মাইক্রোসফটের ওয়ানড্রাইভে ত্রুটি
মাইক্রোসফটের ওয়ানড্রাইভ ফাইল পিকারে একটি নিরাপত্তাত্রুটি ধরা পড়েছে। এ ত্রুটির কারণে কোনো ব্যবহারকারী যদি কোনো অ্যাপের মাধ্যমে কেবল একটি ফাইল প্রকাশের (আপলোড) অনুমতি দেন, তবুও সেই অ্যাপ তার পুরো ক্লাউড স্টোরেজে প্রবেশাধিকার পেতে পারে।
যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান ওএসিস রিসার্চ টিম সম্প্রতি এ ত্রুটি শনাক্ত করে। গবেষকেরা বলছেন, ওয়ানড্রাইভ ফাইল পিকারে ব্যবহৃত ও-অথ অনুমোদনব্যবস্থায় অতিরিক্ত অনুমতি ও অস্পষ্ট সম্মতির বার্তার (কনসেন্ট স্ক্রিন) কারণে ব্যবহারকারীরা বুঝতে পারেন না তাঁরা আসলে কতটা তথ্যের অ্যাকসেস দিচ্ছেন। ফলে ব্যবহারকারীর অজান্তেই তাঁদের ক্লাউডে সংরক্ষিত সব তথ্যের ওপর কোনো তৃতীয় পক্ষের অ্যাপ পূর্ণ নিয়ন্ত্রণ প্রতিষ্ঠা করতে পারে। ওএসিসের দাবি, ওয়ানড্রাইভের সঙ্গে সংযুক্ত জনপ্রিয় অ্যাপগুলোর মধ্যে চ্যাটজিপিটি, স্ল্যাক, ট্রেলো ও ক্লিকআপ এ ঝুঁকির আওতায় রয়েছে।
গবেষকদের মতে, ওয়ানড্রাইভ ফাইল পিকার ব্যবহার করে যখন কোনো অ্যাপের মাধ্যমে একটি ফাইল আপলোড করা হয়, তখন সেটি আসলে পুরো ড্রাইভের ওপর ‘রিড’ অনুমতি চায়। এর পেছনের কারণ হলো ওয়ানড্রাইভে এখনো নির্দিষ্ট ফাইল বা ফোল্ডার বেছে নিয়ে সীমিত অনুমতি দেওয়ার সুবিধা নেই। এ প্রক্রিয়ায় ব্যবহারকারীর সামনে যে সম্মতির বার্তা দেখানো হয়, সেটি অস্পষ্ট ও বিভ্রান্তিকর। এতে ব্যবহারকারীরা মনে করেন, তাঁরা কেবল একটি নির্দিষ্ট ফাইল শেয়ারের অনুমতি দিচ্ছেন; কিন্তু বাস্তবে অ্যাপটি তখন পুরো ক্লাউড স্টোরেজে প্রবেশ করতে পারে।
ওএসিস বলছে, এ ত্রুটি ক্ষতিকর অ্যাপের পাশাপাশি নির্ভরযোগ্য অ্যাপগুলোর ক্ষেত্রেও সমস্যা তৈরি করছে। কারণ, নির্দিষ্ট স্কোপ বা সীমিত অনুমতির ব্যবস্থা না থাকায় অনেক অ্যাপ বাধ্য হয়ে পুরো ড্রাইভের অনুমতি চাইছে, যদিও তাদের প্রয়োজন মাত্র একটি ফাইলের। গবেষকেরা আরও জানিয়েছেন, অনেক অ্যাপ ব্যবহারকারীর অ্যাকসেস টোকেন ওয়েব ব্রাউজারের সেশন স্টোরেজে সাধারণ লেখার বা প্লেইনটেক্সট আকারে সংরক্ষণ করে। এতে সাইবার আক্রমণের মাধ্যমে সহজেই সেই টোকেন চুরি হওয়ার আশঙ্কা তৈরি হয়। এ ছাড়া কিছু অ্যাপ ‘রিফ্রেশ টোকেন’ সংগ্রহ করে। ফলে একবার অনুমতি পেলেই ব্যবহারকারীর লগইন ছাড়াই দীর্ঘ সময় তথ্য ব্যবহারের সুযোগ থেকে যায়। ও-অথ ব্যবস্থায় সূক্ষ্ম নিয়ন্ত্রণের অভাব এবং অনুমতির অস্পষ্টতা ব্যক্তিগত ও প্রাতিষ্ঠানিক উভয় পর্যায়ের ব্যবহারকারীদের নিরাপত্তা হুমকির মুখে ফেলছে।
গবেষকেরা বিষয়টি মাইক্রোসফটকে জানালে প্রতিষ্ঠানটি ত্রুটির বিষয়টি স্বীকার করেছে। তবে এখন পর্যন্ত কোনো স্থায়ী সমাধান দেওয়া হয়নি। সাময়িক সমাধান হিসেবে ওএসিস রিসার্চ টিম ওয়ানড্রাইভ ব্যবহার করে ও-অথের মাধ্যমে ফাইল আপলোড করার সুবিধা সাময়িকভাবে নিষ্ক্রিয় রাখার পরামর্শ দিয়েছে। একই সঙ্গে রিফ্রেশ টোকেন ব্যবহার না করা, অ্যাকসেস টোকেন নিরাপদভাবে সংরক্ষণ করা ও প্রয়োজন ফুরালে তা মুছে ফেলার পরামর্শ দিয়েছে।
সূত্র: দ্য হ্যাকার নিউজ