প্রযুক্তির খবর

একটি সাধারণ কোডিং ভুলের কারণে হাজার হাজার ওয়েবসাইটে এপিআই কী (API key) উন্মুক্ত হয়ে যাচ্ছে।

১০ মিলিয়ন ওয়েবপেজ বিশ্লেষণ করার পর গবেষকরা এমন হাজার হাজার ওয়েবসাইট খুঁজে পেয়েছেন , যেগুলো দুর্ঘটনাবশত সংবেদনশীল এপিআই ক্রেডেনশিয়াল প্রকাশ করে ফেলেছে। এর মধ্যে অ্যামাজন ওয়েব সার্ভিসেস, স্ট্রাইপ এবং ওপেনএআই-এর মতো প্রধান পরিষেবাগুলোর সাথে যুক্ত কী-গুলোও অন্তর্ভুক্ত রয়েছে।

এটি একটি গুরুতর সমস্যা, কারণ আমরা বর্তমানে যে অ্যাপগুলো ব্যবহার করি, এপিআই (API) সেগুলোর মেরুদণ্ড হিসেবে কাজ করে। এগুলোর মাধ্যমে ওয়েবসাইটগুলো পেমেন্ট, ক্লাউড স্টোরেজ এবং এআই টুলের মতো পরিষেবাগুলোর সাথে সংযুক্ত হতে পারে, কিন্তু সুরক্ষিত থাকার জন্য এগুলো ডিজিটাল কী-এর ওপর নির্ভর করে। একবার ফাঁস হয়ে গেলে, এপিআই কী-গুলো ব্যবহার করে যে কেউ অসৎ উদ্দেশ্যে সেই পরিষেবাগুলোর সাথে যোগাযোগ করতে পারে।

হাজার হাজার সাইটে সংবেদনশীল এপিআই কী ফাঁস হয়েছে

টেকএক্সপ্লোর-এর তথ্য অনুযায়ী, গবেষকরা প্রায় ১০,০০০ ওয়েবপেজ জুড়ে ১,৭৪৮টি স্বতন্ত্র এপিআই ক্রেডেনশিয়াল শনাক্ত করেছেন, যা ১৪টি প্রধান পরিষেবা প্রদানকারীর সাথে যুক্ত। এই ফাঁস হওয়া তথ্যগুলো শুধু অপরিচিত সাইটেই সীমাবদ্ধ ছিল না, বরং এর কয়েকটি বৈশ্বিক ব্যাংক এবং প্রধান সফটওয়্যার ডেভেলপারদের পরিচালিত প্ল্যাটফর্মেও পাওয়া গেছে।

এই তথ্য ফাঁসের প্রায় ৮৪ শতাংশই ঘটেছে জাভাস্ক্রিপ্ট ফাইল থেকে, যা ব্রাউজারের মাধ্যমে সহজেই অ্যাক্সেস করা যায়। এর মানে হলো, ক্রেডেনশিয়ালগুলো কার্যত সর্বজনীনভাবে দৃশ্যমান কোডের মধ্যেই ছিল।

আরও উদ্বেগের বিষয় হলো, এই কী-গুলো কত দীর্ঘ সময় ধরে উন্মুক্ত ছিল। কিছু কী ১২ মাস পর্যন্ত দৃশ্যমান ছিল, আবার কয়েকটি বিরল ক্ষেত্রে দেখা গেছে যে ক্রেডেনশিয়ালগুলো বেশ কয়েক বছর ধরে অলক্ষ্যে সর্বজনীন ছিল।

তাহলে, এই ফুটো হওয়ার কারণ কী?

কোডিং, কম্পিউটিং
পিক্সাবে

গবেষণাটি থেকে এটা স্পষ্ট যে, সমস্যাটি অ্যামাজন, স্ট্রাইপ বা ওপেনএআই-এর মতো পরিষেবা প্রদানকারীদের নয়। বরং, ডেভেলপাররা যেভাবে এপিআই কী (API key) পরিচালনা করে, সমস্যাটি সেখান থেকেই উদ্ভূত হয়।

অনেক ক্ষেত্রে, ডেভেলপাররা ভুলবশত ওয়েবসাইটের ফ্রন্ট-এন্ড কোডে ব্যক্তিগত এপিআই ক্রেডেনশিয়াল অন্তর্ভুক্ত করে ফেলেন, ফলে যে কেউ সঠিক জায়গা জানলে তা দেখতে পায়।

এপিআই কী ফাঁস হওয়া কীভাবে রোধ করা যায়?

ভবিষ্যতে তথ্য ফাঁস রোধ করতে গবেষকরা কয়েকটি বাস্তবসম্মত পদক্ষেপের পরামর্শ দিয়েছেন। ফাঁস হয়ে যাওয়া কী-গুলো শনাক্ত করার জন্য ডেভেলপারদের শুধু প্রাইভেট কোডই নয়, বরং তাদের ওয়েবসাইটের লাইভ সংস্করণও স্ক্যান করা উচিত।

সাইবার নিরাপত্তার গ্রাফিক চিত্র
Adobe/Adobe

ভাইবকোডিং -এর উত্থানের সাথে সাথে, ওয়েবসাইট তৈরির স্বয়ংক্রিয় টুলগুলোর জন্য কোম্পানিগুলোর আরও কঠোর নিয়মের প্রয়োজন হচ্ছে, যেগুলো ওয়েবসাইট স্থাপনের সময় সংবেদনশীল ডেটা পরিচালনা করে। এই কারণেই লাভেবল-এর মতো প্ল্যাটফর্মগুলো ব্যবহারকারীদের ত্রুটিপূর্ণ ভাইবকোডিং করা ওয়েবসাইট থেকে রক্ষা করার জন্য নিরাপদ ব্রাউজিং টুল যুক্ত করতে শুরু করেছে

এদিকে, পরিষেবা প্রদানকারীদের তাদের সনাক্তকরণ ব্যবস্থা উন্নত করতে হবে, যাতে অনলাইনে প্রকাশিত হওয়ার সাথে সাথেই ফাঁস হওয়া কী-গুলো চিহ্নিত করা যায়। যদিও দায়িত্বশীল প্রকাশ এই ধরনের কিছু ফাঁস কমাতে সাহায্য করেছে, সমস্যাটির ব্যাপকতা এখনও যথেষ্ট গুরুতর।

সাম্প্রতিক প্রতিবেদনগুলোতে আরও দেখানো হয়েছে যে, কীভাবে শুধুমাত্র একটি ওয়েবসাইট পরিদর্শন করাও আপনার ডিভাইসকে গুরুতর ঝুঁকির মুখে ফেলতে পারে , যা সাধারণ ইন্টারনেট ব্যবহারকারীদের জন্য ওয়েব নিরাপত্তা কতটা ভঙ্গুর হতে পারে তা তুলে ধরে।