লিংকডইন বাগ ফাঁস করছিলাে গ্রাহকতথ্য



নীরবেই গ্রাহকের ব্যক্তিগত তথ্যচুরির সুযোগ করে দিচ্ছিলো লিংকডইনের অটোফিলস প্লাগইনটি।

আইরিন সুলতানাবিডিনিউজ টোয়েন্টিফোর ডটকম
Published : 22 April 2018, 01:04 PM
Updated : 22 April 2018, 01:28 PM

খুঁতযুক্ত এই অটোফিলস প্লাগইনটি ব্যাপক ব্যবহার করা হয়। এর মাধ্যমে অনুমোদিত কোনো ওয়েবসাইটে লিংকডইনের সদস্যদের প্রোফাইলের নাম, ইমেইল ঠিকানা, স্থান এবং তাদের কর্মক্ষেত্রের মত মৌলিক তথ্যগুলো স্বয়ংক্রিয়ভাবে পূরণ হয়ে যেতো।

সাইটে প্রবেশে অথবা ইমেইলে নিউজলেটার সাবস্ক্রাইব করতে দ্রুত লগইনে এই প্লাগইন বেশ জনপ্রিয়।      

সাদা তালিকাভুক্ত ডোমেইনগুলোকেই শুধু এই সুবিধা দেওয়া হয়। আর নতুন ডোমেইনের অনুমোদন করে থাকে লিংকডইনই। 

অ্যালেক্সা র‌্যাংকিংয়ে শীর্ষ ১০ হাজার ওয়েবসাইট থেকে কয়েক ডজন সাইটকে সাদা তালিকাভুক্ত করেছে লিংকডইন। এর মাঝে টুইটার, মাইক্রোসফট, লিংকডইন এবং আরো অনেক সাইট রয়েছে।

প্রযুক্তি সাইট জেডডিনেটের প্রতিবেদনে সংশয় প্রকাশ করা হয় যে, তালিকায় থাকা ওয়েবসাইটগুলোর যে কোনোটিই কোনো রকম অনুমতি ছাড়াই গ্রাহকের ব্যক্তিগত তথ্য দেখতে পারে।

তালিকার কোনো সাইটে ক্রস-সাইট-স্ক্রিপ্টিং (এক্সএসএস) ক্রুটি থাকলে এর মাধ্যমে  হ্যাকার বা আক্রমণকারী ক্ষতিকারক কোড চালাতে পারবে।

শুধু তাই নয়, আক্রমণকারী  ‘পিগি-ব্যাক’ পদ্ধতিতে ওই সাদা তালিকা ব্যবহার করে লিংকডইনের গ্রাহক তথ্য পেয়ে যেতে পারে।

তালিকার কেউ না কেউ এই তথ্য চুরির কাজটি করেছে, বলা হয় প্রতিবেদনটিতে।     

অটোফিল বাগের ত্রুটি নিয়ে বৃহস্পতিবার এক বক্তব্যে জ্যাক কেবল বলেন, “ওয়েবসাইটের পাতার যে কোনো জায়গায় ক্লিক করলেই গ্রাহকের তথ্য অনিচ্ছা স্বত্ত্বেও প্রকাশ হয়ে যেতে পারে।” জ্যাক প্রথম এই বাগের খোঁজ পান।

লিংকডইন এই বাগ সারানোর পদক্ষেপ না নিলে এবং বাগের কারণে সাদা তালিকায় থাকা সাইটগুলোর ঝুঁকি নিয়ে জ্যাক কেবলের ইমেইলে সাড়া না দেওয়ায় জেডডিনেটের সাথে যোগাযোগ করেন তিনি।

ত্রুটিটি ধরিয়ে দিতে তিনি একটি প্রুফ-অব-কনসেপ্ট কোডও তৈরি করেন।

এদিকে জ্যাক কেবল এই খুঁতটি  প্রকাশ করে দেওয়ার পর লিংকডইনের পক্ষ থেকে জানানো হয়, বাগটি সারানো হয়েছে।

সাইটের নাম গোপন রেখে তিনি জানান, একটি সাইটের এক্সএসএস ত্রুটি তাকে নীরবেই প্রুফ-অব-কনসেপ্ট কোড চালানোর সুযোগ করে দেয়। কোডটি তিনি নিজের সার্ভার থেকেই চালাতে পারেন।

এরপর একটি পেইজ সামনে আসে যেখানে লেখা ছিল: “এই পেইজের যে কোনো জায়গায় ক্লিক করুন।” ব্যবহারকারীর তথ্য নেওয়ার সময়ই ওই রকম বার্তা দেওয়া হয়।

এক্সএসএসের এই ত্রুটির কারণে তথ্য চলে যেতে পারে ক্ষতিকারক কারো সার্ভারে।

আশংকা প্রকাশ করে কেবল বলেন, “কোনো রকম গোপনীয়তা ছাড়াই এভাবে গ্রাহকের তথ্য প্রকাশ হয়ে যাচ্ছে।”

“ধরা যাক, আমি প্রাইভেসি সেটিংয়ে আমার নামের শেষ অংশ অথবা ইমেইল অ্যাড্রেস প্রদর্শন বন্ধ করি এবং একটি স্থানের নাম দেই। এরপরও আমার পূর্ণ নাম, ইমেইল অ্যাড্রেস ও জিপ কোড দেখা যাবে।”

এই বিষয়ে লিংকডইন মুখপত্র বলেন, “অবগত হওয়ার সঙ্গে সঙ্গেই আমরা এই ফিচারের অননুমোদিত ব্যবহার বন্ধ করি।”

“আমরা সদস্যদের তথ্য নিরাপত্তা নিশ্চিতে সবসময় কাজ করে চলেছি। তার (জ্যাক কেবলের) দায়িত্ববোধকে আমরা মূল্যায়ন করি। আমাদের নিরাপত্তা দল তার সাথে যোগাযোগ রক্ষা করবে।”

আরও খবর-

তৌফিক ইমরোজ খালিদী
প্রধান সম্পাদক ও প্রকাশক