২৩শে আগস্ট, ২০২৫ খ্রিস্টাব্দ
সংস্করণ:
সামাজিক যোগাযোগমাধ্যমের পাশাপাশি বিভিন্ন ওয়েবসাইটে প্রবেশের জন্য আলাদা পাসওয়ার্ড ও ইউজার নেম ব্যবহার করতে হয়। প্রতিটি অ্যাকাউন্টের পাসওয়ার্ড আলাদা হওয়ায় পাসওয়ার্ড মনে রাখা অনেক সময় কঠিন হয়ে পড়ে। তবে পাসওয়ার্ড ম্যানেজার অ্যাপ ব্যবহার করে সহজেই এক বা একাধিক পাসওয়ার্ড অনলাইনে রাখা যায়। ফলে কোনো ওয়েবসাইট বা অ্যাপে প্রবেশের জন্য বারবার পাসওয়ার্ড লিখতে হয় না। আর তাই অনেকেই বিভিন্ন প্রতিষ্ঠানের তৈরি পাসওয়ার্ড ম্যানেজার ব্যবহার করেন। কিন্তু জনপ্রিয় ছয়টি পাসওয়ার্ড ম্যানেজারে নিরাপত্তা ত্রুটির সন্ধান পেয়েছেন সাইবার নিরাপত্তা গবেষক মেরেক টোফ। এ ত্রুটির ফলে ব্যবহারকারীদের সংরক্ষণ করা পাসওয়ার্ডসহ লগইন তথ্য, টু-ফ্যাক্টর অথেনটিকেশন কোড এবং ক্রেডিট কার্ডের তথ্য বেহাত হওয়ার আশঙ্কা রয়েছে বলে জানিয়েছেন তিনি।
মেরেক টোফ জানিয়েছেন, ১১টি জনপ্রিয় পাসওয়ার্ড ম্যানেজারের কার্যক্রম যাচাই করে ওয়ান পাসওয়ার্ড, বিটওয়ার্ডেন, এনপাস, আইক্লাউড পাসওয়ার্ডস, লাস্টপাস এবং লগমি ওয়ান্সে নিরাপত্তা ত্রুটি পাওয়া গেছে। ব্যবহারকারী যখন কোনো ক্ষতিকর ওয়েবসাইটে প্রবেশ করেন, তখন এই নিরাপত্তা ত্রুটি কাজে লাগিয়ে গোপনে পাসওয়ার্ড ম্যানেজারের ওপর অদৃশ্য এইচটিএমএল লেয়ার বসিয়ে দিতে পারেন সাইবার অপরাধীরা। এতে ব্যবহারকারীরা ভেবে নেন তাঁরা সাধারণ কোনো বাটনে ক্লিক করছেন। কিন্তু বাস্তবে সেই ক্লিকের কারণে অটোফিল সক্রিয় হয়ে সংবেদনশীল তথ্য ফাঁস হয়ে যায়।
মেরেক টোফের মতে, সাইবার অপরাধীরা মূলত স্ক্রিপ্ট অপাসিটি, ওভারলে বা পয়েন্টার-ইভেন্ট কৌশল ব্যবহার করে পাসওয়ার্ড ম্যানেজারের অটোফিল মেনু আড়াল করে ফেলেন। এরপর ব্যবহারকারীর সামনে কুকি ব্যানার, পপআপ বা ক্যাপচা দেখানো হয়। ব্যবহারকারী এসব ক্লিক করলে অজান্তেই অটোফিল সক্রিয় হয়ে তথ্য ফাঁস হয়ে যায়। এ ধরনের হামলার বিভিন্ন ধরন রয়েছে। যেমন ডম (ডকুমেন্ট অবজেক্ট মডেল) এলিমেন্টের ট্রান্সপারেন্সি বদলানো, মূল অংশ আংশিক বা পুরোটা ঢেকে দেওয়া কিংবা এমন কৌশল ব্যবহার করা, যাতে ইন্টারফেস মাউস কারসরের সঙ্গে আবর্তিত হয়। ফলে ব্যবহারকারী যেখানেই ক্লিক করুন না কেন, অটোফিল চালু হয়ে যায়।
সাইবার হামলার ঝুঁকিতে থাকা পাসওয়ার্ড ম্যানেজারগুলোর কর্তৃপক্ষকে সতর্কও করেছেন মেরেক টোফ। তবে ওয়ান পাসওয়ার্ড কর্তৃপক্ষ বিষয়টিকে সাধারণ ‘তথ্যগত’ ভুল হিসেবে চিহ্নিত করেছে। তাঁদের মতে, ক্লিকজ্যাকিং একটি সাধারণ ওয়েব ঝুঁকি, যা ব্যবহারকারীদেরই সামলাতে হবে। লাস্টপাসও বিষয়টিকে তথ্যগত ভুল বলে উল্লেখ করেছে। বিটওয়ার্ডেন ত্রুটির কথা স্বীকার করলেও দ্রুত সমস্যার সমাধান করে নতুন সংস্করণ উন্মুক্ত করেছে। তবে সাইবার নিরাপত্তা গবেষকেরা জানিয়েছেন, ত্রুটি পুরোপুরি সমাধান না হওয়া পর্যন্ত পাসওয়ার্ড ম্যানেজারের অটোফিল সুবিধা বন্ধ রাখতে হবে এবং প্রয়োজনে কপি-পেস্ট করে তথ্য ব্যবহার করতে হবে।
