জনপ্রিয় গাড়ি নির্মাতার অনলাইন পোর্টালে গুরুতর সাইবার ঝুঁকি

একজন নিরাপত্তা গবেষক একটি জনপ্রিয় গাড়ি নির্মাতার অনলাইন ডিলারশিপ পোর্টালে বড় ধরনের নিরাপত্তার ঝুঁকি আবিষ্কার করেছেন, যা ব্যবহারকারীদের ব্যক্তিগত তথ্য ও গাড়ির ডেটা ফাঁসের পাশাপাশি হ্যাকারদের দূর থেকে গাড়ির নিয়ন্ত্রণ নেওয়ার সুযোগ দিয়েছিল।

হার্নেস নামের সফটওয়্যার কোম্পানিতে নিরাপত্তা গবেষক ইটন জাভিয়ার জানান, তিনি যে দুর্বলতা আবিষ্কার করেছেন তা দিয়ে একটি অ্যাডমিন অ্যাকাউন্ট তৈরি করা সম্ভব হয়েছিল, যা ওই গাড়ি নির্মাতার কেন্দ্রীয় ওয়েব পোর্টালে “অসীম প্রবেশাধিকার” দিত।

এই প্রবেশাধিকার দিয়ে একজন দূরাচারী হ্যাকার গ্রাহকদের ব্যক্তিগত ও আর্থিক তথ্য দেখতে পারত, গাড়ির অবস্থান ট্র্যাক করতে পারত, এমনকি গ্রাহকদের গাড়ির কিছু ফাংশন—যেমন দরজা খোলা বা বন্ধ করা—দূর থেকে নিয়ন্ত্রণ করার সুযোগ পেত।

জভিয়ার বলেন, এই নিরাপত্তা ত্রুটি তিনি এক সাপ্তাহিক প্রকল্পের অংশ হিসেবে ২০২৫ সালের শুরুতেই আবিষ্কার করেন। পোর্টালের লগইন সিস্টেমে থাকা ত্রুটি তাকে লগইন ছাড়াই একটি “ন্যাশনাল অ্যাডমিন” অ্যাকাউন্ট তৈরি করার সুযোগ দেয়।

এই ত্রুটির মূল কারণ ছিল পোর্টালের লগইন পৃষ্ঠায় থাকা কোড ব্রাউজারে লোড হওয়ার পর ব্যবহারকারী সেটি পরিবর্তন করতে পারত, যা দিয়ে লগইন প্রক্রিয়া এড়িয়ে যাওয়া সম্ভব ছিল। গাড়ি নির্মাতা পরে কোনো হ্যাকিংয়ের প্রমাণ না পাওয়ায় ধারণা করা হয়, জভিয়ার প্রথম এই দুর্বলতা খুঁজে পেয়ে রিপোর্ট করেছেন।

অ্যাকাউন্টে লগইন করলে দেশের ১,০০০-এর বেশি ডিলারশিপের ডেটা দেখা যেত। জভিয়ার বলছেন, “কেউ টেরও পায় না আপনি সমস্ত ডিলারদের আর্থিক ও ব্যক্তিগত তথ্য দেখতে পারছেন।”

তাঁর মতে, পোর্টালে এমন একটি জাতীয় কনজিউমার লুকআপ টুল ছিল, যা দিয়ে গাড়ির নম্বর থেকে মালিকের তথ্যসহ গাড়ি ও চালকের ব্যক্তিগত ডেটা পাওয়া যেত। তিনি একটি বাস্তব উদাহরণও দিয়েছেন যেখানে পাবলিক পার্কিং এ থাকা একটি গাড়ির নম্বর ব্যবহার করে গাড়ির মালিক শনাক্ত করেছেন।

পোর্টালের মাধ্যমে যেকোনো গাড়িকে মোবাইল অ্যাকাউন্টের সঙ্গে জোড়া লাগানো সম্ভব ছিল, যা দিয়ে গ্রাহকরা অ্যাপের মাধ্যমে গাড়ির দরজা খুলতে বা বন্ধ করতে পারেন। জভিয়ার একটি বন্ধুর সম্মতি নিয়ে তিনি এই পদ্ধতি পরীক্ষাও করেছেন। পোর্টাল কেবল ব্যবহারকারীর সৎ মানসিকতা দাবি করেছিল, যাকে তিনি ‘পিঙ্কি প্রমিজ’ হিসেবে উল্লেখ করেছেন।

জভিয়ার বলেন, “আমি বন্ধুর সম্মতি নিয়ে গাড়ির মালিকানা নিয়েছি, কিন্তু বাস্তবে কেউ মাত্র নাম জেনে এই কাজটি করতে পারত।”

অন্য একটি গুরুতর সমস্যা ছিল একক সাইন-অন (SSO) সুবিধা, যা দিয়ে একটি অ্যাকাউন্ট থেকে সহজেই অন্য ডিলারশিপ সিস্টেমে প্রবেশ করা যেত। এতে অ্যাডমিনরা অন্য ব্যবহারকারীদের পরিচয়ে সিস্টেম ব্যবহার করতে পারত। জভিয়ার ২০২৩ সালে টয়োটা ডিলারশিপ পোর্টালে একই ধরনের ফিচার দেখতে পেয়েছিলেন।

তিনি বলেন, “এগুলো নিরাপত্তার দিক থেকে সত্যিই ভয়াবহ দুর্বলতা।”

পোর্টালে প্রবেশের পর জভিয়ার গ্রাহকদের ব্যক্তিগত তথ্য, কিছু আর্থিক তথ্য এবং গাড়ির রিয়েল-টাইম অবস্থান ট্র্যাকিংয়ের সুবিধা পেয়েছিলেন। তবে তিনি গাড়ি শিপমেন্ট বাতিল করার মতো সংবেদনশীল কাজ করেননি।

জভিয়ার ২০২৫ সালের ফেব্রুয়ারিতে গাড়ি নির্মাতাকে রিপোর্ট করার পর এক সপ্তাহের মধ্যে এসব ত্রুটি মেরামত করা হয়।

তিনি বলেন, “মূল সমস্যা ছিল শুধু দুইটি এ পি আই দুর্বলতা, যা লগইনের নিরাপত্তা ব্যাহত করেছিল। লগইন সুরক্ষায় যদি ভুল হয়, তাহলে সবকিছু ভেঙে পড়ে।”

সুত্রঃটেকক্রাঞ্চ