ই-কমার্স সাইট থেকে ক্রেডিট কার্ডের তথ্য চুরি করছে ভুয়া ওয়ার্ডপ্রেস প্লাগইন
ওয়েবসাইট তৈরির অন্যতম জনপ্রিয় মুক্ত কনটেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস) ওয়ার্ডপ্রেস। ওয়ার্ডপ্রেসের মাধ্যমে কোনো ধরনের প্রোগ্রামিং জ্ঞান ছাড়াই সহজে ওয়েবসাইট তৈরি করা যায়। বর্তমানে বিশ্বের প্রায় অর্ধেক ওয়েবসাইটই ওয়ার্ডপ্রেসের মাধ্যমে তৈরি করা হয়েছে, যার মধ্যে বিভিন্ন ই-কমার্স সাইটও রয়েছে। আর তাই ভুয়া প্লাগইনের মাধ্যমে ওয়ার্ডপ্রেসে তৈরি ই-কমার্স সাইটগুলো থেকে ব্যবহারকারীদের ক্রেডিট কার্ডের তথ্য চুরি করতে সাইবার হামলা চালাচ্ছে একদল হ্যাকার। ওয়েবসাইটের নিরাপত্তা নিয়ে কাজ করা প্রতিষ্ঠান সুকুরি এ তথ্য জানিয়েছে।
সুকুরির তথ্যমতে, ই-কমার্স ওয়েবসাইট লক্ষ্য করে এই সাইবার হামলা চালানো হচ্ছে। এ জন্য প্রথমে ভুয়া ওয়ার্ডপ্রেস প্লাগইনের মাধ্যমে ই-কমার্স ওয়েবসাইটে নকল প্রশাসক (অ্যাডমিনিস্ট্রেটর) আইডি তৈরি করে ক্ষতিকর জাভাস্ক্রিপ্ট কোড যুক্ত করে হ্যাকাররা। ক্ষতিকর কোডটি ই-কমার্স সাইটে থাকা ব্যবহারকারীদের ক্রেডিট কার্ডের তথ্য চুরি করে দূরে থাকা হ্যাকারদের কাছে পাঠাতে পারে।
জানা গেছে, ভুয়া অ্যাডমিন ইউজার তৈরির মাধ্যমে অথবা নিরাপত্তা ত্রুটি ভেদ করে ভুয়া প্লাগইনটি ওয়েবসাইটে ইনস্টল করা হয়। ইনস্টল হওয়ার পর ভুয়া প্লাগইনটি এমইউ প্লাগইন (মাস্ট ইউজ প্লাগইন) হিসেবে দেখা যায়। এমইউ প্লাগইন হওয়ায় এটি স্বয়ংক্রিয়ভাবেই সক্রিয় থাকে। এমনকি এই প্লাগইনের মাধ্যমে ই-কমার্স ওয়েবসাইটের চেকআউট পেজে ম্যালওয়্যার যুক্ত করা সম্ভব।
এ বিষয়ে নিরাপত্তা গবেষক বেন মার্টিন বলেন, ক্ষতিকর এবং ভুয়া ওয়ার্ডপ্রেস প্লাগইনের পরিচিতি বিষয়ে মিথ্যা তথ্য দেওয়া থাকে। এর ফলে ক্ষতিকর প্লাগইনটিকে ওয়ার্ডপ্রেস ক্যাশ অ্যাডওন্স ভেবে ভুল করেন অনেকেই। ওয়েবসাইটের অ্যাডমিন প্যানেলে ক্ষতিকর প্লাগইনটি দেখাও যায় না। এর ফলে ভুয়া প্লাগইনের উপস্থিতি সহজে শনাক্ত করা সম্ভব হয় না।
সূত্র: দ্য হাকার নিউজ