টেক

কর্মীর পিসিতে ঢুকে পাসওয়ার্ড চুরি করেছিল হ্যাকার: লাস্টপাস

থার্ড পার্টি মিডিয়া সফটওয়্যার প্যাকেজ কাজে লাগিয়ে কোম্পানির এক ডেভেলপারের বাড়ির কম্পিউটারে অনুপ্রবেশ করে হ্যাকার।

প্রযুক্তি ডেস্ক

বিডিনিউজ টোয়েন্টিফোর ডটকম

Published : 28 Feb 2023, 06:15 PM

Updated : 28 Feb 2023, 06:15 PM

Summary

২০২২ সালের নিরাপত্তা লঙ্ঘন সংশ্লিষ্ট ঘটনায় তদন্তের আপডেট প্রকাশ করেছে পাসওয়ার্ড ম্যানেজার লাস্টপাস। ওই হ্যাকিং নিয়ে আগে যে ধারণা তৈরি হয়েছিল, নতুন প্রমাণ বলছে ঘটনা তার চেয়েও ‘গুরুতর’।

এই ঘটনায় জড়িত ত্রুটিপূর্ণ ব্যবস্থা থার্ড পার্টি মিডিয়া সফটওয়্যার প্যাকেজ কাজে লাগিয়ে কোম্পানির এক ডেভেলপারের বাড়ির কম্পিউটারে অনুপ্রবেশ করে হ্যাকার। তারা সফটওয়্যারটিতে একটি ‘কী-লগার’ বসায়, যা তারা লাস্টপাসের ‘কর্পোরেট ভল্টের’ প্রবেশাধিকার থাকা এক অ্যাকাউন্টের ‘মাস্টার পাসওয়ার্ড’ চুরির উদ্দেশ্যে ব্যবহার করেছে।

ভল্টে প্রবেশের পর হ্যাকাররা এর এন্ট্রি ও বিভিন্ন এমন ‘শেয়ার্ড ফোল্ডার’ এক্সপোর্ট করে, যেখানে গ্রাহক ভল্ট ব্যাকআপের পাশাপাশি ক্লাউড-ভিত্তিক ‘অ্যামাজন এস৩ বাকেট’ আনলকের প্রয়োজনীয় ‘ডিক্রিপশন কি’ আছে।

প্রযুক্তিবিষয়ক সাইট এনগ্যাজেটের প্রতিবেদন অনুযায়ী, লাস্টপাসের তদন্তের সর্বশেষ আপডেটে গত বছরের নিরাপত্তা লঙ্ঘনের ঘটনা দুটি কীভাবে সংযুক্ত, তার একটি পরিষ্কার চিত্র ফুটে উঠেছে।

২০২২ সালের অগাস্টে লাস্টপাস প্রকাশ করে, এক ‘অননুমোদিত দল’ তাদের সিস্টেমের প্রবেশাধিকার হাতিয়ে নিয়েছে।

প্রথম ঘটনাটি ১২ অগাস্ট শেষ হয়ে গেলেও কোম্পানি নতুন করে ঘোষণা দেয়, এর ত্রুটিপূর্ণ ব্যবস্থা ২০২২ সালের ১২ অগাস্ট থেকে ২৬ অক্টোবর পর্যন্ত বিস্তৃত এর ক্লাউড স্টোরেজে নতুন সিরিজ আক্রমণের সঙ্গে সক্রিয়ভাবে জড়িত।

কোম্পানিটি পিডিএফ সংস্করণের এক সহায়ক নথিতে এই দুই ঘটনা চলাকালীন ত্রুটিপূর্ণ ব্যবস্থার মাধ্যমে প্রবেশাধিকার পাওয়া ডেটার বিস্তারিত প্রকাশিত হয়। দ্বিতীয় লঙ্ঘনের সময় প্রবেশ করা বিভিন্ন ক্লাউডভিত্তিক ব্যাকআপের মধ্যে ‘এপিআই’র গোপন তথ্য, তৃতীয় পক্ষের একীকরণ ব্যবস্থার গোপন তথ্য, গ্রাহকের মেটাডেটা ও সমস্ত গ্রাহক ভল্ট ডেটার ব্যাকআপ’ অন্তর্ভুক্ত।

কোম্পানি অবশ্য জোর দিয়ে বলেছে, কিছু ব্যতিক্রম বাদে সকল সংবেদনশীল গ্রাহক ভল্ট ডেটাই ‘কেবল প্রতিটি ব্যবহারকারীর মাস্টার পাসওয়ার্ড থেকে প্রাপ্ত বিশেষ ‘এনক্রিপশন কি’র মাধ্যমে ডিক্রিপ্ট করা যেতে পারে।’ কোম্পানি আরও যোগ করে, তারা ব্যবহারকারীর মাস্টার পাসওয়ার্ড সংরক্ষণ করে না।

সামনের দিকে এগিয়ে যেতে নিজেদের নিরাপত্তা ব্যবস্থা জোরদার করার বিভিন্ন পদক্ষেপ সম্পর্কেও বিস্তারিত জানিয়েছে লাস্টপাস। এর মধ্যে আছে নিজেদের হুমকি শনাক্তকরণ ব্যবস্থার সংশোধন ও ‘মানুষ, প্রক্রিয়া ও প্রযুক্তির নিরাপত্তায় নিজেদের বিনিয়োগ বাড়াতে কোটি ডলারের বেশি বরাদ্দের মতো বিষয়গুলো।