Bangla Hacking News

ফেসবুক ব্যবহারকারীদের ট্র্যাকিং জন্য প্রশংসা করা হয় এমনকি তারা সাইট থেকে লগ আউট; সোশ্যাল মিডিয়ার টাইটান ব্যবহারকারীদের তথ্য সংগ্রহের জন্য তার কৌশলগুলির সমালোচনা করে। এখন এটি ঘোষণা করা হচ্ছে যে ফেসবুক ফেসবুক অ্যাকাউন্ট আনলক করতে ব্যবহারকারীদের সাহায্য করার জন্য মুখের সনাক্তকারী প্রযুক্তি পরীক্ষা করছে। ফেসবুকে লকড অ্যাকাউন্টটি আপনার সাথে সম্পর্কিত কিনা তা পরীক্ষা করতে ফেসবুকে আপনার মুখটি ব্যবহার করবে এবং কোনও স্ক্রিপ্ট কিডী বা তৃতীয় পক্ষের অন্য কারো অ্যাক্সেসের চেষ্টা করছে না অ্যাকাউন্ট। TechCrunch এর মতে, "আপনি যদি কোথাও কোথাও থাকেন তবে আপনি বিমানের মতো অথবা বিদেশে ভ্রমণের সময় দুই-ফ্যাক্টর প্রমাণীকরণের এসএমএস পাবেন না, অথবা যদি আপনি আপনার ইমেল অ্যাকাউন্টে অ্যাক্সেস হারাবেন"।
 Hacking news english e porte hole akhane visit korun http://www.techofficees.com

"আমরা অ্যাকাউন্ট পুনরুদ্ধার প্রক্রিয়ার সময় অ্যাকাউন্টের মালিকানা দ্রুত এবং সহজে যাচাই করতে চাই এমন ব্যক্তিদের জন্য একটি নতুন বৈশিষ্ট্য পরীক্ষা করছি। এই ঐচ্ছিক বৈশিষ্ট্যটি কেবল আপনার ডিভাইসগুলিতে প্রবেশ করার জন্যই ব্যবহৃত হয়। এটা আরেকটি ধাপ, এসএমএস এর মাধ্যমে দুই ফ্যাক্টর প্রমাণীকরণের পাশাপাশি, নিশ্চিত করতে যে অ্যাকাউন্ট মালিকরা তাদের পরিচয় নিশ্চিত করতে পারে, "ফেসবুক টেকচার্ডকে বলেন।

এটা সম্ভবত ফেসবুক আইফোন এক্স এর মুখের স্বীকৃতি দিয়ে প্রভাবিত হয় যে ব্যবহারকারীদের অবিলম্বে তাদের ফোন আনলক করতে দেয় TNW এর মাত নওয়ারার দ্বারা ভাগ করা একটি স্ক্রিনশট, একজন দেখতে পারেন যে ভবিষ্যতে কীভাবে ফেসবুকের মুখের স্বীকৃতি বৈশিষ্ট্য কাজ করবে।
প্রত্যক্ষ স্বীকৃতি নিজেই সংস্থাগুলির দ্বারা ব্যবহৃত দ্রুততম প্রযুক্তির একটি হয়ে উঠেছে, উদাহরণস্বরূপ, চীনের পাবলিক টয়লেটগুলিতে মুখের স্বীকৃতি সিস্টেম ব্যবহার করা হচ্ছে এবং মার্কিন যুক্তরাষ্ট্র বিমানবন্দর দেশ ছেড়ে চলে যাওয়া বা দেশের পরিদর্শন করার জন্য একই প্রযুক্তির ব্যবহার করছে।
এফবিআই (ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন) এছাড়াও 411 মিলিয়ন ছবির একটি ডাটাবেস মালিক, যার মধ্যে 140 মিলিয়ন বিদেশী যারা মার্কিন ভিসার জন্য আবেদন করেছে এবং 30 মিলিয়ন অপরাধী কোনও তত্ত্বাবধান ছাড়াই mugshots

যাইহোক, নিরাপত্তা ফার্ম বিটগ্লাস পরিচালিত 1২9 হ্যাকারের একটি সাম্প্রতিক জরিপ অনুযায়ী মুখের স্বীকৃতিটি স্ট্যান্ডার্ড পাসওয়ার্ডগুলির পিছনে দ্বিতীয় কম দক্ষ নিরাপত্তা সরঞ্জাম বলে বিবেচিত হয়। মুখের স্বীকৃতি এছাড়াও ফিঙ্গারপ্রিন্ট প্রমাণীকরণের চেয়ে ছয় বার আরো খারাপ সরঞ্জাম হিসাবে গণ্য করা হয়, এটি মুখের স্বীকৃতি টেক নিরাপত্তা সম্পর্কে বাতাসে অনেক সন্দেহ আছে যে ইঙ্গিত।

ডিজিটাল গার্ডিয়ানের গ্লোবাল সিকিউরিটি এডভোকেট টমাস ফিশারের মতে, "ফেসবুকের ফেস আইডি ব্যবহারকারীদেরকে দ্বিতীয় পরিচয়ের প্রমাণীকরণ প্রদানের উপর দৃষ্টি নিবদ্ধ করা হয়েছে বলে তারা তাদের অ্যাকাউন্ট অ্যাক্সেস হারাতে বা তাদের পাসওয়ার্ড ভুলে যায়। এটা মনে রাখা আকর্ষণীয় যে ফেসবুকের প্রযুক্তি শুধুমাত্র একটি ডিভাইসে কাজ করবে যা ইতিমধ্যে একটি ব্যবহারকারী অ্যাকাউন্টের সাথে যুক্ত করা হয়েছে। এটি কার্যকরভাবে তিন-স্তর প্রমাণীকরণ প্রক্রিয়া প্রদান করে: অ্যাকাউন্ট, ডিভাইস এবং বায়োমেট্রিক্স, অ্যাক্সেস লাভের জন্য আপনাকে তিনটি কারণের প্রয়োজন হবে। এটি একটি ব্যবহারকারীর অ্যাকাউন্টের নিরাপত্তা বৃদ্ধি করতে পারে। "

ফেসবুকে অতীতে ছবির ট্যাগ প্রস্তাবনার জন্য মুখোমুখি মনোভাবের জন্য কিছু প্রতিক্রিয়া দেখা দিয়েছে, তবে এই বৈশিষ্ট্যটি শুধুমাত্র আপনাকে ব্যক্তিগতভাবে সাহায্য করার জন্য প্রযুক্তিটি ব্যবহার করবে। অতএব এটি গোপনীয়তা উদ্বেগ হিসাবে বড় না করা উচিত, যদিও স্পষ্টত কিছু বায়োমেট্রিক তথ্য সম্পর্কিত মানুষ মানুষ বিরতি দিতে পারেন। কিন্তু যদি এটি আপনার বার্তা এবং সংবাদ ফিড ফিরে পেতে পারেন, বা একটি হ্যাক দ্বারা সম্পন্ন ক্ষতি মেরামত, অনেক মানুষ ফেসবুকে তাদের মুখ ব্যবহার করার জন্য আরামদায়ক হতে পারে সম্ভবত।

এসভিআর ট্র্যাকিং থেকে হাফ এক মিলিয়ন ভেহিকল রেকর্ডস লিনাক্স অনলাইন - অ্যামাজন ওয়েব সার্ভিস বাটকে ধন্যবাদ।

এসভিআর ট্র্যাকিং, একটি প্রখ্যাত গাড়ির ট্র্যাকার ডিভাইস প্রস্তুতকারক, তথ্য এক্সপোজার সর্বশেষ শিকার হয়ে উঠেছে। ক্রোমেচ সিকিউরিটি সেন্টারের গবেষণার মতে, এসভিআর ট্র্যাকিংয়ের অর্ধ মিলিয়ন রেকর্ডের লগইন তথ্য অনলাইনে লিনাক্স এবং ডিভাইসগুলির চালিত সম্ভাব্য ঝুঁকিপূর্ণ ডিভাইসগুলির মাধ্যমে ব্যক্তিগত ও যানবাহন সম্পর্কিত সংস্থার তথ্য প্রকাশ করে।



Kromtech থেকে বব Diachenko মতে: "মোট ডিভাইসের সংখ্যা অনেক বড় হতে পারে যে রিজেলার বা ক্লায়েন্টদের অনেক ট্র্যাকিং জন্য ডিভাইস বিপুল সংখ্যক ছিল। বয়স যেখানে অপরাধ ও প্রযুক্তি হাতে হাতে যায়, যদি সাইবার অপরাধীরা জানতে পারে যে কোন কারটি কীভাবে প্রমাণপত্রাদি দিয়ে প্রবেশ করে যা অনলাইনে সর্বজনীনভাবে পাওয়া যায় এবং সেই গাড়িটি চুরি করে?

এই তথ্যটি প্রকাশ্যে অ্যামাজন ওয়েব সার্ভিসেস এস 3 বালতিতে পাওয়া যায় যেখানে প্রায় 540,64২ এসভিআর অ্যাকাউন্ট তথ্য উপস্থিত রয়েছে। তথ্য অন্তর্ভুক্ত ইমেইল ঠিকানা, পাসওয়ার্ড, লাইসেন্স প্লেট এবং VIN / গাড়ির সনাক্তকরণ সংখ্যা।

এসভিআর ট্র্যাকিং থেকে হাফ এক মিলিয়ন ভেহিকল রেকর্ডস লিনাক্স অনলাইন
লিকড ডেটা স্ক্রিনশট (ক্রেডিট: ক্রোমটেক)
Kromtech দাবি যে যদিও উপলব্ধ তথ্য প্রায় অর্ধ মিলিয়ন যানবাহন হয়, যেখানে একাধিক যানবাহন একক রেকর্ডের সাথে সংযুক্ত করা হয় যেখানে ক্ষেত্রে আছে। বর্তমানে, যে ডেটাটি প্রকাশ করা হয়নি সেটির মেয়াদ নিশ্চিত করা হয়নি, তবে এসভিআর ট্র্যাকিং অবিলম্বে বিষয়টি সূচিত হওয়ার সাথে সাথে সমস্যাটির সমাধান করেছে।

এসভিআর এর ডেটা লিক এছাড়াও 339 টি লোগগুলি প্রকাশ করেছে, যার মধ্যে রয়েছে গাড়ি সংক্রান্ত রেকর্ডের পরিমাণ উল্লেখযোগ্য পরিমাণে রক্ষণাবেক্ষণ রেকর্ড, জিপিএস সার্ভিস ডেটা, গাড়ির ছবি এবং কিছু গুরুত্বপূর্ণ নথি যা 427 টি কার ডিলারশিপের সাথে তথ্য সরবরাহ করে, যা SVR ট্র্যাকিং পরিষেবার ব্যবহার করে। ডেটা "অ্যাকাউন্ট" নামে একটি ব্যাকআপ ফোল্ডারে সংরক্ষিত ছিল এবং এই ফোল্ডারটি 540,642 রেকর্ড রয়েছে।

এসভিআর ট্র্যাকিং থেকে হাফ এক মিলিয়ন ভেহিকল রেকর্ডস লিনাক্স অনলাইন
এসভিআর স্ক্রিনশট


সমস্যা একটি ভুল কনফিগারেড AWS S3 বাকেট সম্পর্কিত। জানা যায়, বালতি সঠিকভাবে কনফিগার করা হয়নি, কেননা এটি একটি নির্দিষ্ট, অজ্ঞাত সময়কালের জন্য সর্বজনীনভাবে অ্যাক্সেসযোগ্য ছিল। এই যখন তথ্য বিভেদ ঘটেছে। ক্যাশ প্রথমত 18 সেপ্টেম্বর আবিষ্কৃত হয়েছিল যখন কোমটেক ২0 শে সেপ্টেম্বর এসভিআরকে জানিয়েছিলেন যে AWS বালতি বন্ধ হয়ে গেছে।

এসভিআর ট্র্যাকিং বিশেষজ্ঞ, নির্ভরযোগ্য গাড়ির পুনরুদ্ধারের সমাধান সরবরাহের জন্য পরিচিত হয় 24/7 অটোমোবাইল ইনস্টল নজরদারি ডিভাইস। এই ডিভাইসের মূল উদ্দেশ্য হচ্ছে চুরি বা টাওয়ার থেকে গাড়ি আটকানো।

24/7 নজরদারি নিশ্চিত করার জন্য, ডিভাইসটি গাড়ির অবস্থানের লাইভ আপডেট সরবরাহ করতে হবে, যা একটি ক্রমাগত প্রক্রিয়া যা প্রতিটি মিনিটে মিনিটের ব্যবধানে সঞ্চালিত হয় যখন গাড়ির মোবাইল হয় এবং প্রতি চার ঘণ্টার পরে এটি স্থিতিশীল হয়। যানবাহন মালিকেরা গত 120 দিনের তথ্য অ্যাক্সেস করতে পারেন। এটি ডিভাইসের ভিতরে একটি গোপন অবস্থানে ডিভাইস ইনস্টল করা হয় যে লক্ষ করা আবশ্যক; অতএব, কোন অননুমোদিত ব্যক্তি এটি লক্ষ্য করতে পারে না।

আমরা উল্লেখ করেছিলাম যে গাড়ির মালিকটি গত 1২0 দিনে গাড়িটির অবস্থান অ্যাক্সেস করতে পারে কিন্তু এটি SVR অ্যাপ্লিকেশনের জন্য সঠিক লগইন শংসাপত্রের অ্যাক্সেসের উপর নির্ভর করে। অ্যাপটি ডেস্কটপ, ল্যাপটপ এবং সমস্ত মোবাইল ডিভাইসের সাথে সামঞ্জস্যপূর্ণ। এসভিআর পাসওয়ার্ডগুলি অন্যান্য র্যান্ডম ডেটা দিয়ে ধুয়েছে কিন্তু সমস্যা হল যে সুরক্ষা স্তর, যা SHA-1, খুবই দুর্বল। এটি একটি হ্যাকার এসভিআর পাসওয়ার্ড ফাটল জন্য এটি খুব সহজ।

Kromtech গবেষকরা এই দিন বেশ সক্রিয় হয়েছে। পূর্বে, নিরাপত্তা ফোর্সটি 3 মিলিয়ন WWE ভক্তদের ডেটাবেস আবিষ্কার করেছিল। গত এক সপ্তাহে, ক্রোমটেক আলাস্কা ভোটার এবং ভায়াকম ডেটাবেস সহ সর্বজনীনভাবে উপলব্ধ ডেটাবেস দুটি হাই প্রোফাইল ডেটাবেস আবিষ্কার করেছেন।

অ্যান্ড্রয়েড স্মার্টফোনের ব্যবহারকারীদের জন্য, অনলাইন জীবন একে অপরের সাথে একেবারে অন্যতম কারণ একটি নতুন পদ্ধতি রয়েছে যার মাধ্যমে সাইবার ক্রাইমিন তাদের ডিভাইসের ট্যাবটি রাখার এবং গোপনীয়তা আক্রমন করার পরিকল্পনা করে। এটি একটি থাম্বনের নিয়ম যে একটি অ্যান্ড্রয়েড ব্যবহারকারী গোপনীয় তথ্য সংরক্ষণের জন্য ডিভাইস বিশ্বাস করতে হবে না এমনকি সবচেয়ে নির্দোষ খুঁজছেন অ্যাপ্লিকেশন অযৌক্তিক নজরদারি সঞ্চালন করতে পারেন। অ্যাপ্লিকেশন ডেভেলপার এবং OEM তাদের পণ্য এবং পরিষেবা ডিজাইন উপায় এ দোষ।

যাইহোক, সৌভাগ্যবশত আমরা নিরাপত্তাজনিত বিশেষজ্ঞ এবং গবেষকগণের সাথে আশীর্বাদযুক্ত, দিন-ও-দিন-দিন কাজ করার জন্য আমাদেরকে গোপন ফাংশন এবং কিছু অ্যাপগুলির দক্ষতা সম্পর্কে সতর্ক করার জন্য যাতে আমরা তাদের ডাউনলোড করা এড়িয়ে চলি।




AdGuard সুরক্ষার গবেষকরা গুগল কীবোর্ড আবিষ্কার করেছেন যে, চীনা GOMO ডেভেলপার দল দ্বারা তৈরি একটি অ্যাপটি বিশ্বস্ত হতে পারে না কারণ এটি গুপ্তচরবৃত্তি করে এবং এ কারণে, অ্যান্ড্রয়েড স্মার্টফোন মালিকদের এই অ্যাপ্লিকেশনটি ডাউনলোড বা ইনস্টল করতে হবে না।

গবেষকদের মতে, "জি কীবোর্ড - ইমোজি কীবোর্ড, সোয়াইপ ইনপুট, জিআইএফস" এবং "জিও কীবোর্ড - ইমোটিকন কীবোর্ড, ফ্রি থিম, জিআইএফ" নামে গুগলের দুটি বৈচিত্র পাওয়া যায়। উভয় সংস্করণ ব্যক্তিগত ডেটা রিমোট সার্ভারে পাঠায় এবং Android ডিভাইস অন অননুমোদিত কোড চালানো। প্রতিটি সংস্করণে এখনো পর্যন্ত 100 কিলোমিটার পর্যন্ত 500 কিলোমিটার ডাউনলোড রয়েছে এবং Play Store এ এই অ্যাপ্লিকেশানগুলি 4.5 এবং 4.4 নম্বরে রেট দেওয়া হয়েছে।


কীবোর্ড এর অ্যাপ্লিকেশন তথ্য যান
অ্যাডগার্ডের গবেষকরা সন্দেহজনক গুপ্তচরবৃত্তির ব্যাপারে সতর্ক হয়ে গিয়েছে যেগুলি স্পর্শবাল কীবোর্ড অ্যাপ্লিকেশনটি ২017 এর আগে এইচটিসি ডিভাইসগুলিতে বিজ্ঞাপন প্রদর্শন করার পরে সনাক্ত করা হয়েছিল। এটি সন্দেহ করা হয়েছিল যে GOMO বিকাশকারী দল ব্যক্তিগত এবং গোপনীয় তথ্য সংগ্রহ করার চেষ্টা করছে যেমন ইমেল ঠিকানা গুগল প্লে স্টোর, অ্যান্ড্রয়েড ভার্সন, স্ক্রীন সাইজ, নেটওয়ার্ক প্রকার এবং ফোন এর মেন / মডেল নম্বর দিয়ে সংযুক্ত।

তদ্ব্যতীত, কীবোর্ড অ্যাপ্লিকেশনগুলির ট্র্যাকিং নেটওয়ার্কগুলির সাথে যোগাযোগ করা হতো এবং ডেক্স ফাইলগুলি যেমন একটি দূরবর্তী সার্ভারের মাধ্যমে নেটিভ কোডিংয়ের মতো এক্সিকিউটিং কোড ছিল। এটি ডেভেলপার্স পলিসি সেন্টারের দূষিত বিভাজন বিভাগের লঙ্ঘন। অ্যাপ্লিকেশন এছাড়াও ডেভেলপারদের দ্বারা প্রদত্ত তথ্য অ্যান্ট এর বিবরণ মধ্যে contradicts। এটা পড়ছে:

"ক্রেডিট কার্ডের তথ্য সহ আমরা আপনার তথ্য সংগ্রহ করব না। আসলে, আমরা আপনার টাইপ এবং আপনি টাইপ কি গোপনীয়তা জন্য যত্ন! "
অ্যাপ্লিকেশন এটি প্রতিশ্রুতি বা দাবিগুলির সঠিক বিপরীত কি। এটি ডিভাইসে ইনস্টলেশনের পরে ব্যক্তিগত ডেটা ভাগ করে নেওয়া শুরু করে এবং সংবেদনশীল, গোপনীয় তথ্য সংগ্রহের পাশাপাশি কয়েক ডজন ট্র্যাকিং সার্ভারের সাথে যোগাযোগ করে।

এটি এই অ্যাপগুলির কিছু ডাউনলোড প্লাগইন বিশিষ্ট অ্যান্টি-ভাইরাস সফটওয়্যার প্রোগ্রাম দ্বারা অ্যাডওয়্যারের হিসাবে ঘোষণা করা হয়েছে উল্লেখযোগ্য। বিপদগুলি বেশ সুস্পষ্ট; যদি কীবোর্ড অ্যাপ্লিকেশনগুলি আমরা পাসওয়ার্ড, বার্তা পাঠ্য, সোশ্যাল মিডিয়া লগইন আইডি, ফোন নম্বর এবং ব্যাংক একাউন্ট নম্বরগুলি ইত্যাদি টাইপ করি এমন সব কিছু রেজিস্টার করতে ও পাঠাতে পারি, তাহলে এই তথ্যটি বিভিন্নভাবে বিক্রি করা যায় তাদের তৃতীয় পক্ষের কাছে

কিছু কিছু বিজ্ঞপ্তি আমরা লক্ষ্য করেছি: "চলমান অ্যাপ্লিকেশনগুলি পুনরুদ্ধার করুন, সংবেদনশীল লগ ডেটা পড়ুন, ডিভাইসে অ্যাকাউন্টগুলি সন্ধান করুন, আপনার পরিচিতিগুলি পড়ুন, কল লগ পড়ুন, অডিও রেকর্ড করুন, অননুমোদিত উইন্ডোগুলি প্রদর্শন করুন, আপনি অভিধানে যোগ করা শর্তগুলি পড়তে এবং শব্দগুলি যুক্ত করুন ব্যবহারকারী-সংজ্ঞায়িত অভিধান ইত্যাদি। "

"আমরা এই আচরণ অগ্রহণযোগ্য এবং বিপজ্জনক খুঁজে। ২00+ মিলিয়ন ব্যবহারকারী থাকলে অ্যাপটি নির্ভরযোগ্য নয়। অন্ধকারে মোবাইল অ্যাপ্লিকেশনগুলি বিশ্বাস করবেন না এবং সর্বদা তাদের গোপনীয়তা নীতি পরীক্ষা করবেন এবং ইনস্টলেশনের পূর্বে তাদের কোনও অনুমতি প্রয়োজন হবে, "অ্যাডগারার্ড গবেষকরা বলেছিলেন।

অ্যাডগার্ডটি তার অনুসন্ধানের বিষয়ে গুগলকে জানিয়েছিল এবং সংস্থাটি এখনো এই বিষয়ে একটি সরকারী বিবৃতি প্রকাশ করেনি। তবে, তিন দিন আগে, তাদের মন্তব্য বিভাগে, অ্যাডগারার্ডের আন্দ্রে মেশকভ লিখেছেন যে গুগল তাদের প্রতিবেদনে জবাব দেয়নি।

জিরো-দিনের দুর্বলতাগুলি সর্বাধিক সাইবার অপরাধীদের জন্য আশীর্বাদ এবং এই সময় হ্যাকাররা এক বা দুটি নয়, কিন্তু তাদের তিনটি কাজে ব্যবহার করে। সিকিউরিটি ফার্ম ওয়ার্ডফেন্স রিপোর্ট করেছে যে তিনটি শোষিত দুর্বলতা ওয়ার্ডপ্রেস প্লাগইনকে প্রভাবিত করেছে কিন্তু আক্রমণ ভেক্টর এখন নিখরচায় এবং এই প্লাগিনের লেখকদের দ্বারা আপডেটগুলি প্রকাশ করা হয়েছে।


এটা লক্ষ করা আবশ্যক যে আক্রমণ ভেক্টর একটি পিএইচপি বস্তু ইনজেকশন দুর্বলতা ছিল, যা একইভাবে তিনটি ওয়ার্ডপ্রেস প্লাগইন প্রভাবিত ওয়ার্ডফেন্স তার নিয়মিত "সাইট পরিস্কার সেবা" সময় শূন্য দিন চিহ্নিত যখন হ্যাক ওয়েবসাইটের একটি শর্ট এবং শোষণের ইঙ্গিত আবিষ্কার করা হয়েছিল যখন হ্যাক করা সাইটগুলি নিরীক্ষণ করা হয়েছিল, এটি এমন একটি যা ব্যবহার করে শিকার ওয়েবসাইটগুলিতে একটি দূষিত ফাইল তৈরি করে যখন লগগুলি কেবল /wp-admin/admin-ajax.php- এর জন্য POST অনুরোধ দেখায়।



কোম্পানী তার হুমকি তথ্য আক্রমন বন্দী। ওয়ার্টফেন্সের প্রধান ডেভেলপার ম্যাট ব্যারি, শোষণ পুনর্গঠনে পরিচালিত হয়েছিলেন এবং অবিলম্বে নতুন ওয়্যাফের নিয়মনীতিগুলিকে দমনের জন্য দমন করেছেন। নতুন নিয়মগুলি প্রিমিয়াম গ্রাহকদের কাছে পাঠানো হয়েছে যাতে নিখরচায় তাদের সুরক্ষা নিশ্চিত করা যায় এবং প্লাগিন লেখকদেরও তা জানানো হয় যাতে দ্রুত সংশোধন করা যায়।

প্রভাবিত প্লাগইন, যা এখন সংশোধন করা হয়েছে অন্তর্ভুক্ত:

1. WPMU দেব এর অ্যাপয়েন্টমেন্ট (v.2.2.2 মধ্যে নির্দিষ্ট করা হয়েছিল)

2. ড্যান কুল্টারের ফ্লিকার গ্যালারি (যা 1.5.3 সংস্করণে সংশোধন করা হয়েছিল) এবং

3. CMSHelpLive এর রেজিস্ট্রেশনম্যাগিক-কাস্টম রেজিস্ট্রেশন ফরমগুলি (যা v। 3.7.9.3 তে সংশোধন করা হয়েছিল)

তার উপদেষ্টা ইন, ওয়ার্ডফেন্স ব্যাখ্যা করেন যে ওয়ার্ডপ্রেস ওয়েবসাইটগুলিতে ব্যাকডোরস ইনস্টল করার জন্য দুর্বলতাগুলি ব্যবহার করা হয়েছিল এবং ২1,000 ওয়েবসাইটগুলি থেকে ব্যবহারকারীদের প্লাগইনগুলি সম্পর্কে সতর্ক করে দিয়েছিল যতক্ষন না এইগুলি নতুন প্রকাশিত প্লাগইন সংস্করণের সাথে আপডেট করা হয়। যদিও ওয়েবসাইটের সংখ্যা আশ্চর্যজনকভাবে কম, তবে এই তিনটি প্লাগইন অন্য যেহেতু জনপ্রিয় নয় তবে ওয়ার্ডফেস ব্যবহারকারীদের সাবধানতা অবলম্বন করার পরামর্শ দিয়েছে। CVSSv3 তীব্রতা স্কেলে, এই শূন্য দিনের দুর্বলতা 10 এর 9.8 এর একটি স্কোর আছে, যা অবশ্যই অত্যন্ত বেশী এবং এর অর্থ এই গুরুতর প্রকৃতির।

ওয়ার্ডফেন্স গবেষক ব্র্যাড হাস বলেন যে এই দুর্বলতা হ্যাকাররা একটি ওয়েবসাইটকে "একটি দূরবর্তী ফাইল আনতে" সক্ষম করতে সক্ষম হয় যা একটি পিএইচপি ব্যাকগ্রাউন্ড ছিল। আক্রমণকারীরা তখন ফাইলটি পছন্দসই স্থানে সংরক্ষণ করবে। যাইহোক, হাস ব্যাখ্যা করেন যে দুর্বলতাটি খুব সহজেই শোষিত হয় কারণ এটি একটি হ্যাকারের জন্য একটি HTTP পোস্ট অনুরোধের মধ্যে কোডটি শোষণ করার জন্য প্রয়োজন যা লক্ষ্যযুক্ত ওয়েবসাইটে পাঠানো হয় এবং এই সাইটে কোনও প্রমাণীকরণ প্রক্রিয়ার সম্মুখীন হওয়ার প্রয়োজন নেই শোষণ triggering আরও হতাশাজনক যে অন্যান্য হ্যাকারগুলি প্লাগইনগুলির চ্যানেলগুলিতে বিপরীত প্রকৌশল সম্পাদন করতে পারে যা কোডটি শোষণ করে।

এই শোষণগুলি মাতামাতি ছিল: একটি দূষিত ফাইলটি কোথাও খুঁজে পাওয়া লাগে না এবং এমনকি অ্যাক্সেস লগগুলি সহ সাইটগুলি কেবল /wp-admin/admin-ajax.php- এ ফাইল তৈরির সময় একটি পোস্ট অনুরোধ দেখিয়েছে। কিন্তু আমরা আমাদের হুমকির ডেটাতে হামলাগুলি দখল করে নিয়েছিলাম, এবং আমাদের প্রধান বিকাশকারী ম্যাট ব্যারি এই শোষণগুলির পুনর্গঠন করতে সক্ষম ছিলেন। আমরা এই দোষীদের আটকানোর জন্য দ্রুত নতুন WAF নিয়মগুলি ধাক্কা দিয়েছিলাম। প্রিমিয়াম গ্রাহকগণ নতুন নিয়মাবলী পেয়েছেন এবং তাৎক্ষণিকভাবে সুরক্ষিত ছিল। আমরা প্লাগইন লেখককে বিজ্ঞাপিত করেছি; সব তিনটি দুর্বলতা ঠিক করার জন্য আপডেটগুলি প্রকাশ করেছে।
অ্যাডমিন- ajax.php ফাইলের POST অনুরোধে লক্ষ্য করার জন্য আক্রমণকারীকে অন্য দুটিের প্রয়োজন হলে Flickr Gallery প্লাগইনটি চালানোর সাইটগুলি তাদের মূল URL টি লক্ষ্য করে শোষিত হতে পারে। যখন হ্যাকার সফলভাবে গুপ্তচরবৃত্তি ডাউনলোডের লক্ষ্যবস্তু ওয়েবসাইটগুলি তোলার চেষ্টা করে তখন এটি কেবলমাত্র কয়েক মিনিটের মধ্যেই সাইটের হাইজ্যাক করতে পারে।

"সর্বদা আপনার অপারেটিং সিস্টেম এবং সফ্টওয়্যার আপ টু ডেট রাখুন।"
এটি সর্বাধিক জনপ্রিয় ও সমালোচনামূলক পরামর্শের একটি কারণ যেটি প্রতিটি সাইবার বিশেষজ্ঞরা আপনাকে প্রধান সাইবার হামলার থেকে নিজেকে রক্ষা করার জন্য অনুসরণ করার পরামর্শ দেয়।
যাইহোক, এমনকি যদি আপনি আপনার সিস্টেমে জমিদারি লঙ্ঘন সফ্টওয়্যার আপডেট ইনস্টল করার চেষ্টা করেন, তবে আপনার কম্পিউটারের পুরানো এবং দুর্বলতাগুলির একটি ভাল সুযোগ রয়েছে।

নিরাপত্তা ফার্ম Duo Labs এর গবেষকরা 73,000 এরও বেশি ম্যাক সিস্টেম বিশ্লেষণ করেছেন এবং আবিষ্কার করেছেন যে অ্যাপল ম্যাক কম্পিউটারগুলির একটি বিস্ময়কর সংখ্যা EFI ফার্মওয়্যার দুর্বলতাগুলির জন্য প্যাচগুলি ইনস্টল করতে ব্যর্থ হয় বা কোনও আপডেটে এটি পায় না।
অ্যাপল ম্যাক কম্পিউটারের জন্য ইন্টেল-ডিজাইন এক্সটেনসিবল ফার্মওয়্যার ইন্টারফেস (ইএফআই) ব্যবহার করে যা কম্পিউটারের ওএস এবং হাইপারভাইজারের তুলনায় নিচের স্তরের কাজ করে- এবং বুট প্রক্রিয়া নিয়ন্ত্রণ করে।
আগে EFI রান করে মাইক্রোস বুট আপ এবং উচ্চ স্তরের সুবিধা আছে যে, আক্রমণকারীদের দ্বারা শোষিত হলে, EFI ম্যালওয়ার সনাক্ত করা ছাড়া সবকিছু নিয়ন্ত্রণ করতে পারে।
"উচ্চ স্তরের নিরাপত্তা নিয়ন্ত্রণে সীমাবদ্ধ করার ক্ষমতা ছাড়াও, EFI- এ আক্রমণের ফলে বিরোধীদলটি খুব বিপজ্জনক এবং হার্ডডিস্ক সনাক্ত করতে সক্ষম হয় (EFI- এর রাষ্ট্র সম্পর্কে সত্য জানাতে ওএসে বিশ্বাস করা কঠিন); এটি বিপক্ষকেও করে তোলে একটি নতুন অপারেটিং সিস্টেম মুছে ফেলার বা হার্ডডিস্কটি পুরোপুরি পুরোপুরি মুছে ফেলার জন্য এটি খুব কঠিন নয়, "Duo researchers said।
কি খারাপ? কিছু সিস্টেমের EFI আপডেটগুলিকে ধাক্কা ছাড়াও অ্যাপল ব্যর্থ ইএফআই আপডেট প্রক্রিয়া বা প্রযুক্তিগত গালের ব্যবহারকারীদের এমনকি সতর্ক করে দেয় না, লক্ষ লক্ষ ম্যাক ব্যবহারকারীরা অত্যাধুনিক এবং উন্নত স্থায়ী সাইবার আক্রমণের জন্য ঝুঁকি নেয়।
গড়, ডু বলেন, এন্টারপ্রাইজ পরিবেশে ব্যবহার করা 73,324 বাস্তব জগতের 4.2% 4.2% একটি ভিন্ন EFI ফার্মওয়্যার সংস্করণ চালনা করা হয়েছে যা তারা চলমান নয়-হার্ডওয়্যার মডেল, অপারেটিং সিস্টেম সংস্করণ, এবং EFI সংস্করণের সাথে মুক্তিপ্রাপ্ত নয় অপারেটিং সিস্টেম।
কিছু নির্দিষ্ট ম্যাক মডেলের সংখ্যাগুলি বজায় রেখে আপনি বিস্মিত হবেন- বিশ্লেষিত আইম্যাক মডেলের 43% (২015 সালের শেষের ২5.5) পুরানো, অনিরাপদ ফার্মওয়্যার চালানো এবং কমপক্ষে 16 ম্যাক মডেলগুলি যখন কোনও EFI ফার্মওয়্যার আপডেটগুলি ম্যাক ওএস এক্স 10.10 এবং 10.1২.6 উপলব্ধ ছিল।
"এক্সপ্লোর পরিচালনা EFI দুর্বলতা যে আমাদের বিশ্লেষণের সময় স্বীকৃত এবং প্যাচ জন্য, তাদের সফটওয়্যার নিরাপত্তা আপডেটগুলি অব্যাহত সত্ত্বেও তাদের EFI আপডেট না যে ম্যাকের বিস্ময়কর সংখ্যা ছিল," Duo গবেষকরা বলছেন।
"এমনকি যদি আপনি ম্যাকোএসের সাম্প্রতিক সংস্করণটি চালনা করছেন এবং সর্বশেষ প্যাচগুলি ইনস্টল করা হয়েছে তবে আমাদের ডেটা দেখায় যে একটি অক্লান্ত সুযোগ রয়েছে যে আপনি যে EFI ফার্মওয়্যারটি চালাচ্ছেন সেটি সবচেয়ে বেশি নাও হতে পারে -ডেট সংস্করণ, "
Duo এছাড়াও ম্যাকোএস এর 10.12, 10.11, 10.10 সংস্করণ চলমান ছিল যে 47 মডেল পাওয়া যায় এবং পরিচিত দুর্বলতা মোকাবেলার প্যাচ সঙ্গে EFI ফার্মওয়্যার আপডেট প্রাপ্ত হয়নি, থান্ডার্ডিস্ট 1
যদিও 31 টি মডেল এফইআই ফার্মওয়্যার প্যাচকে একই ত্রুটি দূরবর্তী সংস্করণ সম্বোধন করে না, থান্ডার্ডিস্টিক ২।
প্রাথমিকভাবে ন্যাশনাল সিকিউরিটি এজেন্সি (এনএসএ) দ্বারা উন্নত থান্ডারস্ট্রিক্স হামলাগুলি উইকিলেক্স ভল্ট 7 ডেটা ডাম্পেও উন্মুক্ত ছিল, যা হামলাটি পুরানো ফার্মওয়্যারের উপর নির্ভর করে।

দুর্বল ম্যাক মডেলের আরো বিশদ ডুয়ো ল্যাবস গবেষণা রিপোর্টে পাওয়া যাবে।
গবেষকদের মতে, তাদের গবেষণা ম্যাক ইকোসিস্টেমের উপর দৃষ্টি নিবদ্ধ করা হয়েছিল কারণ অ্যাপল সম্পূর্ণ স্ট্যাক নিয়ন্ত্রণের কিছুটা স্বতন্ত্র অবস্থানে রয়েছে, তবে এটি ব্যাপকভাবে স্থাপন করা যেতে পারে।
"তবে, আমরা বিশ্বাস করি যে আমরা যে প্রধান বিষয়গুলি আবিষ্কার করেছি তা সাধারণত ইএফআই ফার্মওয়্যার সুরক্ষিত রাখার জন্য পরিচালিত সমস্ত বিক্রেতাদের মধ্যে প্রাসঙ্গিক এবং কেবলমাত্র অ্যাপল নয়," গবেষকরা বলেছিলেন।
ম্যাক কম্পিউটারগুলির একটি বৃহৎ সংখ্যক ম্যাক কম্পিউটারগুলির সাথে সংযুক্তিগুলির সাহায্যে Duo Labs whitepaper এ বর্ণিত তাদের মডেলগুলির পর্যালোচনা করা উচিত, "আপনার EFI এর অ্যাপল: EFI সিকিউরিটির একটি গবেষণামূলক স্টাডি থেকে ফলাফলগুলি", তাদের মডেলগুলি পুরনো নয় কিনা তা দেখার জন্য।
ম্যাক ব্যবহারকারীরা এবং অ্যাডমিনিস্ট্রেটররা এটি দেখতে পারেন যে তারা EFI- এর বিনামূল্যে সংস্করণ EFIG ব্যবহার করে তাদের সিস্টেমের জন্য EFI এর সর্বশেষ সংস্করণটি চালাচ্ছে, যা শীঘ্রই কোম্পানির দ্বারা উপলব্ধ করা হবে।

ইতিহাসের সবচেয়ে বড় পরিচিত হ্যাক ব্যবহারকারীদের আকার মাত্র তিনগুণ।

ইয়াহু, এই বছর Verizon দ্বারা অর্জিত হয় যে ইন্টারনেট কোম্পানি, এখন গত বছরের ডিসেম্বর প্রকাশ করা হয় যা আগস্ট 2013 তথ্য ভঙ্গ, সঙ্গে আপোষ সংখ্যাক অ্যাকাউন্টের মোট সংখ্যা বিশ্বাস, এটি 1 বিলিয়ন ছিল না - এটি 3 বিলিয়ন

হ্যাঁ, রেকর্ড ভাঙার ইয়াহু ডেটা লঙ্ঘন তার ব্যবহারকারীর সময়ে তার সেবাটি প্রভাবিত করেছিল।
গত বছরের শেষের দিকে, ইয়াহু প্রকাশ করেছে যে, ২013 সালের আগস্ট মাসে কোম্পানিকে বিপুল পরিমাণে ডেটা লঙ্ঘন করেছে, যার ফলে 1 বিলিয়ন ব্যবহারকারী অ্যাকাউন্ট ক্ষতিগ্রস্ত হয়েছে।
২013 সালের হ্যাক ২013 সালে হংকিত ব্যবহারকারীদের নাম, ইমেল ঠিকানা, টেলিফোন নম্বর, জন্মের তারিখ, হ্যাশ পাসওয়ার্ড (MD5 ব্যবহার করে), এবং কিছু ক্ষেত্রে "এনক্রিপ্টেড বা এনেনক্রিপ্টেড সিকিউরিটি প্রশ্ন এবং উত্তর" সহ Yahoo!
সেই সময়ে, ইয়াহু নিশ্চিত করেছে যে হ্যাকাররা ইয়াহু অ্যাকাউন্টের সাথে সংযুক্ত ব্যাঙ্ক অ্যাকাউন্টের বিবরণ বা ক্রেডিট কার্ডের তথ্য পায়নি।

তথ্য বিভেদ রাষ্ট্র স্পনসর হ্যাকারদের জন্য দায়ী ছিল। গত বছর লঙ্ঘনের প্রকাশ থেকে, ঘটনায় অনেক উন্নয়ন হয়েছে।

যাইহোক, ইয়াহু কর্তৃক সাম্প্রতিক ঘোষণাটি পরিষ্কার করে দেয় যে যদি আপনার ইয়াহুতে ইমেইল অ্যাকাউন্ট থাকে তবে আপনি কুখ্যাত ডেটা লঙ্ঘনের অংশ হয়েছেন।
ভয়েসন, ভেরিজোন সাবসিডিয়ারি যা ইয়াহুকে মার্জ করা হয়েছিল, মঙ্গলবার এসইসি'র সাথে একটি ফাইলিংয়ের ঘোষনা করে, যা পড়েছে:

"ভেরিজোন কর্তৃক ইয়াহু কর্তৃক অধিগ্রহণের পর এবং ইন্টিগ্রেশন চলাকালে, কোম্পানি সম্প্রতি নতুন গোয়েন্দা প্রাপ্ত করেছে এবং এখন বিশ্বাস করে যে বাহ্যিক ফরেনসিক বিশেষজ্ঞদের সহায়তায় তদন্ত চলছে, যে সমস্ত ইয়াহু ব্যবহারকারী অ্যাকাউন্ট আগস্ট ২013 সালের চুরির দ্বারা প্রভাবিত হয়েছে।"
বিবৃতিটি স্পষ্টভাবে বলে যে যদি আপনি ইয়াহুতে ২013 সালে একটি অ্যাকাউন্ট পেয়ে থাকেন, তবে আপনি ডেটা লঙ্ঘন দ্বারা প্রভাবিত হয়েছেন।

তাই আপনি এই বৃহত লঙ্ঘন প্রকাশের পর গত বছরের যে কোনও কারণে আপনার পাসওয়ার্ড পরিবর্তন না করেলে, আপনার অবিলম্বে আপনার পাসওয়ার্ড পরিবর্তন করতে হবে এবং দুই ফ্যাক্টর প্রমাণীকরণ (2FA) সক্ষম করতে হবে।

এছাড়াও, যদি আপনি একই পাসওয়ার্ড ব্যবহার করেন এবং অন্য কোথাও নিরাপত্তার প্রশ্নগুলির উত্তর পান তবে তাদেরও পরিবর্তন করুন।

ইয়াহু অ্যাকাউন্টটি মুছে ফেলার জন্য অপ্রয়োজনীয় একটি ভাল বিকল্প হতে পারে না, যেহেতু ইয়াহু 30 দিনের পরে অ্যাকাউন্ট মুছে ফেলতে চাইছে, যা কাউকে এটি হাইজ্যাক করার অনুমতি দেবে। সুতরাং, এমনকি যদি আপনি আপনার ইয়াহু অ্যাকাউন্ট ব্যবহার করতে না চান, তাহলে শুধু 2FA সক্ষম করুন এবং এটি ত্যাগ করুন।

ইয়াহু তাদের ক্ষতিগ্রস্ত অ্যাকাউন্ট হোল্ডারদেরকে অবিলম্বে তাদের পাসওয়ার্ড পরিবর্তন করতে এবং তাদের নিশ্চিত করে যে চুরি করা ডেটা "পরিষ্কার পাঠ্য, পেমেন্ট কার্ড ডেটা বা ব্যাংক অ্যাকাউন্টের তথ্যগুলিতে পাসওয়ার্ডগুলি অন্তর্ভুক্ত করেনি" সেগুলি সূচিত করতে শুরু করেছে।

এক উল্লেখ্য যে এই লঙ্ঘন ২014 সালের সেপ্টেম্বর মাসে Yahoo! দ্বারা গত বছরের সেপ্টেম্বর থেকে প্রকাশ করা পৃথক পৃথক, যা 500 মিলিয়নের বেশি ব্যবহারকারী অ্যাকাউন্টকে প্রভাবিত করে।
ইয়াহু একটি রাজ্য স্পনসর্ড হ্যাকিং গ্রুপ থেকে 2014 লঙ্ঘনের জন্য দায়ী। মার্চ 2016 সালে, যুক্তরাষ্ট্রের ফেডারেল ফেডারেল প্রসিকিউটররা রাশিয়ান গোয়েন্দা কর্মকর্তাদের এবং দুটি ফৌজদারি হ্যাকারকে লঙ্ঘনের সাথে জড়িত করে।

সম্প্রতি ক্রেডিট রিপোর্টিং সার্ভিস ইভিফ্যাক্স ঘোষণা করেছে যে গত মাসে প্রকাশিত একটি বৃহৎ লঙ্ঘনের মাধ্যমে অতিরিক্ত ২.5 মিলিয়ন আমেরিকান গ্রাহকও ক্ষতিগ্রস্ত হয়েছিল, যা মোট সম্ভাব্য শিকারকে 14.5 মিলিয়নের মধ্যে 145.5 মিলিয়ন ডলারে উন্নীত করেছে।