গবেষকরা বিশেষজ্ঞ ডেটিং অ্যাপ থেকে প্রায় ১৫ লক্ষ ছবি আবিষ্কার করেছেন – যার মধ্যে অনেকগুলি স্পষ্ট – পাসওয়ার্ড সুরক্ষা ছাড়াই অনলাইনে সংরক্ষণ করা হচ্ছে, যা হ্যাকার এবং চাঁদাবাজদের ঝুঁকিতে ফেলেছে। লিঙ্কটি থাকা যে কেউ M.A.D মোবাইল দ্বারা তৈরি পাঁচটি প্ল্যাটফর্ম থেকে ব্যক্তিগত ছবি দেখতে সক্ষম হয়েছিল: kink sites BDSM People and Chica, এবং LGBT apps Pink, Brish and Translove।
এই পরিষেবাগুলি আনুমানিক ৮০০,০০০ থেকে ৯০০,০০০ মানুষ ব্যবহার করে। M.A.D মোবাইলকে ২০শে জানুয়ারী প্রথম নিরাপত্তা ত্রুটি সম্পর্কে সতর্ক করা হয়েছিল কিন্তু শুক্রবার বিবিসি ইমেল না করা পর্যন্ত তারা কোনও পদক্ষেপ নেয়নি। তারা তখন থেকে এটি ঠিক করেছে কিন্তু কীভাবে এটি ঘটেছে বা কেন তারা সংবেদনশীল ছবিগুলি সুরক্ষিত করতে ব্যর্থ হয়েছে তা বলেনি।
সাইবারনিউজের নীতিগত হ্যাকার আরাস নাজারোভাস প্রথমে অ্যাপগুলির ব্যবহৃত অনলাইন স্টোরেজের অবস্থান খুঁজে বের করার পর সংস্থাটিকে নিরাপত্তার ফাঁক সম্পর্কে সতর্ক করেন, যা পরিষেবাগুলিকে শক্তিশালী করে এমন কোড বিশ্লেষণ করে।
তিনি কোনও পাসওয়ার্ড ছাড়াই এনক্রিপ্ট না করা এবং সুরক্ষিত ছবিগুলি অ্যাক্সেস করতে পেরে হতবাক হয়ে যান।
“আমি যে প্রথম অ্যাপটি অনুসন্ধান করেছিলাম তা ছিল BDSM People, এবং ফোল্ডারে প্রথম ছবিটি ছিল ত্রিশের কোঠার একজন নগ্ন পুরুষের,” তিনি বলেন।
“আমি এটি দেখার সাথে সাথে বুঝতে পেরেছিলাম যে এই ফোল্ডারটি সর্বজনীন হওয়া উচিত ছিল না।”
তিনি বলেন, ছবিগুলি কেবল প্রোফাইল থেকে আসা ছবিগুলির মধ্যেই সীমাবদ্ধ ছিল না – এতে এমন ছবিও ছিল যা ব্যক্তিগতভাবে বার্তায় পাঠানো হয়েছিল, এমনকি কিছু ছবি মডারেটররা সরিয়ে ফেলেছিল।
হ্যাকিংয়ের ঝুঁকি
মিঃ নাজারোভাস বলেন, অরক্ষিত সংবেদনশীল উপাদান আবিষ্কারের ফলে প্ল্যাটফর্ম ব্যবহারকারীদের জন্য একটি উল্লেখযোগ্য ঝুঁকি রয়েছে।
ক্ষতিকারক হ্যাকাররা ছবিগুলি খুঁজে পেতে পারে এবং ব্যক্তিদের কাছ থেকে চাঁদাবাজি করতে পারে।
যারা LGBT লোকেদের প্রতি বৈরী দেশগুলিতে বাস করেন তাদের জন্যও ঝুঁকি রয়েছে।
ব্যক্তিগত বার্তাগুলির কোনও টেক্সট কন্টেন্ট এইভাবে সংরক্ষণ করা হয়নি এবং ছবিগুলিতে ব্যবহারকারীর নাম বা আসল নাম লেবেল করা হয়নি, যা ব্যবহারকারীদের উপর লক্ষ্যবস্তু আক্রমণ তৈরি করা আরও জটিল করে তুলবে।
একটি ইমেলে M.A.D Mobile বলেছে যে ডেটা লঙ্ঘন রোধ করার জন্য অ্যাপগুলিতে দুর্বলতা উন্মোচন করার জন্য তারা গবেষকের প্রতি কৃতজ্ঞ।
কিন্তু এমন কোনও গ্যারান্টি নেই যে মিঃ নাজারোভাসই একমাত্র হ্যাকার যিনি ছবির স্ট্যাশ খুঁজে পেয়েছেন।
“আমরা তাদের কাজের প্রশংসা করি এবং ইতিমধ্যেই সমস্যাটি সমাধানের জন্য প্রয়োজনীয় পদক্ষেপ গ্রহণ করেছি,” M.A.D Mobile এর একজন মুখপাত্র বলেছেন। “আগামী দিনে অ্যাপ স্টোরে অ্যাপগুলির জন্য একটি অতিরিক্ত আপডেট প্রকাশ করা হবে।”
গবেষকদের একাধিক সতর্কবার্তার পরেও কোম্পানিটি কোথায় অবস্থিত এবং কেন সমস্যাটি সমাধান করতে কয়েক মাস সময় লেগেছে সে সম্পর্কে আরও প্রশ্নের উত্তর দেয়নি কোম্পানিটি।
সাধারণত নিরাপত্তা গবেষকরা অনলাইনে প্রতিবেদন প্রকাশের আগে দুর্বলতা ঠিক না হওয়া পর্যন্ত অপেক্ষা করেন, যাতে ব্যবহারকারীদের আক্রমণের ঝুঁকি আরও বেশি হয়।
কিন্তু মিঃ নাজারোভাস এবং তার দল বৃহস্পতিবার সমস্যাটি সক্রিয় থাকাকালীন সতর্কতা জারি করার সিদ্ধান্ত নেন কারণ তারা উদ্বিগ্ন ছিলেন যে কোম্পানিটি এটি ঠিক করার জন্য কোনও পদক্ষেপ নিচ্ছে না।
“এটি সর্বদা একটি কঠিন সিদ্ধান্ত কিন্তু আমরা মনে করি জনসাধারণের নিজেদের রক্ষা করার জন্য জানা প্রয়োজন,” তিনি বলেন।
২০১৫ সালে দূষিত হ্যাকাররা অ্যাশলে ম্যাডিসনের ব্যবহারকারীদের সম্পর্কে বিপুল পরিমাণ গ্রাহক তথ্য চুরি করেছিল, যা বিবাহিতদের জন্য একটি ডেটিং ওয়েবসাইট যারা তাদের স্ত্রীর সাথে প্রতারণা করতে চায়।
