একটি বিখ্যাত গাড়ি নির্মাতার ওয়েব পোর্টালে নিরাপত্তা ত্রুটির কারণে গ্রাহকদের ব্যক্তিগত তথ্য এবং গাড়ির তথ্য উন্মুক্ত হয়েছে। এই ত্রুটির ফলে হ্যাকাররা দূর থেকে যেকোনো গ্রাহকের গাড়ি আনলক করতে পারতো। সফটওয়্যার ডেলিভারি কোম্পানি হারনেস-এর নিরাপত্তা গবেষক ইটন জাভিয়ার টেকক্রাঞ্চকে জানিয়েছেন, তিনি এই ত্রুটি আবিষ্কার করেছেন, যা তাকে পোর্টালে একটি “ন্যাশনাল অ্যাডমিন” অ্যাকাউন্ট তৈরি করতে দেয়। এই অ্যাকাউন্টের মাধ্যমে তিনি গাড়ি নির্মাতার কেন্দ্রীয় পোর্টালে “অবাধ প্রবেশাধিকার” পেয়েছিলেন।
এই অ্যাক্সেসের মাধ্যমে একজন দূষ্কৃতকারী হ্যাকার গ্রাহকদের ব্যক্তিগত ও আর্থিক তথ্য দেখতে, গাড়ির অবস্থান ট্র্যাক করতে এবং এমনকি গাড়ির কিছু ফাংশন দূর থেকে নিয়ন্ত্রণ করতে পারতো। জাভিয়ার জানান, তিনি গাড়ি নির্মাতার নাম প্রকাশ করবেন না, তবে এটি একটি সুপরিচিত কোম্পানি যার একাধিক জনপ্রিয় সাব-ব্র্যান্ড রয়েছে।
লাস ভেগাসে অনুষ্ঠিত ডেফ কন নিরাপত্তা সম্মেলনে তার বক্তৃতার আগে টেকক্রাঞ্চের সঙ্গে সাক্ষাৎকারে জাভিয়ার বলেন, এই ত্রুটি ডিলারশিপ সিস্টেমের নিরাপত্তার দুর্বলতার উপর আলোকপাত করে। এই সিস্টেমগুলো কর্মীদের এবং সহযোগীদের গ্রাহক ও গাড়ির তথ্যে ব্যাপক প্রবেশাধিকার দেয়।
জাভিয়ার, যিনি এর আগেও গাড়ি নির্মাতাদের সিস্টেমে ত্রুটি খুঁজে পেয়েছেন, এই ত্রুটিটি চলতি বছরের শুরুতে একটি উইকেন্ড প্রজেক্টের অংশ হিসেবে আবিষ্কার করেন। তিনি বলেন, পোর্টালের লগইন সিস্টেমে ত্রুটি খুঁজে পাওয়া কঠিন ছিল, কিন্তু একবার খুঁজে পাওয়ার পর এটি তাকে লগইন প্রক্রিয়া পুরোপুরি বাইপাস করতে দেয়। ত্রুটিটি এমনভাবে কাজ করতো যে, পোর্টালের লগইন পেজ খোলার সময় ব্রাউজারে লোড হওয়া কোডে পরিবর্তন আনা যেত, যা নিরাপত্তা যাচাই প্রক্রিয়াকে বাইপাস করতে সাহায্য করতো।
জাভিয়ার জানান, গাড়ি নির্মাতা এই ত্রুটির পূর্বে কোনো অপব্যবহারের প্রমাণ পায়নি, যা ইঙ্গিত করে যে তিনিই প্রথম এটি আবিষ্কার করে রিপোর্ট করেছেন। লগইন করার পর, তার অ্যাকাউন্ট যুক্তরাষ্ট্র জুড়ে গাড়ি নির্মাতার ১,০০০-এর বেশি ডিলারের তথ্যে প্রবেশাধিকার দিয়েছিল। “কেউ জানতেও পারতো না যে আপনি চুপিসারে সব ডিলারের তথ্য, তাদের আর্থিক তথ্য, ব্যক্তিগত তথ্য এবং লিড দেখছেন,” জাভিয়ার বলেন।
পোর্টালের মধ্যে তিনি একটি “ন্যাশনাল কনজ্যুমার লুকআপ টুল” খুঁজে পান, যা লগইন করা ব্যবহারকারীদের গাড়ি এবং চালকের তথ্য খুঁজে বের করতে দেয়। একটি বাস্তব উদাহরণে, জাভিয়ার একটি পাবলিক পার্কিং লটে দাঁড়ানো গাড়ির উইন্ডশিল্ড থেকে গাড়ির ইউনিক আইডেন্টিফিকেশন নম্বর (VIN) ব্যবহার করে গাড়ির মালিকের তথ্য বের করেন। এই টুল দিয়ে শুধু গ্রাহকের নাম-পরিচয় ব্যবহার করেও তথ্য খুঁজে পাওয়া সম্ভব ছিল।
পোর্টালের মাধ্যমে যেকোনো গাড়িকে একটি মোবাইল অ্যাকাউন্টের সঙ্গে সংযুক্ত করা সম্ভব ছিল, যা গ্রাহকদের মোবাইল অ্যাপ থেকে গাড়ির কিছু ফাংশন, যেমন দূর থেকে গাড়ি আনলক করা, নিয়ন্ত্রণ করতে দেয়। জাভিয়ার তার এক বন্ধুর সম্মতিতে এটি পরীক্ষা করেন। তিনি বলেন, পোর্টালে অ্যাকাউন্ট ট্রান্সফারের জন্য শুধুমাত্র একটি “অ্যাটেস্টেশন” বা মৌখিক প্রতিশ্রুতি প্রয়োজন, যা খুবই ঝুঁকিপূর্ণ। “আমি আমার বন্ধুর গাড়ির নিয়ন্ত্রণ নিয়েছিলাম, কিন্তু এটি যে কারো নাম জেনে করা সম্ভব ছিল, যা আমাকে বেশ ভয় পাইয়ে দিয়েছে,” তিনি বলেন।
জাভিয়ার বলেন, এই ত্রুটির অপব্যবহার করে চোরেরা গাড়িতে প্রবেশ করে জিনিসপত্র চুরি করতে পারতো। তিনি গাড়ি চালিয়ে নিয়ে যাওয়ার পরীক্ষা করেননি, তবে এই ঝুঁকি ছিল। এছাড়া, পোর্টালে “সিঙ্গল সাইন-অন” ফিচারের মাধ্যমে একই লগইন ব্যবহার করে অন্যান্য ডিলার সিস্টেমে প্রবেশ করা যেত। জাভিয়ার বলেন, গাড়ি নির্মাতার ডিলার সিস্টেমগুলো পরস্পরের সঙ্গে সংযুক্ত, যা এক সিস্টেম থেকে অন্য সিস্টেমে যাওয়া সহজ করে।
পোর্টালে একটি “ইম্পারসোনেশন” ফিচার ছিল, যার মাধ্যমে অ্যাডমিন অ্যাকাউন্ট অন্য ব্যবহারকারীদের পরিচয় ধরে তাদের সিস্টেমে প্রবেশ করতে পারতো। জাভিয়ার বলেন, এটি ২০২৩ সালে টয়োটা ডিলার পোর্টালে পাওয়া একটি ফিচারের মতোই। “এগুলো নিরাপত্তার দুঃস্বপ্ন,” তিনি মন্তব্য করেন।
পোর্টালে প্রবেশ করে জাভিয়ার গ্রাহকদের ব্যক্তিগত তথ্য, কিছু আর্থিক তথ্য এবং টেলিমেটিক্স সিস্টেমের তথ্য পান, যা ভাড়ার গাড়ি বা শিপিংয়ের গাড়ির রিয়েল-টাইম অবস্থান ট্র্যাক করতে দেয়। তিনি এই ফিচার বাতিল করার চেষ্টা করেননি, তবে এটি সম্ভব ছিল।
জাভিয়ারের রিপোর্টের পর গাড়ি নির্মাতা ২০২৫ সালের ফেব্রুয়ারিতে প্রায় এক সপ্তাহের মধ্যে ত্রুটিগুলো ঠিক করে। তিনি বলেন, “শুধুমাত্র দুটি সাধারণ এপিআই ত্রুটি পোর্টালের দরজা খুলে দিয়েছিল। এটি সবসময় প্রমাণীকরণের সঙ্গে সম্পর্কিত। যদি এটি ভুল হয়, তবে সবকিছু ভেঙে পড়ে।”
এই ঘটনা বাংলাদেশের গাড়ি মালিকদের জন্যও একটি সতর্কবার্তা। আমাদের দেশে গাড়ির ডিজিটাল সিস্টেমের ব্যবহার বাড়ছে, তাই নিরাপত্তা নিশ্চিত করা জরুরি। গ্রাহকদের ব্যক্তিগত তথ্য ও গাড়ির নিরাপত্তা রক্ষায় নির্মাতাদের আরও সতর্ক হওয়া প্রয়োজন।
