ নাম, ইমেইল অ্যাড্রেস ও জিপ কোড দেখা যাবে।”
এই বিষয়ে লিংকডইন মুখপত্র বলেন, “অবগত হওয়ার সঙ্গে সঙ্গেই আমরা এই ফিচারের অননুমোদিত ব্যবহার বন্ধ করি।”
“আমরা সদস্যদের তথ্য নিরাপত্তা নিশ্চিতে সবসময় কাজ করে চলেছি। তার (জ্যাক কেবলের) দায়িত্ববোধকে আমরা মূল্যায়ন করি। আমাদের নিরাপত্তা দল তার সাথে যোগাযোগ রক্ষা করবে।”
আরও খবর-