গত মাসে, আবিষ্কার করা হয়েছিল যে স্যামসাংয়ের মালিকানাধীন ভানদেব ল্যাব-এর একটি গিটল্যাব উদাহরণটি পাসওয়ার্ড দিয়ে এর প্রকল্পগুলি সুরক্ষিত করে নি। যেমনটি, বিভিন্ন স্যামসাং অ্যাপ্লিকেশন, পরিষেবা এবং প্রকল্পগুলির জন্য কয়েক ডজন অভ্যন্তরীণ কোডিং প্রকল্পগুলি জনসাধারণের কাছে সেট করা হয়েছিল, যার ফলে এর জনপ্রিয় স্মার্ট হোম ইকোসিস্টেম স্মার্টথিংস সহ স্যামসাং প্রকল্পগুলিতে আরও অ্যাক্সেস সরবরাহ করা হয়েছিল।
কোনও পাসওয়ার্ড দিয়ে প্রকল্পগুলি যথাযথভাবে সুরক্ষিত না করে, এটি যে কাউকে উত্স কোডটি দেখতে, ডাউনলোড করতে বা এমনকি পরিবর্তনগুলি করার ক্ষমতা দিয়েছে।
মোসাব হুসেন নামে স্পাইডারসিল্কের এক সিকিউরিটি গবেষক ১০ ই এপ্রিল সুরক্ষার ব্যবধানটি উন্মোচন করে স্যামসাংকে জানিয়েছিলেন। তার অনুসন্ধানে, লগ এবং বিশ্লেষণী ডেটা সমেত শতাধিক এস 3 স্টোরেজ বালতি সহ পুরো AWS অ্যাকাউন্টটিতে তার অ্যাক্সেস ছিল।
লগস এবং বিশ্লেষণগুলি স্মার্টথিংস এবং বিক্সবি পরিষেবাদির মতো স্যামসাং পণ্যগুলি, পাশাপাশি বেশ কয়েকটি কর্মচারীর ব্যক্তিগত গিটল্যাব টোকেনকে সরল পাঠ্যে coveredেকে রাখে। এই টোকেনগুলির ব্যবহারের সাথে হুসেন 45 থেকে 135 টি সরকারী এবং বেসরকারী প্রকল্পের মধ্যে অ্যাক্সেস করতে সক্ষম হন।
তিনি যখন স্যামসাংয়ের সাথে যোগাযোগ করেছিলেন, হুসেনকে কিছু ফাইল পরীক্ষা করার জন্য বলা হয়েছিল, তবে অ্যান্ড্রয়েড স্মার্টথিংস অ্যাপ্লিকেশনটির বর্তমান সংস্করণটির উত্স কোডটি উপস্থিত করার জন্য তিনি তত্ক্ষণাত ছিলেন। তবে তাদের কথোপকথন থেকে অ্যাপটি আপডেট করা হয়েছে।
এই অ্যাক্সেসের সবচেয়ে বিপজ্জনক অংশটি হ'ল, গিটল্যাব টোকেনের সাহায্যে হুসেন স্যামসাংয়ের কোডটিতে পরিবর্তন আনতে পারত। তিনি বলেন:
আসল হুমকিটি কেউ যদি অ্যাপ্লিকেশন উত্স কোডটিতে এই স্তরের অ্যাক্সেস অর্জন করতে পারে এবং সংস্থাকে না জেনেই দূষিত কোড দিয়ে এটি ইনজেকশনের সম্ভাবনার মধ্যে থাকে।
হুসেনের সাথে স্যামসাংয়ের সাথে যোগাযোগ করার কয়েক দিন পরেই এডাব্লুএসের শংসাপত্রগুলি বাতিল করা হয়েছিল, তবে গোপন কী এবং শংসাপত্রগুলি একই রকম আচরণ পেয়ে থাকলে তা যাচাই করা হয়নি। যেমনটি এখন, স্যামসুং এখনও দুর্বলতার রিপোর্টটি প্রথম প্রকাশের প্রায় এক মাস পরে বন্ধ করে দেয়নি। তবে স্যামসুংয়ের একজন মুখপাত্র জ্যাচ ডুগান এই বিষয়ে মন্তব্য করার জন্য জানতে চাইলে জবাব দিয়েছেন:
আমরা রিপোর্ট করা টেস্টিং প্ল্যাটফর্মের জন্য সমস্ত কী এবং শংসাপত্রগুলি দ্রুত বাতিল করে দিয়েছি এবং যখনই কোনও বাহ্যিক অ্যাক্সেসের প্রমাণ পাওয়া যায় নি, আমরা বর্তমানে এটি আরও তদন্ত করে দেখছি।
হুসেনের মতে, 30 এপ্রিল পর্যন্ত গিটল্যাবের ব্যক্তিগত কীগুলি বাতিল করার জন্য সময় লেগেছে, এবং তাঁর উদ্ধৃতি দিয়ে বলা হয়েছে, "আমি এই ধরণের অদ্ভুত অভ্যাস ব্যবহার করে তাদের অবকাঠামোগুলি এত বড় কোনও সংস্থা দেখিনি।" টেকক্রাঞ্চ যখন এই ঘটনা সম্পর্কে নির্দিষ্ট প্রশ্ন জিজ্ঞাসা করেছিল, বা প্রমাণের জন্য এটি কেবল পরিবেশের পরীক্ষার জন্য ছিল, স্যামসং অস্বীকার করেছিল।
প্রযুক্তি আমাদের জীবনের প্রতিটি ক্ষেত্রে প্রবেশ করায় সঠিক সুরক্ষা অনুশীলনগুলি আজকাল কীভাবে আরও বেশি গুরুত্বপূর্ণ হয়ে উঠছে এটির এটির একটি মাত্র উদাহরণ।
গুগল নেস্ট হাব ম্যাক্স হ্যান্ডস অন: আপনার স্মার্ট হোমের জন্য দুর্দান্ত একটি
আমরা আমাদের লিঙ্কগুলি ব্যবহার করে ক্রয়ের জন্য একটি কমিশন উপার্জন করতে পারি। আরও জানুন।
![কোয়ালকমের ইউএসবি টাইপ-সি এবং দ্রুত চার্জ ৩.০ [আপডেট] করা হয়েছে](https://img.androidermagazine.com/img/news/112/qualcomm-addresses-usb-type-c.jpg "কোয়ালকমের ইউএসবি টাইপ-সি এবং দ্রুত চার্জ ৩.০ [আপডেট] করা হয়েছে")
