সাইবার নিরাপত্তা বিশেষজ্ঞরা Google এর OAuth প্রোটোকলের একটি ত্রুটি খুঁজে পেয়েছেন। এটি আক্রমণকারীদের নিষ্ক্রিয় স্টার্টআপে প্রাক্তন কর্মচারী অ্যাকাউন্ট থেকে সম্ভাব্য সংবেদনশীল ডেটা অ্যাক্সেস করার অনুমতি দিতে পারে।
OAuth হল Google এর সাইন-ইন প্রযুক্তি যা আপনাকে আপনার Google অ্যাকাউন্ট ব্যবহার করে অনেক প্ল্যাটফর্ম এবং পরিষেবা অ্যাক্সেস করতে দেয়৷ আপনি যখন Google এর সাথে সাইন ইন ব্যবহার করেন, তখন আপনি OAuth ব্যবহার করেন। কর্পোরেট ক্ষেত্রেও এই প্রযুক্তির ব্যাপক উপস্থিতি রয়েছে। কর্মীরা শুধুমাত্র ওয়ার্কস্পেস অ্যাক্সেস করতেই OAuth ব্যবহার করে না, একটি সফ্টওয়্যার-এ-সার্ভিস (SaaS) মডেলের মাধ্যমে বহিরাগত প্ল্যাটফর্মগুলিও ব্যবহার করে।
এটা সম্ভব যে আপনার একাধিক Google অ্যাকাউন্ট আছে এবং তাদের মধ্যে কিছু আপনার লগইন তথ্য মনেও নেই। তাই আপনার হারিয়ে যাওয়া অ্যাকাউন্টটি "অচলাবস্থায়" রয়ে গেছে যেখানে আপনি এক বা অন্য কারণে এটি অ্যাক্সেস করতে পারবেন না। যাইহোক, ব্যবসার পরিবেশে "জম্বি অ্যাকাউন্ট" চালানোর বিষয়টি আরও সূক্ষ্ম। এই অ্যাকাউন্টগুলি প্রায়ই থার্ড-পার্টি পরিষেবাগুলির সাথে লিঙ্ক করা হয় যার সাথে তারা কাজ করেছেন প্রাক্তন কর্মচারী বা কোম্পানির সম্ভাব্য সংবেদনশীল ডেটা।
গত বছরের সেপ্টেম্বরের শেষের দিকে, ট্রাফলসিকিউরিটি সাইবারসিকিউরিটি টিম OAuth প্রোটোকলের একটি ত্রুটি খুঁজে পেয়েছিল যা আক্রমণকারীরা শোষণ করতে পারে। সেই সময়ে, Google এটিকে দুর্বলতা হিসেবে চিহ্নিত করেনি, বরং একটি "প্রতারণা এবং শোষণ" হিসেবে চিহ্নিত করেছে। ট্রাফলসিকিউরিটি প্রধান ডিলান আইরে গত মাসে শ্মোকন এথিক্যাল হ্যাকিং কনফারেন্সে "সম্পূর্ণ নগ্নতায়" এটি প্রকাশ করার পরে, গুগল তার মন পরিবর্তন করে এবং গবেষকদের জন্য $1 পুরষ্কারের প্রস্তাব দেয়।
আপনি আগ্রহী হতে পারে

Ayrey দেখিয়েছেন কিভাবে তিনি একটি ব্যর্থ স্টার্টআপের HR সিস্টেম থেকে গোপনীয় তথ্য পেতে সক্ষম হন। শুধু একটি পুরানো ডোমেন কিনতে হবে এবং পুরানো OAuth শংসাপত্রগুলি ব্যবহার করতে হবে৷ সম্ভাব্য আক্রমণকারীরা বিলুপ্ত স্টার্টআপগুলির সাথে সম্পর্কিত ডোমেনগুলিকে লক্ষ্য করে তাদের কেনার জন্য এবং দুর্বলতাকে কাজে লাগাতে শুরু করতে পারে, তিনি বলেছিলেন। ক্রাঞ্চবেস দ্বারা পরিচালিত বিলুপ্ত স্টার্টআপগুলির একটি ডাটাবেস বর্তমানে 116টি উপলব্ধ ডোমেনের তালিকা করে। এর অর্থ হল সম্ভাব্য লক্ষ লক্ষ প্রাক্তন কর্মচারী অ্যাকাউন্টগুলি শোষণের জন্য প্রস্তুত থাকতে পারে।
OAuth সমস্যা এড়াতে, Trufflessecurity অনুযায়ী, ব্যক্তিগত অ্যাকাউন্টে আপনার কোম্পানির শংসাপত্র ব্যবহার করা এড়িয়ে চলা উচিত। এটি ভবিষ্যতে আক্রমণকারীদের চুরি করার দরজা খুলে দিতে পারে। অবশ্যই, আপনি যদি চাকরি পরিবর্তন করেন তবে আপনার ব্যবসার অ্যাকাউন্ট থেকে সমস্ত সংবেদনশীল ডেটা মুছে ফেলা উচিত।