১৮৪ কোটি অ্যাকাউন্টের পাসওয়ার্ড ফাঁস: কী ঘটল, কী ঝুঁকি, কী ব্যবস্থা

বাংলাদেশী সময়ানুসারে ২৭ মে ২০২৫–এ প্রকাশিত নতুন সতর্কবার্তার মাধ্যমে জানা গেল, গুগল, মাইক্রোসফট, অ্যাপল, ফেসবুক, ইনস্টাগ্রাম ও স্ন্যাপচ্যাটসহ মোট ছয় প্ল্যাটফর্মের ১৮৪ মিলিয়ন (১৮ কোটি ৪০ লক্ষ) অ্যাকাউন্টের লগইন তথ্য ফাঁস হয়েছে। হ্যাকাররা মূলত প্লেইন টেক্সটে সংরক্ষিত ইমেইল, ইউজারনেম ও পাসওয়ার্ড সংগ্রহ করে ডার্ক ওয়েবে বিক্রি বা পুনঃব্যবহার করার চেষ্টা করেন।

কী ঘটেছিল?

• আবিষ্কার ও প্রকাশ: নিরাপত্তা গবেষক জেরেমাইয়া ফাউলার ইঙ্গিত দিয়েছিলেন, একটি অসুরক্ষিত ও উন্মুক্ত Elastic ডাটাবেসে ৪৭ গিগাবাইটের বেশি পরিমাণে প্লেইন টেক্সটে ইউনিক অ্যাকাউন্ট ক্রেডেনশিয়ালস সংরক্ষিত ছিল। এর মধ্যে ছিল ইমেইল, ইউজারনেম, পাসওয়ার্ড ও লগইন URL।
• হোস্টিং কোম্পানির ব্যবস্থা: ফাউলার হোস্টিং প্রদানকারী World Host Group–কে অবহিত করার পর তারা দ্রুত ডাটাবেসটি অফলাইনে নিয়ে যায়। তবে মালিকানার তথ্য অজানা থাকায় এটি দুর্ঘটনাবশত 공개 হয়েছে নাকি উদ্দেশ্যপ্রণোদিতভাবে গৃহীতেছে—তা নিশ্চিত হওয়া যায়নি।

ফাঁসের ধরণ ও পরিধি

• ইনফোস্টিলার ম্যালওয়্যারের ব্যবহার: ফাউলার অনুসারে, ইনফোস্টিলার ধরনের ম্যালওয়্যার ব্যক্তিগত ডিভাইস থেকে ক্রেডেনশিয়ালস চুরি করে। পরে এসব তথ্য সংকলিত হয়ে centralized ডাটাবেসে জমা হয়।
• প্রভাবিত সেবা: ফাঁস হওয়া তালিকায় ছিল—
  • ইমেইল প্রদানকারী: Gmail, Outlook ইত্যাদি
  • সোশ্যাল মিডিয়া: Facebook, Instagram, Snapchat, X (পুরোনো Twitter)
  • টেক জায়ান্ট: Google, Microsoft, Apple, Meta প্ল্যাটফর্ম
  • সরকারি ইমেইল: অন্তত ২৯টি দেশের বিভিন্ন সরকারি ডোমেইন ছিল তালিকাভুক্ত

সম্ভাব্য ঝুঁকি ও প্রভাব

1. ক্রেডেনশিয়াল স্টাফিং আক্রমণ: অনেক ব্যবহারকারী একই পাসওয়ার্ড বিভিন্ন সাইটে ব্যবহার করে; তাই একবার ফাঁস হলেই অন্য সাইটেও প্রবেশের সুযোগ তৈরি হয়।
2. অ্যাকাউন্ট দখল: ব্যক্তিগত বা কর্পোরেট অ্যাকাউন্টে অননুমোদিত প্রবেশ করে তথ্য চুরি, আর্থিক প্রতারণা, র‍্যানসমওয়্যার হামলা করা যেতে পারে।
3. জাতীয় নিরাপত্তা বিপন্ন: সরকারি ইমেইল অ্যাকাউন্ট ফাঁস হলে প্রতিশোধমূলক বা ইলেকট্রনিক গুপ্তচরবৃত্তি চালানো সম্ভব।
4. ফিশিং ও সোশ্যাল ইঞ্জিনিয়ারিং: ফাঁস হওয়া ইমেইল ও যোগাযোগ ইতিহাস ব্যবহার করে লক্ষ্যভিত্তিক ফিশিং তৈরি করা সহজ।

অতীতের বড় ডেটা ফাঁসের সঙ্গে তুলনা

• “মাদার অব অল ব্রিচেস” (জানুয়ারি ২০২৪): এ সময় ২৬ বিলিয়ন রেকর্ড ফাঁস হয়, যার মাধ‌্যমে Twitter, Adobe, LinkedIn, Dropbox ইত্যাদি কোম্পানির তথ্য জনসমক্ষে আসে।
• Meta (Facebook ও Instagram) ২০২৪: ৬০০ মিলিয়ন পাসওয়ার্ড প্লেইন টেক্সটে সংরক্ষণ ও ফাঁসের ঘটনায় Meta কে $১০১ মিলিয়ন জরিমানা করতে হয়।

এই তুলনায় ১৮৪ মিলিয়ন রেকর্ডের ফাঁস বৃহত্তর নয়, তবে প্লেইন টেক্সটে থাকা ও ছয়টি প্রধান প্ল্যাটফর্মের অ্যাকাউন্ট ফাঁস হওয়ায় প্রভাবের গভীরতা ব্যতিক্রমী।

পদক্ষেপ: কী করবেন নিরাপদে থাকতে?

১. বার্ষিক পাসওয়ার্ড পরিবর্তন: বছরে অন্তত একবার সব গুরুত্বপূর্ণ অ্যাকাউন্টের পাসওয়ার্ড মডিফাই করুন
২. কঠিন ও অনন্য পাসওয়ার্ড: প্রতিটি সাইটে আলাদা ও জটিল পাসওয়ার্ড ব্যবহার করুন; অক্ষর, সংখ্যা ও স্পেশাল ক্যারেক্টার মিলিয়ে রাখুন।
৩. পাসওয়ার্ড ম্যানেজার: LastPass, 1Password ইত্যাদি ব্যবহার করে নিরাপদে পাসওয়ার্ড সংরক্ষণ করুন।
৪. দুইস্তর নিরাপত্তা (MFA): Google Authenticator, SMS OTP বা হার্ডওয়্যার টোকেন চালু রাখুন।
৫. সন্দেহজনক কার্যকলাপ পর্যবেক্ষণ: লগইন এলার্ট, অচেনা ডিভাইস থেকে প্রবেশের নোটিফিকেশন চালু রাখুন।
৬. সিকিউরিটি সফটওয়্যার নিয়মিত আপডেট: অ্যান্টিভাইরাস, অ্যাডওয়্যার এবং OS-আপডেট সময়মতো ইনস্টল করুন।

গবেষকের সাফার:
“অনেকে ইমেইলকে ব্যক্তিগত ক্লাউড স্টোরেজ হিসেবে ব্যবহার করেন; এতে গুরুত্বপূর্ণ দলিলপত্রও ঝুঁকিতে পড়ে”—জেরেমাইয়া ফাউলার

সার্বিক মূল্যায়ন

এই ফাঁস হওয়া ডেটা শুধু ব্যক্তিরই নয়, রাষ্ট্রীয় এবং কর্পোরেট সুরক্ষার দিক থেকেও বড় হুমকি। প্লেইন টেক্সটে সংরক্ষিত তথ্য একবার ফাঁস হলেই তা ডার্ক ওয়েবে ছড়িয়ে পড়ে, আর তারপর রোপণ থেকে প্রতারণা—সবই অনায়াসে করা যায়। অতীতে যেমন “মাদার অব অল ব্রিচেস” বা Meta পাসওয়ার্ড ফাঁসের ঘটনা দেখেছি, এবার সে তালিকায় যুক্ত হল ১৮৪ মিলিয়নের চির চেনা নামের ডেটা।

কেবল প্রযুক্তিগত নয়, ব্যক্তিস্বরূপ সচেতনতার মাধ্যমে সাইবার নিরাপত্তার সুক্ষ্মতা বুঝতে হবে। কঠিন পাসওয়ার্ড, পাসওয়ার্ড ম্যানেজার, দুইস্তর নিরাপত্তা—এইগুলো আপাতদৃষ্টিতে ক্ষুদ্র পদক্ষেপ, কিন্তু সুরক্ষার পক্ষে অমূল্য।

১৮৪ কোটি (১৮৪ মিলিয়ন) অ্যাকাউন্টের পাসওয়ার্ড ফাঁস: কী ঘটল, কী ঝুঁকি, কী ব্যবস্থা