মাইক্রোসফটের ওয়ানড্রাইভ ফাইল পিকারে একটি নিরাপত্তাজনিত ত্রুটি ধরা পড়েছে। এ ত্রুটির কারণে যদি কোনো অ্যাপের মাধ্যমে কোনো ব্যবহারকারী কেবল একটি ফাইল প্রকাশের (আপলোড) অনুমতি দেন, তবুও সেই অ্যাপ তার পুরো ক্লাউড স্টোরেজে প্রবেশাধিকার পেতে পারে।
সম্প্রতি এ ত্রুটি শনাক্ত করেছে যুক্তরাষ্ট্রভিত্তিক সাইবার নিরাপত্তা প্রতিষ্ঠান ওএসিস রিসার্চ টিম। গবেষকদের মতে, ওয়ানড্রাইভ ফাইল পিকারে ব্যবহৃত ও-অথ অনুমোদনব্যবস্থায় অতিরিক্ত অনুমতি ও অস্পষ্ট সম্মতির বার্তার (কনসেন্ট স্ক্রিন) কারণে ব্যবহারকারীরা বুঝতে পারেন না তারা আসলে কতটা তথ্যের অ্যাকসেস দিচ্ছেন। ফলে ব্যবহারকারীর অজান্তেই তাদের ক্লাউডে সংরক্ষিত সব তথ্যের ওপর কোনো তৃতীয় পক্ষের অ্যাপ পূর্ণ নিয়ন্ত্রণ প্রতিষ্ঠা করতে পারে। ওএসিসের দাবি, ওয়ানড্রাইভের সঙ্গে সংযুক্ত জনপ্রিয় অ্যাপগুলোর মধ্যে চ্যাটজিপিটি, স্ল্যাক, ট্রেলো ও ক্লিকআপ এ ঝুঁকির আওতায় রয়েছে।
গবেষকরা বলছেন, ওয়ানড্রাইভ ফাইল পিকার ব্যবহার করে যখন কোনো অ্যাপের মাধ্যমে একটি ফাইল আপলোড করা হয়, তখন সেটি আসলে পুরো ড্রাইভের ওপর ‘রিড’ অনুমতি চায়। এর পেছনের কারণ হলো ওয়ানড্রাইভে এখনো নির্দিষ্ট ফাইল বা ফোল্ডার বেছে নিয়ে সীমিত অনুমতি দেওয়ার সুবিধা নেই। এ প্রক্রিয়ায় ব্যবহারকারীর সামনে যে সম্মতির বার্তা দেখানো হয়, সেটি অস্পষ্ট ও বিভ্রান্তিকর। এতে ব্যবহারকারীরা মনে করেন, তারা কেবল একটি নির্দিষ্ট ফাইল শেয়ারের অনুমতি দিচ্ছেন; কিন্তু বাস্তবে অ্যাপটি তখন পুরো ক্লাউড স্টোরেজে প্রবেশ করতে পারে।
ওএসিস বলছে, এ ত্রুটি ক্ষতিকর অ্যাপের পাশাপাশি নির্ভরযোগ্য অ্যাপগুলোর ক্ষেত্রেও সমস্যা তৈরি করছে। কারণ, নির্দিষ্ট স্কোপ বা সীমিত অনুমতির ব্যবস্থা না থাকায় অনেক অ্যাপ বাধ্য হয়ে পুরো ড্রাইভের অনুমতি চাইছে, যদিও তাদের প্রয়োজন মাত্র একটি ফাইলের। গবেষকেরা আরও জানিয়েছেন, অনেক অ্যাপ ব্যবহারকারীর অ্যাকসেস টোকেন ওয়েব ব্রাউজারের সেশন স্টোরেজে সাধারণ লেখার বা প্লেইনটেক্সট আকারে সংরক্ষণ করে। এতে সাইবার আক্রমণের মাধ্যমে সহজেই সেই টোকেন চুরি হওয়ার আশঙ্কা তৈরি হয়। এ ছাড়া কিছু অ্যাপ ‘রিফ্রেশ টোকেন’ সংগ্রহ করে। ফলে একবার অনুমতি পেলেই ব্যবহারকারীর লগইন ছাড়াই দীর্ঘ সময় তথ্য ব্যবহারের সুযোগ থেকে যায়। ও-অথ ব্যবস্থায় সূক্ষ্ম নিয়ন্ত্রণের অভাব এবং অনুমতির অস্পষ্টতা ব্যক্তিগত ও প্রাতিষ্ঠানিক উভয় পর্যায়ের ব্যবহারকারীদের নিরাপত্তা হুমকির মুখে ফেলছে।
গবেষকেরা বিষয়টি মাইক্রোসফটকে জানালে প্রতিষ্ঠানটি ত্রুটির বিষয়টি স্বীকার করে নেয়। তবে এখন পর্যন্ত কোনো স্থায়ী সমাধান এ বিষয়ে দেওয়া হয়নি। সাময়িক সমাধান হিসেবে ওএসিস রিসার্চ টিম ওয়ানড্রাইভ ব্যবহার করে ও-অথের মাধ্যমে ফাইল আপলোড করার সুবিধা সাময়িকভাবে নিষ্ক্রিয় রাখার পরামর্শ দিয়েছে। একই সঙ্গে রিফ্রেশ টোকেন ব্যবহার না করা, অ্যাকসেস টোকেন নিরাপদভাবে সংরক্ষণ করা ও প্রয়োজন ফুরালে তা মুছে ফেলার পরামর্শ দিয়েছে।সূত্র: দ্য হ্যাকার নিউজ
