খুবই অবাক করার বিষয় কিভাবে ইন্সটাগ্রাম আর তার ফেসবুক অ্যাকাউন্ট হ্যাক হল?
তবে সেটা সত্যি কেও একজন করেছেন।
তবে এই বিষয়ে নিরাপত্তার দায়িত্বে থাকা, তাদের দুর্বলতার জন্য আইনগত ব্যবস্থা নিতে পারবেন।
একজন স্বাধীন নিরাপত্তা গবেষক দাবি করেন, সমস্ত বিষয় প্রকাশ করার ফলে আমাকে ফেসবুকের পক্ষে থেকে হুমকি দেওয়া হয়, কনফিগারেশন সংক্রান্ত, ইন্সটাগ্রাম সার্ভার সহ সঞ্চিত গুরুত্বপূর্ণ তথ্য তে সহজে গমন করে।
এতে যেখানে তাদের প্রবেশ দেখা যায়ঃ
ইন্সটাগ্রাম এর সোর্স কোড
এস এস এল সার্টিফিকেট
ইন্সটাগ্রাম ব্যবহারকারীর ও চাকুরীজীবীর ব্যক্তিগত তথ্য
ইমেল সার্ভার শংসাপত্র
তবে যাইহোক এই কাজের জন্য তাকে তাৎক্ষনিক পুরষ্কার প্রদান করার কথা বলা হয়। আবার অন্য দিকে ফেসবুক গবেষকদের তথ্য প্রকাশ করার জন্য মামলা দেবার হুমকি দিয়েছেন।
ওয়েসলি ওয়াইনবার্গের, সাঙ্ক এর সিনিয়র নিরাপত্তা গবেষক, তিনি ফেসবুকের বাগ খয়রাত নামে একটি প্রোগ্রাম এ অংশগ্রহন করেন,সেখান থেকে ফিরে তার একজন বন্ধুকে নিয়ে ইন্সটাগ্রাম এর সার্ভারের দুর্বল জায়গা নিয়ে বিশ্লেষণ করেন।
নিত্য চেষ্টার পরে “রিমোট কোড এক্সকিউশন” খুঁজে পান, এটা কে বলা হয় কুকি প্রকিয়া যার মাধ্যমে ব্যবহারকারীরা তারা তাদের লগিং প্রকিয়া টা মনে রাখে।
“রিমোট কোড এক্সকিউশন” দ্বারা দুইটা দুর্বল জায়গা খুঁজে পাওয়া সম্ভবঃ
১। চলমান অ্যাপ্লিকেশনের হার্ড কোডের অন্তর্ভুক্ত গোপন টোকেন ।
২। একটি সংস্করণ চলমান হোস্টের রুবি ৩.এক্স কুকি যার মাধ্যমে পুরো সার্ভারটা ঘুরে আসা যায়।
যাহা মুলত ইন্সটাগ্রামের দুর্বলতা ছিল, তাদের কর্মীদের ফেসবুক পরিচয়পত্র, লগইন বিবরণ, ডাটাবেস ধারণকারী সহ পুরো সার্ভার এ ঢুকতে সক্ষম ছিল।
যদিও তাদের ডজনখানেক পাসওয়ার্ড ছিল,তবুও ওয়াইনবার্গের Bcryt সাথে এনক্রিপ্ট করা মিলে দিলে, তিনি কয়েক মিনিটেই সেখানে প্রবেশ করতে পারতেন।
ইন্সটাগ্রামের নিজস্বতা সহ সব কিছু প্রকাশিতঃ
ওয়াইনবার্গ এখানেই থেকে থাকেনি, তিনি পুরো সার্ভার চোষে বেড়িয়েছেন। তিনি তাদের কনফিগারেশনের ফাইল টাতে গিয়ে তা প্রকাশ করেছেন। অন্যদিকে সেখানে একটি আমেজন ওয়েব সার্ভিস এর অ্যাকাউন্ট প্রতিষ্ঠিত করেন, যাতে কম্পউটিং সার্ভিস দিয়ে তা সেটআপ করেন।
সেখানে তিনি ৮২ টি আমেজন এর অ্যাকাউন্ট স্টোরেজ করেন, সাথে ৩ টি বুকেস্ট স্টোরেজ করেন, অবশ্য বুকেস্ট স্টোরেজ গুলো উইনিক ছিল। তিনি সেখানে গুরুত্বপূর্ণ কিছু না পেলেও তিনি ৮২ টি আমেজন স্টোরেজ পুরনো কিছু ফাইল পেয়েছিলেন।
ইন্সটাগ্রাম এর সোর্স কোড
ইন্সটাগ্রামের ব্যবহারকারীর ছবি প্রবেশ।
ইমেল সার্ভার শংসাপত্র
ইন্সটাগ্রামের মুল নকশা
অ্যানরয়েড আপ্পস এর প্রবেশাকারী
অন্য অন্য গুরুত্বপূর্ণ ডাটা
এটা আমার নির্ভয়ে বিবৃতি যে আমি এখানের সব গুলো পেজে ঘুরতে পারি, আমি অতি সহজেই ইন্সটাগ্রামের কর্মচারীর বিতান্ত দেখতে পারি ও পরিবর্তন করতে পারি। আমি সহজেই ব্যবহারকারীর অ্যাকাউন্ট, ছবি তথ্য নিতে পেরেছি, এবং প্রবেশ করেছি।
দায়ভার প্রকাশ কিন্তু ফেসবুক মামলার হুমকি দিয়েছেঃ
ওয়াইনবার্গ একটি রিপোর্টে এমনটা বলেন যে, তিনি ফেসবুকের নিরাপত্তা গবেষক টিম থেকে কিছু ডাটা পেয়েছেন। যা ফেসবুক কর্মচারীরা ব্যবহার করেন। যদিও তিনি ফেসবুকের ওই বাগ খয়রাত নামে একটি প্রোগ্রাম থেকে অকৃতকার্য হয়েছেন।
ডিসেম্বর এর প্রথম এর দিকে ওয়াইনবার্গ এর বস সাঙ্ক এর সিইও যা কপ্লান কে ফেসবুকের নিরাপত্তা প্রধান আলেক্স স্টম বার্তা পাঠান, তিনি বলেন কোন ভাবে যেন ইন্সটাগ্রামের তথ্য প্রকাশ না হয়।
তবে তিনি এটা বলেন যে, ফেসবুকের প্রকৃত দল এর সাথে কোন ভাবে সম্পরকৃত নেই। তবে তথ্য আপনি নিজের কাছে রেখে দিতে পারেন।
আলেক্স স্টম আরও বলেন, এটা খুব প্রয়োজনীয় এবং সচেতন প্রবন ইস্যু, এখানে ব্যবহারকারীর বিভিন্ন তথ্য আছে, যার ফলে তারা ইচ্ছা করলে, সঠিক আইনি পদক্ষেপ নিতে পারবে।
ফেসবুকের সাড়াঃ
মুল তথ্য প্রকাশ হবার পরে, ফেসবুক বিষয়টাতে সাড়া দেই। তারা দাবি করে, আমাদের সম্পৃক্ততা কথাটা মিথ্যা, কোন ভাবেই আমরা বিষয়টার সাথে জড়িত নয়। আমরা এমন কোন তথ্য প্রকাশ করিনি যে আমাদের তথ্য দিয়ে সব কিছু করার প্রবেশ অধিকার পাওয়া যাবে। আমরা বাগ খয়রাত নামে একটি প্রোগ্রাম করেছি তবে সেখান থেকে নয় ওয়াইনবার্গ আর তার বন্ধু নিজে থেকেই কাজটা করেছে।
এখানে ফেসবুকের পুরো বিবৃতি তুলে ধরা হলঃ
আমরা ফেসবুকের নিরাপত্তা গবেষণা কমিটি, আমরা বাগ খয়রাত নামের প্রোগ্রাম এর মাধ্যমে হাজার হাজার মানুষের সাথে সু সম্পর্ক করে থাকি। এটা অবশ্যই সচেতনতা আর বিশ্বাসের সাথে। আমাদের নিরাপত্তা গবেষণা কমিটি বিভিন্ন তথ্য আর গাইডলাইন্স দিয়ে থাকে, তবে এই নয় যে, আমরা তথ্য ফাঁস করে দেই।
আমাদের এই প্রোগ্রামের একটা মান রয়েছে, এমনটি নয় যে আমরা প্রথম কোন প্রোগ্রাম করছি। আর আমরাও চায় যে এর সাথে জড়িত সবার শাস্তি হোক।
আর আমরা সব সময় প্রতিজ্ঞাবদ্ধ ভাল মানের গবেষণা, সাহায্য আর শক্ত গ্রপিং তৈরি করার জন্য।
