এনক্রিপশন ইলাস্ট্রেশন
মার্কিন যুক্তরাষ্ট্রের ডাক পরিষেবা (ইউএসপিএস) তার ভাঙা এপিআই স্থির করেছে যা 'ইনফর্মড ডেলিভারি' পরিষেবাটির জন্য সাইন আপ করেছেন এমন 60 মিলিয়ন ব্যবহারকারীদের অ্যাকাউন্টের বিবরণ উন্মোচিত করেছিল।
ইনফর্মড ডেলিভারি হ'ল একটি নতুন পরিষেবা যা ইউএসপিএস সরবরাহ করে যার মাধ্যমে লোকেরা তাদের সমস্ত আগত মেলের স্ক্যান করা ছবি দেখতে পারে। চিত্রগুলি মেলটি আসলে সংস্থাটি সরবরাহ করার আগে প্রেরণ করা হয়। লোকেরা তাদের মেলগুলি একটি ট্র্যাক রাখতে পারে এবং আজই কোনও গুরুত্বপূর্ণ মেল আসার কথা রয়েছে কিনা তা আগেই তা জানতে পারে।
সুরক্ষা ত্রুটির ফলে ইউটিতে যে কোনও একটি অ্যাকাউন্ট রয়েছে এসপিএস পরিষেবাটির অন্যান্য নিবন্ধিত ব্যবহারকারীদের বিশদ দেখতে এবং এমনকি সেই ব্যবহারকারীদের বিশদ পরিবর্তন করতে।
ত্রুটিটি প্রথম আ গবেষক গত বছর যখন তিনি সার্ভারে অনুরোধ প্রেরণ করে ব্যবহারকারীদের ডেটা আহরণ করতে সক্ষম হন। সুরক্ষার ত্রুটি সম্পর্কে তাদের জানাতে গবেষক একাধিকবার ইউএসপিএসের সাথে যোগাযোগ করার চেষ্টা করেছিলেন, তবে সবই নিরর্থক। গবেষক দেখিয়েছেন যে আপনি যখন সার্ভারগুলিতে ওয়াইল্ডকার্ড প্রেরণ করেছেন, তখন এটি বেশিরভাগই গ্রহণ করেছে যাতে অন্যদের অ্যাকাউন্টধারীদের বিবরণ দেখতে দেয়।
সুরক্ষা বিশেষজ্ঞ ব্রায়ান ক্রেবস ইউএসপিএস-এর যে কোনও লগ-ইন ব্যবহারকারী ইউএসপিএসের অন্যান্য ব্যবহারকারীর অ্যাকাউন্টের বিশদ অনুসন্ধান করতে সক্ষম হয়েছিল বলেছিল। অ্যাকাউন্টের বিবরণ যেমন অ্যাকাউন্ট নম্বর, ব্যবহারকারীর নাম, ইমেল ঠিকানা, ব্যবহারকারীর আইডি, ফোন নম্বর, মেলিং প্রচারের ডেটা, ঠিকানা এবং অন্যান্য তথ্য সহজেই অ্যাক্সেসযোগ্য। তবে সেই ক্ষেত্রগুলির সাথে ডেটা পরিবর্তন করার জন্য একটি বৈধকরণের পদক্ষেপ যুক্ত হওয়ায় কিছু ক্ষেত্রগুলিতে ডেটা পরিবর্তন করা যায়নি।
ক্রেবসের মতে, ইউএসপিএসের কাছ থেকে একটি বিশাল সুরক্ষার ত্রুটি ছিল কারণ ডেটাতে অ্যাক্সেস পাওয়ার জন্য সত্যিকারের হ্যাকিং দক্ষতা ছিল না যা প্রয়োজন ছিল। ব্রাউজার ব্যবহার করে উপাদানগুলি দেখতে এবং সংশোধন করতে প্রাথমিক জ্ঞান থাকা যে কেউ অ্যাকাউন্টের বিশদটি অ্যাক্সেস করতে সক্ষম হবে। ইউএসপিএস জানিয়েছে যে তারা এখনও পর্যন্ত এমন কোনও প্রমাণ পায়নি যা প্রমাণ করে যে এর ব্যবহারকারীর অ্যাকাউন্টের বিশদ কোনওরকম শোষণ হয়েছে।
ট্যাগ ডেটা সুরক্ষা
