বিটসাইট বলে যে ওয়েবক্যাম এবং অন্যান্য আইওটি ডিভাইসের সুবিধা গ্রহণ করে, হ্যাকাররা ব্যক্তিগত এবং পেশাদার কথোপকথনে গুপ্তচরবৃত্তি করতে পারে, সম্ভাব্যভাবে তাদের সংবেদনশীল তথ্যে অ্যাক্সেস দেয়।
কল্পনা করুন একটি সাইবার অপরাধী আপনার প্রতিষ্ঠানে ইনস্টল করা একটি ইন্টারনেট-মুখী ওয়েবক্যামে হ্যাক করছে এবং একটি মিটিং, একটি উত্পাদন প্রক্রিয়া বা একটি অভ্যন্তরীণ প্রশিক্ষণ সেশনে গুপ্তচরবৃত্তি করছে। তারপর সেই ব্যক্তিটি যে তথ্য পেয়েছে তা দিয়ে কী করতে পারে তা কল্পনা করুন। সাইবার ঝুঁকি সংস্থা বিটসাইট দ্বারা ঠিক এই দৃশ্যটি তৈরি করা হয়েছে।
এক জনের জন্য অনিরাপদ IoT ডিভাইস সম্পর্কে নতুন প্রতিবেদন, BitSight দেখেছে যে ইন্টারনেট-মুখী ওয়েবক্যাম বা অনুরূপ সরঞ্জাম সহ 12 টির মধ্যে একটি প্রতিষ্ঠান সেগুলিকে সঠিকভাবে সুরক্ষিত করতে ব্যর্থ হয়েছে, তাদের ভিডিও বা অডিও সমঝোতার ঝুঁকিতে ফেলেছে৷ উল্লেখযোগ্যভাবে, বিটসাইট দ্বারা ট্র্যাক করা 3% সংস্থার অন্তত একটি ইন্টারনেট-মুখী ভিডিও বা অডিও ডিভাইস ছিল। এর মধ্যে, 9%-এর অন্তত একটি ডিভাইস ছিল যেটিতে একটি খোলা ভিডিও বা অডিও ফিড ছিল, যা কাউকে সরাসরি সেই ফিডগুলি দেখতে বা কথোপকথনে লুকিয়ে দেখার ক্ষমতা দেয়৷
লাফ দাও:
কোন প্রতিষ্ঠান এই হ্যাকিং থেকে সবচেয়ে ঝুঁকিপূর্ণ?
আতিথেয়তা, শিক্ষা, প্রযুক্তি এবং সরকারী খাতগুলোকে বিশ্লেষণ করা হয়েছে। এর মধ্যে, শিক্ষা খাতটি সবচেয়ে বেশি ঝুঁকির মধ্যে ছিল, যেখানে চারজনের মধ্যে একজন ইন্টারনেট-মুখী ওয়েবক্যাম এবং অনুরূপ ডিভাইস ব্যবহার করে ভিডিও বা অডিও আপস করার জন্য সংবেদনশীল।
এছাড়াও, ফরচুন 1000 কোম্পানিগুলি সবচেয়ে বেশি ঝুঁকির সম্মুখীন হয়েছে, যার মধ্যে রয়েছে ফরচুন 50 প্রযুক্তি সহায়ক সংস্থা, ফরচুন 100 বিনোদন কোম্পানি, ফরচুন 50 টেলিকমিউনিকেশন কোম্পানি, ফরচুন 1000 হসপিটালিটি কোম্পানি এবং ফরচুন 50 উৎপাদনকারী কোম্পানি।
এই সাইবার ঝুঁকি জরিপে কোন ডিভাইসগুলি বিশ্লেষণ করা হয়েছিল?
বিটসাইট দ্বারা বিশ্লেষিত বেশিরভাগ ডিভাইস ইন্টারনেটে যোগাযোগের জন্য রিয়েল-টাইম স্ট্রিমিং প্রোটোকল ব্যবহার করে, যদিও কিছু HTTP এবং HTTPS প্রোটোকল ব্যবহার করে। RTSP এর মাধ্যমে, ব্যবহারকারীরা ভিডিও এবং অডিও সামগ্রী পাঠাতে পারে এবং ফিড রেকর্ড, প্লে এবং পজ করার জন্য কমান্ড চালাতে পারে।
যদিও রিপোর্টের জন্য পরীক্ষা করা ডিভাইসগুলির মধ্যে অনেকগুলি ওয়েবক্যাম ছিল, বিশ্লেষণে নেটওয়ার্ক ভিডিও রেকর্ডার, স্মার্ট ডোরবেল এবং স্মার্ট ভ্যাকুয়ামগুলিও অন্তর্ভুক্ত ছিল। কিছু সরঞ্জাম আসলে নিরাপত্তার উদ্দেশ্যে ইনস্টল করা হয়েছিল।
কেন ডিভাইসগুলি হ্যাক হওয়ার ঝুঁকিতে রয়েছে
বিশ্লেষণ করা ইন্টারনেট-মুখী ডিভাইসগুলি ফায়ারওয়াল বা VPN এর পিছনে ছিল না, সেগুলিকে আঙ্গুলের ছাপ এবং হুমকির জন্য উন্মুক্ত রেখেছিল। কিছু উন্মুক্ত ডিভাইসগুলি ভুলভাবে কনফিগার করা হয়েছিল, যার মধ্যে কিছুতে ব্যবহারকারী-সেট পাসওয়ার্ড ছিল না৷ অন্যান্য সরঞ্জামগুলি একটি নিরাপত্তা ত্রুটির সাথে আটকে ছিল, একটি নির্দিষ্ট অ্যাক্সেস কন্ট্রোল দুর্বলতা থেকে একাধিক হিট সহ একটি অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স দুর্বলতা বলা হয়।
বিটসাইট অনুসারে, সাম্প্রতিক সময়ে IDOR দুর্বলতাগুলি আরও উদ্বেগের বিষয় হয়ে উঠেছে। 2022 সালে, বিটসাইট বেশ কয়েকটি গুরুতর দুর্বলতা আবিষ্কার করেছেন একটি জনপ্রিয় যানবাহন জিপিএস ট্র্যাকারে। হিসাবে লেবেলযুক্ত CVE-2022-34150এই ত্রুটিটি একটি হ্যাকারকে যেকোন ডিভাইস আইডি থেকে তথ্য সংগ্রহ করার অনুমতি দিতে পারে, ডিভাইসটিতে সাইন ইন করা ব্যবহারকারীর অ্যাকাউন্ট নির্বিশেষে।
ন্যূনতম, ভিডিও বা অডিও ফিড অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা দ্বারা সুরক্ষিত করা আবশ্যক; যাইহোক, তাদের মধ্যে অনেককে এমনভাবে সুরক্ষিত করা হয়নি যা আক্রমণকারীদের ভিডিও ফিড দেখতে এবং কথোপকথনে গুপ্তচরবৃত্তি করতে দেয়। BitSight ব্যাখ্যা করেছে যে একজন বুদ্ধিমান হ্যাকার মিথ্যা তথ্য ছড়িয়ে দেওয়ার জন্য উন্মুক্ত ফিড পরিবর্তন করতে পারে।
এই ধরনের একটি হ্যাক সম্ভাব্য নিরাপত্তা প্রভাব কি?
দুর্বল ওয়েবক্যাম এবং অন্যান্য IoT ডিভাইসগুলি বিভিন্ন ধরণের হুমকির দরজা খুলে দেয়। একজন আক্রমণকারী ব্যক্তিগত সভা এবং অন্যান্য কথোপকথন দেখতে পারে, তাদের ব্যক্তিগত ডেটা সংগ্রহ করতে বা ভিডিও বা অডিও ফিডের মাধ্যমে আপসকারী তথ্য সংগ্রহ করতে দেয়। কর্মচারী এবং অন্যদের প্রকৃত অবস্থান প্রকাশ করা যেতে পারে। একজন হ্যাকার ব্যবসার সাথে সম্পর্কিত ক্রিয়াকলাপ এবং কথোপকথনেও অ্যাক্সেস অর্জন করতে পারে, যা তাদের শুধুমাত্র কোম্পানির নয়, যেকোনো তৃতীয় পক্ষের সংবেদনশীল তথ্য নিতে দেয়।
প্রকাশ করা তথ্য শারীরিক নিরাপত্তার জন্য হুমকি হতে পারে। BitSight দ্বারা বিশ্লেষিত কিছু ওয়েবক্যাম নিরাপদ দরজা এবং কক্ষ নিয়ন্ত্রণ করে, সম্ভাব্যভাবে অপরাধীদের নিরাপত্তা ঠেকাতে তাদের প্রয়োজনীয় তথ্য দেয়। উপরন্তু, একটি প্রতিষ্ঠানের সামগ্রিক সাইবার নিরাপত্তা ঝুঁকির মধ্যে থাকতে পারে। দুর্বল অডিও এবং ভিডিও সরঞ্জামগুলিতে অ্যাক্সেস আক্রমণকারীদের আপনার অভ্যন্তরীণ সিস্টেম এবং নেটওয়ার্কগুলির সাথে আপস করার জন্য আরও ডেটা দেয়।
দুর্বল ওয়েবক্যাম সহ কিছু এলাকায় উত্পাদন সুবিধা, পরীক্ষাগার, মিটিং রুম, স্কুল ভবন এবং হোটেল লবি অন্তর্ভুক্ত।
কীভাবে উন্মুক্ত ওয়েবক্যাম এবং আইওটি ডিভাইস থেকে ঝুঁকি কমানো যায়
আপনার সংস্থাকে ইন্টারনেট-মুখী ওয়েবক্যাম এবং অন্যান্য IoT ডিভাইস থেকে ঝুঁকি কমাতে সাহায্য করার জন্য, BitSight কিছু টিপস অফার করে।
প্রথমে, আপনার প্রতিষ্ঠানে এবং আপনার ব্যবসায়িক অংশীদারদের মধ্যে নিয়োজিত কোনো ভিডিও বা অডিও ডিভাইস শনাক্ত করুন। তারপরে এই ডিভাইসগুলির নিরাপত্তা বিশ্লেষণ করুন।
ফায়ারওয়াল বা VPN এর পিছনে যেকোন অসুরক্ষিত ডিভাইস রাখুন।
সঠিক প্রমাণীকরণের অভাব রয়েছে এমন যেকোনো ডিভাইসকে সুরক্ষিত করতে অ্যাক্সেস নিয়ন্ত্রণ ব্যবস্থা সেট আপ করুন।
সফ্টওয়্যার দুর্বলতা সহ ডিভাইসগুলির জন্য, বিকাশকারীকে প্যাচগুলি সরবরাহ করতে হবে বা অন্যথায় ডিভাইসটিকে সুরক্ষিত করার জন্য পদক্ষেপ নিতে হবে৷ যদি বিক্রেতা এটি করতে না পারে বা করবে না, তবে আপনার একমাত্র বিকল্প হতে পারে একটি ভিন্ন ডিভাইস বা ব্র্যান্ডে স্যুইচ করা।
“এই গবেষণাটি দেখায় যে ওয়েবক্যামের মতো দৈনন্দিন প্রযুক্তিগুলি উন্মোচিত হলে সংস্থাগুলিকে অত্যন্ত ঝুঁকিপূর্ণ করতে পারে,” ডেরেক ওয়াদালা, বিটসাইটের প্রধান ঝুঁকি কর্মকর্তা, একটি প্রেস বিজ্ঞপ্তিতে বলেছেন। “এই ডিভাইসগুলি কীভাবে একটি সংস্থার আক্রমণের পৃষ্ঠকে বাড়িয়ে তুলতে পারে তা বোঝা এবং সম্ভাব্য হুমকিগুলিকে সীমিত করে এমনভাবে তাদের মোতায়েন করার পদক্ষেপ নেওয়া গুরুত্বপূর্ণ।”
আরও পড়ুন: শীর্ষ শিল্প IoT নিরাপত্তা সমাধান (টেকরিপাবলিক)