সামাজিক যোগাযোগমাধ্যম ইনস্টাগ্রামের উচ্চমূল্যের ও জনপ্রিয় অ্যাকাউন্টগুলো দখল করতে মেটার এআই চালিত চ্যাটবটের একটি দুর্বলতাকে কাজে লাগিয়েছিল হ্যাকাররা। সাইবার নিরাপত্তা গবেষকদের বরাত দিয়ে প্রকাশিত প্রতিবেদনে এ তথ্য জানা গেছে।
গবেষকদের মতে, কয়েক মাস ধরে সক্রিয় থাকা এই দুর্বলতার মাধ্যমে হ্যাকাররা বিভিন্ন মূল্যবান ইনস্টাগ্রাম অ্যাকাউন্টের নিয়ন্ত্রণ নিয়ে সেগুলো কালোবাজারে বিক্রি করছিল। পরে মেটা ত্রুটিটি শনাক্ত করে তা সংশোধন করে।
যেভাবে কাজ করত কৌশলটি
প্রতিবেদন অনুযায়ী, হামলাকারীরা ভিপিএনসহ বিভিন্ন প্রযুক্তিগত কৌশল এবং অ্যাকাউন্ট পুনরুদ্ধার প্রক্রিয়া ব্যবহার করে প্রাথমিক নিরাপত্তা যাচাই এড়িয়ে যেত।
এরপর তারা মেটার এআই সাপোর্ট চ্যাটবটের সঙ্গে যোগাযোগ করে নির্দিষ্ট ইনস্টাগ্রাম অ্যাকাউন্টের সঙ্গে যুক্ত ইমেইল ঠিকানা পরিবর্তনের অনুরোধ জানাত। অবস্থান গোপন রাখা এবং পাসওয়ার্ড রিসেট প্রক্রিয়া চালুর মাধ্যমে তারা সিস্টেমকে বিভ্রান্ত করে অ্যাকাউন্টের নিয়ন্ত্রণ নিজেদের হাতে নিতে সক্ষম হতো।
উচ্চমূল্যের অ্যাকাউন্ট ছিল মূল লক্ষ্য
নিরাপত্তা গবেষকদের দাবি, চুরি হওয়া অ্যাকাউন্টগুলোর মধ্যে বিরল ও চাহিদাসম্পন্ন ইনস্টাগ্রাম ইউজারনেমও ছিল। পরে এসব অ্যাকাউন্ট বিপুল অর্থের বিনিময়ে অনলাইন আন্ডারগ্রাউন্ড মার্কেটে বিক্রি করা হয়।
বিশেষ করে ছোট ও আকর্ষণীয় ইউজারনেমগুলোর মূল্য কয়েক লাখ ডলার পর্যন্ত হতে পারে বলে প্রতিবেদনে উল্লেখ করা হয়েছে। ব্র্যান্ডিং ও সীমিত প্রাপ্যতার কারণে এসব নামের ব্যাপক চাহিদা রয়েছে।
‘প্রম্পট ইনজেকশন’ আক্রমণের শিকার এআই
বিশেষজ্ঞরা ঘটনাটিকে ‘প্রম্পট ইনজেকশন’ ধরনের সাইবার হামলা হিসেবে বর্ণনা করেছেন। এ ধরনের হামলায় বিশেষভাবে তৈরি নির্দেশনার মাধ্যমে এআই সিস্টেমকে বিভ্রান্ত করে অনাকাঙ্ক্ষিত কাজ করানো হয়।
হ্যাকারদের বিভিন্ন কমিউনিটি ও নিরাপত্তা ফোরামে এ সংক্রান্ত ভিডিও ছড়িয়ে পড়ে, যা এআইভিত্তিক সিস্টেমের নিরাপত্তা নিয়ে নতুন করে উদ্বেগ তৈরি করেছে।
গবেষকদের দাবি, চলতি বছরের শুরু থেকেই একই ধরনের হামলার মাধ্যমে হাজার হাজার ইনস্টাগ্রাম অ্যাকাউন্ট ক্ষতিগ্রস্ত হয়েছে।
সাময়িকভাবে ক্ষতিগ্রস্ত হয় উচ্চপ্রোফাইল অ্যাকাউন্টও
কিছু ক্ষেত্রে হ্যাকারদের দখলে যাওয়া অ্যাকাউন্ট থেকে অনুমতি ছাড়া বিভিন্ন পোস্ট প্রকাশ করা হয়েছিল। পরে প্রকৃত মালিকরা পুনরায় অ্যাকাউন্টের নিয়ন্ত্রণ ফিরে পান।
নিরাপত্তা বিশেষজ্ঞদের মতে, এই দুর্বলতার সুযোগে কিছু পরিচিত ও উচ্চপ্রোফাইল অ্যাকাউন্টও সাময়িকভাবে ক্ষতিগ্রস্ত হয়েছিল।
টু-ফ্যাক্টর অথেনটিকেশনের গুরুত্ব
তদন্তকারীরা জানিয়েছেন, যেসব অ্যাকাউন্টে মাল্টি ফ্যাক্টর অথেনটিকেশন বা টু-ফ্যাক্টর অথেনটিকেশন চালু ছিল, সেগুলো তুলনামূলকভাবে নিরাপদ ছিল।
এমনকি এসএমএসভিত্তিক অতিরিক্ত যাচাইকরণ ব্যবস্থাও অনেক ক্ষেত্রে অননুমোদিত প্রবেশ ঠেকাতে কার্যকর ভূমিকা রেখেছে।
মেটার জরুরি পদক্ষেপ
বিষয়টি নিয়ে গবেষক ও নিরাপত্তা বিশ্লেষকদের মধ্যে ব্যাপক আলোচনা শুরু হলে গত ২৯ মে মেটা সংশ্লিষ্ট দুর্বলতাটি ঠিক করে বলে প্রতিবেদনে উল্লেখ করা হয়েছে।
উল্লেখ্য, মেটা তাদের এআই সাপোর্ট সহকারীকে অ্যাকাউন্ট-সংক্রান্ত সমস্যার জন্য ২৪ ঘণ্টার স্বয়ংক্রিয় সহায়তা প্রদানের একটি কার্যকর মাধ্যম হিসেবে প্রচার করেছিল।
এআই নিরাপত্তা নিয়ে নতুন উদ্বেগ
সাইবার নিরাপত্তা বিশেষজ্ঞরা বলছেন, এই ঘটনা দেখিয়েছে যে সংবেদনশীল তথ্য পরিবর্তনের ক্ষমতা থাকা এআই সিস্টেমে নিরাপত্তা দুর্বলতা কতটা বড় ঝুঁকি তৈরি করতে পারে।
তাদের মতে, ভবিষ্যতে এ ধরনের ঘটনা ঠেকাতে অতিরিক্ত যাচাইকরণ ব্যবস্থা, কার্যকর রেট লিমিট, অস্বাভাবিক কার্যক্রম শনাক্তকরণ প্রযুক্তি এবং আরও শক্তিশালী নিরাপত্তা সুরক্ষা ব্যবস্থা প্রয়োজন।
সূত্র: সামা টিভি
