গবেষক: টুইটারের ফোয়ারটি তৃতীয় পক্ষের ব্যক্তিগত গোপনীয় বার্তাগুলিতে অ্যাক্সেস অনাদায়ী অ্যাক্সেস দিয়েছে

ব্যবহারকারীরা যারা তৃতীয় পক্ষের সিকিউরিটি কনসালট্যান্সি ফার্ম আইওএ্যাক্টিভের চীফ টেকনোলজি অফিসার সিজার কাররুদো অনুসারে, টুইটার বা টুইটার অ্যাকাউন্টগুলি ব্যবহার করে ওয়েব বা মোবাইল অ্যাপ্লিকেশনগুলি তাদের টুইটারের ব্যক্তিগত "সরাসরি" বার্তাগুলি অ্যাক্সেস করতে পারে।

সমস্যাটি হচ্ছে ফলাফল টুইটারের API- এ (অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেসে) একটি ত্রুটি যা ব্যবহারকারীদের কাছে সঠিকভাবে জানানো হয়নি যে কোনও অ্যাপ্লিকেশন তাদের অ্যাকুয়ামে কী অনুমতি দেবে এনটি একবার অ্যাক্সেস মঞ্জুর ক্যাররুডো সমস্যাটি বর্ণনা করেছেন এবং ব্যাখ্যা করেছেন যে তিনি মঙ্গলবার প্রকাশিত একটি ব্লগ পোস্টে কীভাবে এটি আবিষ্কার করেছেন।

ব্যবহারকারীরা তাদের টুইটার অ্যাকাউন্টের মাধ্যমে লগ ইন করতে পারবেন এমন অ্যাপ্লিকেশন //dev.twitter.com/apps এ টুইটারের সাথে নিবন্ধন করতে হবে। রেজিস্ট্রেশন চলাকালীন, তাদের ডেভেলপারদের অ্যাক্সেসের স্তরে জনগণের অ্যাকাউন্টে অ্যাক্সেসের ঘোষণা দিতে হবে: "শুধুমাত্র পড়ুন," "পড়া এবং লিখুন" বা "সরাসরি বার্তাগুলি পড়ুন, লিখুন এবং অ্যাক্সেস করুন।"

[আরও পড়ুন: কিভাবে আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে]

যখন ব্যবহারকারীরা তাদের টুইটার অ্যাকাউন্ট ব্যবহার করে প্রথমবারের মতো এই অ্যাপ্লিকেশন লগ ইন করার চেষ্টা করেন, তখন তারা টুইটারের ওয়েবসাইটের একটি অনুমোদন পৃষ্ঠায় পুনঃনির্দেশিত হয় যা নির্দিষ্ট অ্যাপ্লিকেশন দ্বারা অনুরোধকৃত অনুমতিগুলি তালিকাভুক্ত করে।

সেরুদো বলেন যে তিনি এই সমস্যাটি আবিষ্কার করেছেন যখন তিনি একটি বন্ধু দ্বারা উন্নত একটি অ্যাপ্লিকেশন পরীক্ষার চেষ্টা করেছিলেন যা টুইটারে "সরাসরি বার্তাগুলিতে প্রবেশ, লিখন এবং অ্যাক্সেস" অনুমোদন করেছিল।

যখন তিনি তার টুইটারে প্রথমবারের সাথে সাইন ইন করেছিলেন একাউন্টে, তিনি একটি অনুমোদন পৃষ্ঠাতে পুনঃনির্দেশিত হয়েছেন যেটি তাকে জানায় যে অ্যাপ্লিকেশনটি তার টাইমলাইনে টুইটগুলি পড়তে সক্ষম হবে, সেগুলি কোন ব্যবহারকারী অনুসরণ করে, তার পক্ষে নতুন ব্যবহারকারীদের অনুসরণ করে, তার প্রোফাইলের আপডেট করে অর্পণ এবং তার পক্ষে টুইট টুইট করেন, তিনি বলেন। পৃষ্ঠা স্পষ্টভাবে উল্লেখ করেছে যে অ্যাপ্লিকেশন সরাসরি বার্তাগুলি বা অ্যাকাউন্টের পাসওয়ার্ড অ্যাক্সেস করতে সক্ষম হবে না।

"প্রদর্শিত ওয়েব পৃষ্ঠাটি দেখার পরে, আমি বিশ্বাস করি যে টুইটার অ্যাপ্লিকেশন অ্যাক্সেসটি আমার পাসওয়ার্ড এবং সরাসরি বার্তাগুলিতে দেবে না," তিনি ব্লগে লিখেছেন। "আমি অনুভব করলাম যে আমার অ্যাকাউন্টটি নিরাপদ ছিল, তাই আমি সাইন ইন এবং অ্যাপ্লিকেশনের সাথে অভিনয় করেছি।"

গবেষক লক্ষ্য করেছেন যে অ্যাপ্লিকেশনটি সরাসরি বার্তাগুলির অ্যাক্সেস এবং প্রদর্শন করার কার্যকারিতা ছিল, কিন্তু বৈশিষ্ট্যটি কাজ বলে মনে হয় নি। এই অনুমতি দেওয়া হয়েছে কারণ তাকে অনুমতি দেওয়া হয়েছে না।

তবে, অ্যাপ্লিকেশন এবং টুইটারে কয়েকবার সাইন ইন এবং আউট করার পরে, তার সরাসরি বার্তাগুলি অ্যাপ্লিকেশনটিতে উপস্থিত হতে শুরু করে। তার টুইটার একাউন্ট (সেটিংস> অ্যাপস) এর সাথে যোগাযোগ করার জন্য অনুমোদিত অ্যাপ্লিকেশনগুলির তালিকা পরীক্ষা করার সময় তিনি লক্ষ্য করেন যে অ্যাপ্লিকেশনটি আসলে সরাসরি বার্তা অনুমতিগুলি পড়েছে, লেখা এবং অ্যাক্সেস করেছে।

"আমি বুঝতে পেরেছি যে এটি একটি বিশাল নিরাপত্তা সিরাডো বলেন।

গবেষক মঙ্গলবার নিশ্চিত করেছেন যে তিনি অ্যাপ্লিকেশন অ্যাক্সেস প্রত্যাহার করে সফলভাবে পুনর্ব্যবহার করেছেন এবং অনুমোদন প্রক্রিয়ার মাধ্যমে আবারও সতর্ক হয়েছেন যে অ্যাপটি তার ব্যক্তিগত বার্তাগুলি পড়তে সক্ষম হবে। এই বিষয়টি টুইটারে 16 ই জানুয়ারি টুইটারে জানানো হয় এবং ২4 ঘণ্টারও কম সময়ের মধ্যে এটিকে সম্বোধন করে তিনি বলেন।

"তারা জটিল কোড এবং ভুল ধারণার এবং বৈধতাগুলির কারণে এই সমস্যাটি ঘটেছে", সেগুডো ব্লগ পোস্টে বলেছেন।

যাইহোক, Twitter এর ফিক্স পূর্বাভাসের জন্য প্রযোজ্য বলে মনে হচ্ছে না। টুইটারটি এই সমস্যাটির সমাধান করার পর, অ্যাপোলো সিরাডো পরীক্ষা দিয়েছিল যে ইতিমধ্যেই তার অ্যাকাউন্টে অ্যাক্সেসের ফলে তার কাছ থেকে অনুমতি গ্রহণ না করেও সরাসরি বার্তা প্রদর্শন করা অব্যাহত ছিল, তিনি বলেন।

টুইটার ব্যবহারকারীদের পরীক্ষা করা উচিত যদি তারা অতীতের অনুমোদিত কোন অ্যাপ্লিকেশন তাদের জ্ঞান ছাড়া তাদের সরাসরি বার্তা অ্যাক্সেস অর্জন করে, Cerrudo বলেন। টুইটার সেটিংস> অ্যাপস পৃষ্ঠাতে তাদের অনুমতিগুলি পর্যালোচনা করে এটি করা যেতে পারে।

সেরুদো এই বিষয়টিকে জনসাধারণের কাছে গ্রহণ করার সিদ্ধান্ত নিয়েছে কারণ এটি গুরুতর প্রভাব ফেলতে পারে এবং টুইটারটি কোনও সার্বজনীন অ্যাডভাইসারির বিষয়টি প্রকাশ করেনি বা ঘোষণা করেনি। কোম্পানিকে একটি ডেডিকেটেড পৃষ্ঠা বজায় রাখতে হবে যেখানে এটি ব্যবহারকারীদের নিরাপত্তার সমস্যা সম্পর্কে জানাতে পারে। তিনি বলেন।

টুইটার অবিলম্বে মন্তব্যের অনুরোধে প্রতিক্রিয়া জানায়নি।