আজ বুধবার (৩ জুন) দুপুর ১২টা ৫০ মিনিটে অনলাইন সংস্করণে প্রকাশিত ‘বিজ্ঞান ও তথ্যপ্রযুক্তি’ ও ‘সাইবার নিরাপত্তা ও প্রযুক্তি অপরাধ’ বিভাগের এক বিশেষ টেক-বুলেটিনে মেটার এআই হ্যাকিংয়ের এই চাঞ্চল্যকর ঘটনা বিস্তারিতভাবে তুলে ধরা হলো।
গবেষকদের দাবি, গত কয়েক মাস ধরে সক্রিয় থাকা এই মারাত্মক কারিগরি ত্রুটির সুযোগ নিয়ে হ্যাকাররা বিভিন্ন নামী ও মূল্যবান ইনস্টাগ্রাম অ্যাকাউন্টের সম্পূর্ণ নিয়ন্ত্রণ ছিনিয়ে নিচ্ছিল এবং পরবর্তীতে সেগুলো অনলাইন ডার্ক ওয়েব বা কালোবাজারে মোটা অঙ্কের বিনিময়ে বিক্রি করে দিচ্ছিল। বিষয়টি নিয়ে প্রযুক্তি বিশ্বে তোলপাড় শুরু হলে সম্প্রতি মেটা (Meta) এই ত্রুটিটি শনাক্ত করে তা সংশোধন করার দাবি করেছে।
তদন্ত প্রতিবেদন অনুযায়ী, সাইবার হামলাকারীরা প্রথমে ভিপিএন (VPN) সহ বিভিন্ন আধুনিক প্রযুক্তিগত কৌশল এবং ইনস্টাগ্রামের অফিসিয়াল ‘অ্যাকাউন্ট পুনরুদ্ধার’ (Account Recovery) প্রক্রিয়া ব্যবহার করে প্রাথমিক নিরাপত্তা যাচাইকরণ ধাপগুলো এড়িয়ে যেত।
এর ঠিক পরপরই তারা ২৪ ঘণ্টা সেবাদাতা ‘মেটা এআই সাপোর্ট চ্যাটবট’–এর সঙ্গে যোগাযোগ স্থাপন করতো। সেখানে হ্যাকাররা সিস্টেমকে এমন কিছু বিশেষভাবে তৈরি টেক্সট বা নির্দেশ দিত, যার ফলে এআই চ্যাটবটটি বিভ্রান্ত হয়ে পড়তো। এই প্রযুক্তিগত আক্রমণকে বিশেষজ্ঞরা ‘প্রম্পট ইনজেকশন’ (Prompt Injection) হিসেবে বর্ণনা করেছেন। এআই বিভ্রান্ত হওয়া মাত্রই হ্যাকাররা নির্দিষ্ট ইনস্টাগ্রাম অ্যাকাউন্টের সঙ্গে যুক্ত থাকা মূল ইমেইল ঠিকানাটি পরিবর্তন করে নিজেদের ইমেইল বসিয়ে দেওয়ার অনুরোধ জানাতো। অবস্থান গোপন রাখা এবং পাসওয়ার্ড রিসেট প্রক্রিয়া চালুর মাধ্যমে তারা নিমেষেই অ্যাকাউন্টের নিয়ন্ত্রণ নিজেদের হাতে নিয়ে নিত।
নিরাপত্তা গবেষকদের দাবি, চুরি হওয়া অ্যাকাউন্টগুলোর মধ্যে অনেক বিরল ও ছোট ইউজারনেম (যেমন একক শব্দের বা দুই অক্ষরের নাম) ছিল। ডিজিটাল ব্র্যান্ডিং ও সীমিত প্রাপ্যতার কারণে অনলাইন আন্ডারগ্রাউন্ড মার্কেটে এসব নামের ব্যাপক চাহিদা রয়েছে। বিশেষজ্ঞরা জানান, এই ধরনের একটি ছোট ও আকর্ষণীয় ইউজারনেমের বাজারমূল্য আন্তর্জাতিক বাজারে কয়েক লাখ ডলার (যা বাংলাদেশি টাকায় কোটি টাকার ওপর) পর্যন্ত হতে পারে।
হ্যাক হওয়া কিছু উচ্চপ্রোফাইল অ্যাকাউন্ট থেকে কিছু সময়ের জন্য ব্যবহারকারীর অনুমতি ছাড়াই বিভিন্ন আপত্তিকর বা অনাকাঙ্ক্ষিত পোস্ট ও লিংক প্রকাশ করা হয়েছিল। যদিও পরবর্তীতে মেটার হস্তক্ষেপে প্রকৃত মালিকরা পুনরায় অ্যাকাউন্টের নিয়ন্ত্রণ ফিরে পেতে সক্ষম হন। হ্যাকারদের বিভিন্ন গোপন কমিউনিটি ও সাইবার ফোরামে এই হ্যাকিং পদ্ধতির টিউটোরিয়াল ভিডিও ছড়িয়ে পড়ায় এআই-ভিত্তিক সিস্টেমের নিরাপত্তা নিয়ে বিশ্বজুড়ে নতুন করে বড় ধরনের উদ্বেগ তৈরি হয়েছে।
সাইবার তদন্তকারীরা জানিয়েছেন, এই ভয়াবহ এআই প্রম্পট হামলার মাঝেও যেসব ইনস্টাগ্রাম অ্যাকাউন্টে শক্তিশালী ‘মাল্টি ফ্যাক্টর অথেনটিকেশন’ বা ‘টু-ফ্যাক্টর অথেনটিকেশন’ (2FA) সচল ছিল, সেগুলো সম্পূর্ণ নিরাপদ ছিল। এমনকি সাধারণ এসএমএস-ভিত্তিক অতিরিক্ত ভেরিফিকেশন ব্যবস্থাও অনেক ক্ষেত্রে হ্যাকারদের অননুমোদিত প্রবেশ সফলভাবে ঠেকিয়ে দিয়েছে।
.png){kind=logo}
|