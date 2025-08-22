জনপ্রিয় ছয় পাসওয়ার্ড ম্যানেজারে নিরাপত্তাত্রুটির সন্ধান পাওয়া গেছে
সাইবার–জগৎ

সাইবার হামলার ঝুঁকিতে একাধিক পাসওয়ার্ড ম্যানেজার

আহসান হাবীব

সামাজিক যোগাযোগমাধ্যমের পাশাপাশি বিভিন্ন ওয়েবসাইটে প্রবেশের জন্য আলাদা পাসওয়ার্ড ও ইউজার নেম ব্যবহার করতে হয়। প্রতিটি অ্যাকাউন্টের পাসওয়ার্ড আলাদা হওয়ায় পাসওয়ার্ড মনে রাখা অনেক সময় কঠিন হয়ে পড়ে। তবে পাসওয়ার্ড ম্যানেজার অ্যাপ ব্যবহার করে সহজেই এক বা একাধিক পাসওয়ার্ড অনলাইনে রাখা যায়। ফলে কোনো ওয়েবসাইট বা অ্যাপে প্রবেশের জন্য বারবার পাসওয়ার্ড লিখতে হয় না। আর তাই অনেকেই বিভিন্ন প্রতিষ্ঠানের তৈরি পাসওয়ার্ড ম্যানেজার ব্যবহার করেন। কিন্তু জনপ্রিয় ছয়টি পাসওয়ার্ড ম্যানেজারে নিরাপত্তা ত্রুটির সন্ধান পেয়েছেন সাইবার নিরাপত্তা গবেষক মেরেক টোফ। এ ত্রুটির ফলে ব্যবহারকারীদের সংরক্ষণ করা পাসওয়ার্ডসহ লগইন তথ্য, টু-ফ্যাক্টর অথেনটিকেশন কোড এবং ক্রেডিট কার্ডের তথ্য বেহাত হওয়ার আশঙ্কা রয়েছে বলে জানিয়েছেন তিনি।

মেরেক টোফ জানিয়েছেন, ১১টি জনপ্রিয় পাসওয়ার্ড ম্যানেজারের কার্যক্রম যাচাই করে ওয়ান পাসওয়ার্ড, বিটওয়ার্ডেন, এনপাস, আইক্লাউড পাসওয়ার্ডস, লাস্টপাস এবং লগমি ওয়ান্সে নিরাপত্তা ত্রুটি পাওয়া গেছে। ব্যবহারকারী যখন কোনো ক্ষতিকর ওয়েবসাইটে প্রবেশ করেন, তখন এই নিরাপত্তা ত্রুটি কাজে লাগিয়ে গোপনে পাসওয়ার্ড ম্যানেজারের ওপর অদৃশ্য এইচটিএমএল লেয়ার বসিয়ে দিতে পারেন সাইবার অপরাধীরা। এতে ব্যবহারকারীরা ভেবে নেন তাঁরা সাধারণ কোনো বাটনে ক্লিক করছেন। কিন্তু বাস্তবে সেই ক্লিকের কারণে অটোফিল সক্রিয় হয়ে সংবেদনশীল তথ্য ফাঁস হয়ে যায়।

মেরেক টোফের মতে, সাইবার অপরাধীরা মূলত স্ক্রিপ্ট অপাসিটি, ওভারলে বা পয়েন্টার-ইভেন্ট কৌশল ব্যবহার করে পাসওয়ার্ড ম্যানেজারের অটোফিল মেনু আড়াল করে ফেলেন। এরপর ব্যবহারকারীর সামনে কুকি ব্যানার, পপআপ বা ক্যাপচা দেখানো হয়। ব্যবহারকারী এসব ক্লিক করলে অজান্তেই অটোফিল সক্রিয় হয়ে তথ্য ফাঁস হয়ে যায়। এ ধরনের হামলার বিভিন্ন ধরন রয়েছে। যেমন ডম (ডকুমেন্ট অবজেক্ট মডেল) এলিমেন্টের ট্রান্সপারেন্সি বদলানো, মূল অংশ আংশিক বা পুরোটা ঢেকে দেওয়া কিংবা এমন কৌশল ব্যবহার করা, যাতে ইন্টারফেস মাউস কারসরের সঙ্গে আবর্তিত হয়। ফলে ব্যবহারকারী যেখানেই ক্লিক করুন না কেন, অটোফিল চালু হয়ে যায়।

সাইবার হামলার ঝুঁকিতে থাকা পাসওয়ার্ড ম্যানেজারগুলোর কর্তৃপক্ষকে সতর্কও করেছেন মেরেক টোফ। তবে ওয়ান পাসওয়ার্ড কর্তৃপক্ষ বিষয়টিকে সাধারণ ‘তথ্যগত’ ভুল হিসেবে চিহ্নিত করেছে। তাঁদের মতে, ক্লিকজ্যাকিং একটি সাধারণ ওয়েব ঝুঁকি, যা ব্যবহারকারীদেরই সামলাতে হবে। লাস্টপাসও বিষয়টিকে তথ্যগত ভুল বলে উল্লেখ করেছে। বিটওয়ার্ডেন ত্রুটির কথা স্বীকার করলেও দ্রুত সমস্যার সমাধান করে নতুন সংস্করণ উন্মুক্ত করেছে। তবে সাইবার নিরাপত্তা গবেষকেরা জানিয়েছেন, ত্রুটি পুরোপুরি সমাধান না হওয়া পর্যন্ত পাসওয়ার্ড ম্যানেজারের অটোফিল সুবিধা বন্ধ রাখতে হবে এবং প্রয়োজনে কপি-পেস্ট করে তথ্য ব্যবহার করতে হবে।

