ফাঁস হওয়া সোর্স কোডের পরীক্ষায় উন্মোচন করা হয়েছে যে এতে NIC SMS গেটওয়ে GUI পোর্টালের উল্লেখ রয়েছে, যা সম্ভাব্যভাবে অননুমোদিত ব্যক্তিদের নাগরিকদের কাছে বার্তা পাঠানোর ক্ষমতা প্রদান করে। (প্রতিনিধিত্বমূলক ছবি: News18)
সাইবারসিকিউরিটি ফার্ম ক্লাউডএসইকে বলেছে যে লঙ্ঘনটি, যা ২ আগস্ট আবিষ্কৃত হয়েছিল, সড়ক পরিবহন ও মহাসড়ক মন্ত্রকের ওয়েবসাইটের সোর্স কোডের অবৈধ শেয়ারিং উন্মোচন করেছে।
একটি চমকপ্রদ প্রকাশে, সাইবারসিকিউরিটি ফার্ম CloudSEK-এর XVigil AI ডিজিটাল-ঝুঁকির প্ল্যাটফর্ম সড়ক পরিবহন ও মহাসড়ক মন্ত্রকের সমন্বিত সড়ক দুর্ঘটনা ডেটাবেসের জন্য ওয়েবসাইট জড়িত একটি উল্লেখযোগ্য লঙ্ঘন প্রকাশ করেছে৷
CloudSEK-এর মতে, লঙ্ঘন, যা 2 আগস্ট আবিষ্কৃত হয়েছিল, একটি ভূগর্ভস্থ সাইবার ক্রাইম ফোরামে ওয়েবসাইটের সোর্স কোডের অবৈধ শেয়ারিং উন্মোচন করেছে, যা ডার্ক ওয়েব নামেও পরিচিত। তার রিপোর্টে, সাইবার সিকিউরিটি ফার্ম বলেছে: “আমাদের সোর্স সোর্স কোড পেতে সক্ষম হয়েছে, মোট 165 MB সাইজ। বেশিরভাগ কোড পিএইচপি তে লেখা হয়।”
“আমরা কোডটিতে এমবেড করা বেশ কয়েকটি সংবেদনশীল সম্পদ পেয়েছি। কোডটিতে হোস্টনেম, ডাটাবেসের নাম এবং পাসওয়ার্ড রয়েছে। সোর্স কোডে ব্যবহৃত ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলি বেশ সহজ ছিল এবং সার্ভারে স্থানীয় অ্যাক্সেসের সাথে ব্রুট-ফোর্স আক্রমণের প্রবণ হতে পারে,” প্রতিবেদনে যোগ করা হয়েছে।
ফাঁস হওয়া সোর্স কোডের আরও পরীক্ষায় আরও উন্মোচিত হয়েছে যে কোডটিতে NIC SMS গেটওয়ে GUI পোর্টালের (sms.gov.in) উল্লেখ রয়েছে, যা সম্ভাব্যভাবে অননুমোদিত ব্যক্তিদের নাগরিকদের কাছে বার্তা পাঠানোর ক্ষমতা প্রদান করে। এমবেডেড ইউআরএল-এ ব্যবহারকারীর নাম এবং পাসওয়ার্ডের জন্য ক্ষেত্র রয়েছে, যা অননুমোদিত অ্যাক্সেসের স্পেক উত্থাপন করে।
গবেষকদের মতে: “আগস্ট 7-এ, একই হুমকি অভিনেতা ওয়েবসাইটের 10,000 ব্যবহারকারীর একটি নমুনা ডেটাসেট ভাগ করে আরেকটি পোস্ট করেছেন। পোস্টটিতে আরও উল্লেখ করা হয়েছে যে স্ট্রাকচার্ড কোয়েরি ল্যাঙ্গুয়েজ (এসকিউএল) ইনজেকশনটি দুর্বল API এন্ডপয়েন্ট থেকে ডেটা প্রাপ্ত করার জন্য ব্যবহার করা হয়েছিল, যা রিপোর্ট লেখার সময় এখনও অ্যাক্সেসযোগ্য।
পোস্ট অনুসারে, হেডারে আইডি, অফিস_আইডি, নাম, ইমেল, রেগনো, সক্রিয়, মোবাইল, পিএস_কোড, মন্তব্য, পাসওয়ার্ড, ব্যবহারকারীর নাম, দ্বারা তৈরি, বিভাগ_কোড, ভূমিকা_কোড, রাজ্য_কোড, পদবী, তৈরি_তারিখ, পুরানো_পাসওয়ার্ড, পাসওয়ার্ড_এনসি, জেলা_কোডের মতো বিবরণ রয়েছে , email_verified, mobile_verified.
“আমাদের সোর্স ট্রুকলারের বিরুদ্ধে নমুনা ডেটাসেটে উল্লিখিত কিছু মোবাইল নম্বর এবং নাম যাচাই করতে পারে এবং সেগুলো মিলে গেছে। নমুনা ডেটাতে সরকারী কর্মকর্তাদের ইমেল আইডি এবং পরিষ্কার পাঠ্য পাসওয়ার্ডও রয়েছে,” প্রতিবেদনে যোগ করা হয়েছে।
গবেষকরা বলেছেন যে ফাঁস হওয়া তথ্যগুলি ওয়েবসাইটের পরিকাঠামোতে প্রথম অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে, যদি ফাঁস হওয়া শংসাপত্রগুলি এনক্রিপ্ট করা না হয় এবং যে পাসওয়ার্ডগুলি প্রায়শই ব্যবহৃত হয় বা দুর্বল সেগুলি নৃশংস শক্তি আক্রমণের জন্য ঝুঁকিপূর্ণ হতে পারে। এটি খারাপ অভিনেতাদের ডেটা এক্সফিল্টার করতে এবং অবিচল থাকার জন্য প্রয়োজনীয় তথ্য সরবরাহ করবে।
ক্লাউডএসইকে অবশ্য বলেছেন, সড়ক পরিবহন মন্ত্রককে লঙ্ঘন সম্পর্কে অবহিত করা হয়েছিল এবং আইআরএডি ওয়েবসাইট সুরক্ষিত করতে এবং ব্যবহারকারীর সংবেদনশীল ডেটা সুরক্ষিত করার জন্য অবিলম্বে পদক্ষেপ নেওয়ার জন্য অনুরোধ করা হয়েছিল। নিউজ 18 জেনেছে যে সাইবার সিকিউরিটি ফার্মটি CERT-In-এর সাথেও ঘনিষ্ঠভাবে কাজ করে এবং তারা তাদের প্রতিটি দুর্বলতা সম্পর্কে অবহিত করে। এটিও বোঝা যায় যে ক্লাউডএসইকে শেয়ার করা প্রতিবেদনের বিশদ বিবরণের ভিত্তিতে সরকার প্রয়োজনীয় ব্যবস্থা গ্রহণ করেছে।
