মেটার এআই চ্যাটবটের দুর্বলতা ব্যবহার করে হ্যাক হচ্ছে ইনস্টাগ্রাম অ্যাকাউন্ট
মেটার এআই চ্যাটবটের দুর্বলতায় হ্যাক হচ্ছে ইনস্টাগ্রাম

সামাজিক যোগাযোগমাধ্যম ইনস্টাগ্রামের উচ্চমূল্যের ও জনপ্রিয় অ্যাকাউন্টগুলো দখল করতে মেটার এআই চালিত চ্যাটবটের একটি দুর্বলতাকে কাজে লাগিয়েছিল হ্যাকাররা। সাইবার নিরাপত্তা গবেষকদের বরাত দিয়ে প্রকাশিত প্রতিবেদনে এ তথ্য জানা গেছে।

কয়েক মাস ধরে সক্রিয় দুর্বলতা

গবেষকদের মতে, কয়েক মাস ধরে সক্রিয় থাকা এই দুর্বলতার মাধ্যমে হ্যাকাররা বিভিন্ন মূল্যবান ইনস্টাগ্রাম অ্যাকাউন্টের নিয়ন্ত্রণ নিয়ে সেগুলো কালোবাজারে বিক্রি করছিল। পরে মেটা ত্রুটিটি শনাক্ত করে তা সংশোধন করে।

যেভাবে কাজ করত কৌশলটি

প্রতিবেদন অনুযায়ী, হামলাকারীরা ভিপিএনসহ বিভিন্ন প্রযুক্তিগত কৌশল এবং অ্যাকাউন্ট পুনরুদ্ধার প্রক্রিয়া ব্যবহার করে প্রাথমিক নিরাপত্তা যাচাই এড়িয়ে যেত। এরপর তারা মেটার এআই সাপোর্ট চ্যাটবটের সঙ্গে যোগাযোগ করে নির্দিষ্ট ইনস্টাগ্রাম অ্যাকাউন্টের সঙ্গে যুক্ত ইমেইল ঠিকানা পরিবর্তনের অনুরোধ জানাত। অবস্থান গোপন রাখা এবং পাসওয়ার্ড রিসেট প্রক্রিয়া চালুর মাধ্যমে তারা সিস্টেমকে বিভ্রান্ত করে অ্যাকাউন্টের নিয়ন্ত্রণ নিজেদের হাতে নিতে সক্ষম হতো।

Pickt প্রশস্ত ব্যানার — টেলিগ্রামের জন্য সহযোগী শপিং লিস্ট অ্যাপ

উচ্চমূল্যের অ্যাকাউন্ট ছিল মূল লক্ষ্য

নিরাপত্তা গবেষকদের দাবি, চুরি হওয়া অ্যাকাউন্টগুলোর মধ্যে বিরল ও চাহিদাসম্পন্ন ইনস্টাগ্রাম ইউজারনেমও ছিল। পরে এসব অ্যাকাউন্ট বিপুল অর্থের বিনিময়ে অনলাইন আন্ডারগ্রাউন্ড মার্কেটে বিক্রি করা হয়। বিশেষ করে ছোট ও আকর্ষণীয় ইউজারনেমগুলোর মূল্য কয়েক লাখ ডলার পর্যন্ত হতে পারে বলে প্রতিবেদনে উল্লেখ করা হয়েছে। ব্র্যান্ডিং ও সীমিত প্রাপ্যতার কারণে এসব নামের ব্যাপক চাহিদা রয়েছে।

Pickt নিবন্ধের পরে ব্যানার — পারিবারিক চিত্রসহ সহযোগী শপিং লিস্ট অ্যাপ

‘প্রম্পট ইনজেকশন’ আক্রমণের শিকার এআই

বিশেষজ্ঞরা ঘটনাটিকে ‘প্রম্পট ইনজেকশন’ ধরনের সাইবার হামলা হিসেবে বর্ণনা করেছেন। এ ধরনের হামলায় বিশেষভাবে তৈরি নির্দেশনার মাধ্যমে এআই সিস্টেমকে বিভ্রান্ত করে অনাকাঙ্ক্ষিত কাজ করানো হয়। হ্যাকারদের বিভিন্ন কমিউনিটি ও নিরাপত্তা ফোরামে এ সংক্রান্ত ভিডিও ছড়িয়ে পড়ে, যা এআইভিত্তিক সিস্টেমের নিরাপত্তা নিয়ে নতুন করে উদ্বেগ তৈরি করেছে। গবেষকদের দাবি, চলতি বছরের শুরু থেকেই একই ধরনের হামলার মাধ্যমে হাজার হাজার ইনস্টাগ্রাম অ্যাকাউন্ট ক্ষতিগ্রস্ত হয়েছে।

সাময়িকভাবে ক্ষতিগ্রস্ত হয় উচ্চপ্রোফাইল অ্যাকাউন্টও

কিছু ক্ষেত্রে হ্যাকারদের দখলে যাওয়া অ্যাকাউন্ট থেকে অনুমতি ছাড়া বিভিন্ন পোস্ট প্রকাশ করা হয়েছিল। পরে প্রকৃত মালিকরা পুনরায় অ্যাকাউন্টের নিয়ন্ত্রণ ফিরে পান। নিরাপত্তা বিশেষজ্ঞদের মতে, এই দুর্বলতার সুযোগে কিছু পরিচিত ও উচ্চপ্রোফাইল অ্যাকাউন্টও সাময়িকভাবে ক্ষতিগ্রস্ত হয়েছিল।

টু-ফ্যাক্টর অথেনটিকেশনের গুরুত্ব

তদন্তকারীরা জানিয়েছেন, যেসব অ্যাকাউন্টে মাল্টি ফ্যাক্টর অথেনটিকেশন বা টু-ফ্যাক্টর অথেনটিকেশন চালু ছিল, সেগুলো তুলনামূলকভাবে নিরাপদ ছিল। এমনকি এসএমএসভিত্তিক অতিরিক্ত যাচাইকরণ ব্যবস্থাও অনেক ক্ষেত্রে অননুমোদিত প্রবেশ ঠেকাতে কার্যকর ভূমিকা রেখেছে।

মেটার জরুরি পদক্ষেপ

বিষয়টি নিয়ে গবেষক ও নিরাপত্তা বিশ্লেষকদের মধ্যে ব্যাপক আলোচনা শুরু হলে গত ২৯ মে মেটা সংশ্লিষ্ট দুর্বলতাটি ঠিক করে বলে প্রতিবেদনে উল্লেখ করা হয়েছে। উল্লেখ্য, মেটা তাদের এআই সাপোর্ট সহকারীকে অ্যাকাউন্ট-সংক্রান্ত সমস্যার জন্য ২৪ ঘণ্টার স্বয়ংক্রিয় সহায়তা প্রদানের একটি কার্যকর মাধ্যম হিসেবে প্রচার করেছিল।

এআই নিরাপত্তা নিয়ে নতুন উদ্বেগ

সাইবার নিরাপত্তা বিশেষজ্ঞরা বলছেন, এই ঘটনা দেখিয়েছে যে সংবেদনশীল তথ্য পরিবর্তনের ক্ষমতা থাকা এআই সিস্টেমে নিরাপত্তা দুর্বলতা কতটা বড় ঝুঁকি তৈরি করতে পারে। তাদের মতে, ভবিষ্যতে এ ধরনের ঘটনা ঠেকাতে অতিরিক্ত যাচাইকরণ ব্যবস্থা, কার্যকর রেট লিমিট, অস্বাভাবিক কার্যক্রম শনাক্তকরণ প্রযুক্তি এবং আরও শক্তিশালী নিরাপত্তা সুরক্ষা ব্যবস্থা প্রয়োজন।