গুগল ক্রোমে বানান-পরীক্ষা, মাইক্রোসফ্ট এজ ব্রাউজারগুলি পাসওয়ার্ড ফাঁস করে প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.

গুগল ক্রোমে বানান-পরীক্ষা, মাইক্রোসফ্ট এজ ব্রাউজারগুলি পাসওয়ার্ড ফাঁস করে

সময় স্ট্যাম্প: 20 সেপ্টেম্বর, 2022 1:37 অপরাহ্ণ

উভয় বানান-পরীক্ষা বৈশিষ্ট্য উপস্থিত Google Chrome এবং Microsoft Edge ব্রাউজারগুলি ব্যবহারকারীর সংবেদনশীল তথ্য ফাঁস করছে — ব্যবহারকারীর নাম, ইমেল এবং পাসওয়ার্ড সহ — যথাক্রমে Google এবং Microsoft-এর কাছে, যখন লোকেরা জনপ্রিয় ওয়েবসাইট এবং ক্লাউড-ভিত্তিক এন্টারপ্রাইজ অ্যাপগুলিতে ফর্ম পূরণ করে।

সমস্যাটি - ক্লায়েন্ট-সাইড সিকিউরিটি ফার্ম অটো জাভাস্ক্রিপ্ট সিকিউরিটি (অটো-জেএস) এর গবেষকদের দ্বারা "স্পেল-জ্যাকিং" নামে অভিহিত করা হয়েছে - আলিবাবা, অ্যামাজন ওয়েব পরিষেবা সহ কিছু বহুল ব্যবহৃত এন্টারপ্রাইজ অ্যাপ্লিকেশন থেকে ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (PII) প্রকাশ করতে পারে। , Google Cloud, LastPass, এবং Office 365 অনুযায়ী একটি ব্লগ পোস্ট 16 সেপ্টেম্বর প্রকাশিত।

Otto-js-এর সহ-প্রতিষ্ঠাতা এবং CTO Josh Summit লিকেজ আবিষ্কার করেছেন — যা বিশেষভাবে ঘটে যখন Chrome-এর বর্ধিত বানান পরীক্ষা এবং Edge-এর MS Editor ব্রাউজারে সক্ষম করা হয় —
গবেষণা পরিচালনা করার সময় ব্রাউজার কিভাবে ডেটা ফাঁস করে সাধারণভাবে

সামিট দেখা গেছে যে এই বানান-চেক বৈশিষ্ট্যগুলি Google এবং Microsoft-কে ডেটা পাঠায় যা ফর্ম ফিল্ডে প্রবেশ করানো হয় — যেমন ব্যবহারকারীর নাম, ইমেল, জন্ম তারিখ এবং সামাজিক নিরাপত্তা নম্বর — যখন কেউ ব্রাউজার ব্যবহার করার সময় ওয়েবসাইট বা ওয়েব পরিষেবাগুলিতে এই ফর্মগুলি পূরণ করে , গবেষকরা বলেছেন।

ক্রোম এবং এজ ব্যবহারকারীর পাসওয়ার্ডও ফাঁস করবে যদি "পাসওয়ার্ড দেখান" বৈশিষ্ট্যটি ক্লিক করা হয় যখন কেউ কোনও সাইট বা পরিষেবাতে পাসওয়ার্ড প্রবেশ করে, সেই ডেটা Google এবং মাইক্রোসফ্টের তৃতীয় পক্ষের সার্ভারে পাঠায়, তারা বলেছে।

যেখানে গোপনীয়তার ঝুঁকি রয়েছে

অটো-জেএস গবেষকরা, যারা পোস্ট করেছেন ইউটিউবে একটি ভিডিও কীভাবে ফুটো হয় তা প্রদর্শন করে, 50 টিরও বেশি ওয়েবসাইট পরীক্ষা করা হয়েছে যা লোকেরা দৈনিক বা সাপ্তাহিক ব্যবহার করে যাদের PII-তে অ্যাক্সেস রয়েছে। তারা 30 জনকে একটি কন্ট্রোল গ্রুপে বিভক্ত করেছে যার মধ্যে ছয়টি বিভাগ রয়েছে — অনলাইন ব্যাঙ্কিং, ক্লাউড অফিস টুলস, স্বাস্থ্যসেবা, সরকার, সোশ্যাল মিডিয়া এবং ই-কমার্স — এবং প্রতিটি শিল্পের শীর্ষস্থানীয় র‌্যাঙ্কিংয়ের ভিত্তিতে প্রতিটি বিভাগের জন্য নির্বাচিত ওয়েবসাইট।

পরীক্ষা করা 30টি কন্ট্রোল গ্রুপ ওয়েবসাইটগুলির মধ্যে, 96.7% পিআইআই সহ ডেটা Google এবং মাইক্রোসফ্টকে ফেরত পাঠিয়েছে, যখন "পাসওয়ার্ড দেখান" ক্লিক করা হলে 73% পাসওয়ার্ড পাঠিয়েছে৷ অধিকন্তু, যারা পাসওয়ার্ড পাঠায়নি তারা আসলে সমস্যাটি প্রশমিত করেনি; তাদের শুধু "পাসওয়ার্ড দেখান" বৈশিষ্ট্যের অভাব ছিল, গবেষকরা বলেছেন।

গবেষকরা যে ওয়েবসাইটগুলি তদন্ত করেছেন তার মধ্যে গুগলই একমাত্র যেটি ইতিমধ্যে ইমেল এবং কিছু পরিষেবার জন্য সমস্যাটি ঠিক করেছে৷ Otto-js খুঁজে পেয়েছে যে কোম্পানির ওয়েব পরিষেবা Google ক্লাউড সিক্রেট ম্যানেজার যদিও দুর্বল রয়ে গেছে।

ইতিমধ্যে, Auth0, একটি জনপ্রিয় একক সাইন-অন পরিষেবা, যে কন্ট্রোল গ্রুপে ছিল না যেটি গবেষকরা তদন্ত করেছিলেন কিন্তু Google ছাড়া এটিই একমাত্র ওয়েবসাইট ছিল যা সঠিকভাবে সমস্যাটিকে প্রশমিত করেছে, তারা বলেছে।

Google-এর বর্ধিত বানান-চেক বৈশিষ্ট্য, যার জন্য ব্যবহারকারীর কাছ থেকে একটি অপ্ট-ইন প্রয়োজন, একটি বেনামী উপায়ে ডেটা পরিচালনা করে, Google মুখপাত্রের মতে৷

"ব্যবহারকারীর দ্বারা টাইপ করা পাঠ্যটি সংবেদনশীল ব্যক্তিগত তথ্য হতে পারে এবং Google এটিকে কোনও ব্যবহারকারীর পরিচয়ের সাথে সংযুক্ত করে না এবং এটিকে সাময়িকভাবে সার্ভারে প্রক্রিয়া করে," তিনি ডার্ক রিডিংকে বলেন। “আরও ব্যবহারকারীর গোপনীয়তা নিশ্চিত করতে, আমরা বানান পরীক্ষা থেকে সক্রিয়ভাবে পাসওয়ার্ডগুলি বাদ দেওয়ার জন্য কাজ করব। আমরা সুরক্ষা সম্প্রদায়ের সাথে সহযোগিতার প্রশংসা করি এবং আমরা সর্বদা ব্যবহারকারীর গোপনীয়তা এবং সংবেদনশীল তথ্যকে আরও ভালভাবে সুরক্ষিত করার উপায় খুঁজছি।"

বানান-চেক বৈশিষ্ট্যগুলি সক্ষম থাকলে Chrome এবং Edge-এ অ্যাপগুলি ব্যবহার করার সময় ফর্মগুলি প্রবেশ করার সময় বেশ কয়েকটি এন্টারপ্রাইজ ক্লাউড-ভিত্তিক অ্যাপ্লিকেশনের ব্যবহারকারীরাও ঝুঁকিতে থাকে৷ উল্লিখিত পরিষেবাগুলির মধ্যে, অ্যামাজন ওয়েব সার্ভিসেস (AWS) এবং LastPass-এর নিরাপত্তা দলগুলি Otto-js-এ প্রতিক্রিয়া জানিয়েছে এবং ইতিমধ্যেই সমস্যাটির প্রতিকার করেছে, গবেষকরা বলেছেন।

ডেটা কোথায় যায়?

একটি বড় প্রশ্ন যা উত্থাপিত হয় তা হল গুগল এবং মাইক্রোসফ্ট দ্বারা প্রাপ্ত ডেটার কী হবে, যা গবেষকরা বলেছেন যে তারা স্পষ্টভাবে উত্তর দিতে পারবেন না।

এই মুহুর্তে, কেউ জানে না যে ডেটা প্রাপ্তির প্রান্তে সংরক্ষণ করা হচ্ছে বা, যদি এটি হয় তবে এর নিরাপত্তা কে পরিচালনা করছে, গবেষকরা উল্লেখ করেছেন। এটিও পরিষ্কার নয় যে ডেটাটি পাসওয়ার্ডের মতো পরিচিত সংবেদনশীল ডেটার মতো একই স্তরের সুরক্ষার সাথে পরিচালিত হয় বা এটি পণ্য দলগুলি মডেলগুলিকে পরিশোধনের জন্য মেটাডেটা হিসাবে ব্যবহার করছে কিনা, তারা বলেছে।

যাই হোক না কেন, গবেষকরা পর্যবেক্ষণ করেছেন যে সমস্যাটি আবারও গুগল এবং মাইক্রোসফ্টের মতো প্রযুক্তি সংস্থাগুলির গ্রাহক, কর্মচারী এবং সংস্থাগুলি সম্পর্কে সংবেদনশীল তথ্যে এত অ্যাক্সেস থাকার বিষয়ে উদ্বেগ বাড়ায়, বিশেষত যখন এটি পাসওয়ার্ডের ক্ষেত্রে আসে।

"পাসওয়ার্ডগুলি হল একটি গোপনীয়তা যা আপনি যে পার্টির সাথে ভাগ করতে চান তার সাথে শেয়ার করেন, এবং অন্য কেউ নয়," তারা পোস্টে লিখেছেন। "একটি ভাগ করা গোপনীয়তা হ্যাশ করা উচিত এবং অপরিবর্তনীয় হওয়া উচিত, তবে এই বৈশিষ্ট্যটি 'জানা দরকার' এর একটি মৌলিক সুরক্ষা নীতি লঙ্ঘন করে এবং এটি একটি বিবেচনা করা যেতে পারে গোপনীয়তা লঙ্ঘন. "

সহজে উপেক্ষা করা সমস্যা

অধিকন্তু, অনেক কারণে ব্যবহারকারী বা উদ্যোগের জন্য ডেটা ফাঁস ব্যাপক হতে পারে, গবেষকরা উল্লেখ করেছেন। একটি হল যে ব্রাউজার বৈশিষ্ট্যগুলি যেগুলি ডেটা প্রকাশ করে তা আসলে ব্যবহারকারীদের জন্য সহায়ক, সেগুলি ব্যবহারকারীর অজান্তেই চালু এবং ডেটা প্রকাশ করার সম্ভাবনা রয়েছে৷

"সম্পর্কিত বিষয় হল এই বৈশিষ্ট্যগুলিকে সক্ষম করা কতটা সহজ এবং বেশিরভাগ ব্যবহারকারীরা পটভূমিতে কী ঘটছে তা উপলব্ধি না করেই এই বৈশিষ্ট্যগুলিকে সক্ষম করবে," সামিট বলে৷

পাসওয়ার্ড এক্সপোজার ব্রাউজার বানান-চেক এবং একটি ওয়েবসাইট বৈশিষ্ট্যের মধ্যে একটি "অনাকাঙ্ক্ষিত মিথস্ক্রিয়া" হিসাবেও ঘটে, যা এটিকে এমন কিছু করে যা সহজেই রাডারের নীচে উড়ে যেতে পারে, ওয়াল্টার হোহেন, অটো-জেএস-এর ইঞ্জিনিয়ারিংয়ের ভাইস প্রেসিডেন্ট নোট করেছেন

"ক্রোম এবং এজ-এ উন্নত বানান-পরীক্ষা বৈশিষ্ট্যগুলি ডিফল্ট অভিধান-ভিত্তিক পদ্ধতিগুলির উপর একটি উল্লেখযোগ্য আপগ্রেড অফার করে," তিনি বলেছেন। "অনুরূপভাবে, যে ওয়েবসাইটগুলি ক্লিয়ার টেক্সটে পাসওয়ার্ড প্রদর্শনের বিকল্প প্রদান করে সেগুলি আরও ব্যবহারযোগ্য, বিশেষ করে যারা প্রতিবন্ধী তাদের জন্য।"

প্রশমনের পথ

এমনকি যদি কোনো ওয়েবসাইট বা পরিষেবা তার দিক থেকে সমস্যার সমাধান না করে থাকে, তবে এন্টারপ্রাইজগুলি সমস্ত ইনপুট ক্ষেত্রগুলিতে "বানানচেক= মিথ্যা" যোগ করে তাদের গ্রাহকদের PII ভাগ করে নেওয়ার ঝুঁকি কমাতে পারে, যদিও এটি ব্যবহারকারীদের জন্য সমস্যা তৈরি করতে পারে, গবেষকরা স্বীকৃত.

বিকল্পভাবে, এন্টারপ্রাইজগুলি শুধুমাত্র ঝুঁকি অপসারণের জন্য সংবেদনশীল ডেটা সহ ক্ষেত্র তৈরি করতে কমান্ড যোগ করতে পারে, অথবা তারা তাদের ফর্মগুলিতে "পাসওয়ার্ড দেখান" বৈশিষ্ট্যটি কেড়ে নিতে পারে, তারা বলেছে। এটি বানান-জ্যাকিং প্রতিরোধ করবে না, তবে এটি পাসওয়ার্ড পাঠানো থেকে বাধা দেবে, গবেষকরা বলেছেন।

অটো-জেএস অনুসারে, কোম্পানিগুলি বর্ধিত বানান পরীক্ষা বৈশিষ্ট্যগুলিকে অক্ষম করে এবং কর্মীদের অননুমোদিত ব্রাউজার এক্সটেনশনগুলি ইনস্টল করা থেকে সীমাবদ্ধ করে এমন এন্ডপয়েন্ট সুরক্ষা সতর্কতাগুলি প্রয়োগ করে কোম্পানির মালিকানাধীন অ্যাকাউন্টগুলির অভ্যন্তরীণ এক্সপোজার হ্রাস করতে পারে৷

ভোক্তারা তাদের ব্রাউজারে গিয়ে এবং সংশ্লিষ্ট বানান-চেক অপরাধীদের নিষ্ক্রিয় করে তাদের অজান্তেই মাইক্রোসফ্ট এবং গুগলে তাদের ডেটা পাঠানোর তাদের নিজস্ব ঝুঁকি হ্রাস করতে পারে, গবেষকরা যোগ করেছেন।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া