একটা সময় ছিলো যখন ওটিপি শব্দটি শুনলে বেশিরভাগ মানুষের মনে ভেসে উঠতো শুধুমাত্র ফেসবুক বা অন্যান্য সোশ্যাল মিডিয়ায় অ্যাকাউন্ট খোলার প্রসঙ্গ। তবে সময়ের সাথে সাথে প্রযুক্তির জগতে মানুষের আগ্রহ ও কৌতূহল বেড়েছে বহুগুণ। মানুষের অদম্য প্রযুক্তিপ্রেমই তাদের পরিচয় করিয়ে দিয়েছে নানা ধরনের নতুন প্ল্যাটফর্ম ও সুরক্ষাব্যবস্থার সঙ্গে।
ধীরে ধীরে ওটিপির ব্যবহার সীমাবদ্ধ থাকেনি শুধুমাত্র অ্যাকাউন্ট খোলায়। ব্যবহারকারীর নিরাপত্তা নিশ্চিত করতে ওটিপি এখন ব্যবহৃত হচ্ছে বিভিন্ন গুরুত্বপূর্ণ প্রক্রিয়ায় যেমনঃ লগইন, রেজিস্ট্রেশন, লেনদেন নিশ্চিতকরণ, পাসওয়ার্ড রিসেট ইত্যাদি।
প্রায় প্রতিটি ওয়েবসাইটেই ফোন নম্বর যাচাইয়ের সময় ওটিপি পাঠানো হয়। এটি একটি নিরাপত্তা ব্যবস্থা, যা নিশ্চিত করে যে ব্যবহারকারী সত্যিই সেই ফোন নম্বরের মালিক। এই স্বল্পমেয়াদি ও একবারই ব্যবহারের উপযোগী কোড ব্যবহারকারীর পরিচয় যাচাইয়ের একটি অন্যতম কার্যকর পদ্ধতি হিসেবে প্রতিষ্ঠিত হয়েছে। এ প্রেক্ষাপটে আমরা আজ আলোচনা করবো ইনসিকিউর ওটিপি মেকানিজম নিয়ে।
ইনসিকিউর ওটিপি মেকানিজম
ইনসিকিউর ওটিপি মেকানিজম বলতে বোঝানো হয় এমন একটি ওটিপি ব্যবস্থা যা নিরাপত্তার দিক থেকে দুর্বল এবং সহজেই ভঙ্গযোগ্য। এই ধরনের দুর্বলতা ব্যবহারকারীর ব্যক্তিগত তথ্য ও অ্যাকাউন্ট হ্যাকারদের জন্য সহজলভ্য করে তোলে।
সম্প্রতি, একজন ভারতীয় ক্লায়েন্ট তার একটি ই-কমার্স ওয়েব অ্যাপ্লিকেশনের নিরাপত্তা মূল্যায়নের জন্য আমার সাহায্য চান। আমি কাল রাতে অ্যাপ্লিকেশনটি পরীক্ষা করতে গিয়ে লক্ষ্য করি যে, এতে একটি গুরুতর ইনসিকিউর ওটিপি মেকানিজম বিদ্যমান।
যখন কেউ অ্যাকাউন্ট তৈরি করে বা পাসওয়ার্ড রিসেট করার অনুরোধ পাঠায়, তখন ওটিপিটি শুধু ব্যবহারকারীর মোবাইল নম্বরে এসএমএস আকারে পাঠানো হচ্ছে না, সেই সাথে সেটি পোস্ট মেথডে এপিআই রেসপন্সেও স্পষ্টভাবে প্রদর্শিত হচ্ছিলো। এই রকম আচরণ একজন হ্যাকারকে সহজেই ওটিপি হ্যাক করার সুযোগ দেয়।
এই দুর্বলতা পরীক্ষা করতে আপনি বার্প স্যুটের মতো ওয়েব পেনটেস্টিং টুল ব্যবহার করতে পারেন। বার্প স্যুট ওয়েব অ্যাপ্লিকেশনের নিরাপত্তা বিশ্লেষণ ও অনুপ্রবেশ পরীক্ষার জন্য একটি অত্যন্ত কার্যকরী টুল। এছাড়াও, আপনি চাইলে বার্প স্যুট ব্যবহার না করেও সাধারণ ব্রাউজারের ডেভেলপার টুলস ব্যবহার করে পোস্ট রিকুয়েস্টের রেসপন্স অংশে থাকা ওটিপি সহজেই দেখতে পারবেন।
ওটিপি হ্যাকিংঃ নিরাপত্তা সচেতনতা ও ব্যক্তিগত পর্যায়ে পরীক্ষা
অ্যাটাক করার আগে জানিয়ে রাখছি, যে ওয়েব অ্যাপ্লিকেশনের উপর এখন হ্যাকিং কার্যক্রম করতে যাচ্ছি সেটা আমার লোকালহোস্টে ডেপলয় করেছি। এটা পাইথন দ্বারা আমার নিজের ডেভেলপ করা একটি ওয়েব অ্যাপ্লিকেশন। এই আর্টিকেলে আক্রমণটি দেখানোর জন্যই আমি এটা ডেভেলপ করেছি। মনে রাখবেন, অনৈতিক ভাবে অনুমতি ছাড়া কারো ওয়েবসাইটে আমি ম্যালিসিয়াস রিকুয়েস্ট পাঠাচ্ছি না। যায় হোক, নিচের স্ক্রিনশট দেখুন আমি আমার ওয়েব অ্যাপ্লিকেশনকে রান করে নিয়েছি।
পরীক্ষার জন্য একটি ভারতীয় নম্বর দিচ্ছি ইনপুটে।
এখন নিচের স্ক্রিনশট দেখুন, ওয়েব অ্যাপ্লিকেশনটি মোবাইলে ওটিপি পাঠানোর সাথে সাথে রেসপন্সেও ওই ওটিপিটি প্রদর্শন করছে।
সতর্কতাঃ এই লেখাটি সম্পূর্ণরূপে শিক্ষামূলক উদ্দেশ্যে প্রস্তুত করা হয়েছে। এখানে আলোচিত বিষয়গুলো যেনো কেউ অনৈতিকভাবে বা অবৈধ সাইবার আক্রমণের উদ্দেশ্যে ব্যবহার না করেন। আমি স্পষ্টভাবে জানিয়ে রাখছি, এই আর্টিকেলের কোনো তথ্য যদি কেউ অপব্যবহার করে বা বেআইনিভাবে কোনো সাইবার আক্রমণ চালায়, তাহলে তার জন্য আমি কোনো রকম ভাবেই দায়ী থাকবো না। সকলকে আইন মেনে চলার এবং নৈতিক হ্যাকিং চর্চার আহ্বান জানাচ্ছি।
আজকের আলোচনা এখানেই ইতি টানছি। সামনে আবার নতুন কোনো বিষয়ের আলোচনায় দেখা হবে। ততোক্ষণ পর্যন্ত নিজের যত্ন নিন, সুস্থ থাকুন, এবং ভেতর থেকে ভালো থাকুন।
বর্তমান সময়ে অহরহ ওয়েব ডেভেলপার দেখা যায়। তাদের বেশিরভাগই অদক্ষ। তারা ভিডিও টিউটোরিয়াল অনুসরণ করে বিভিন্ন প্রোজেক্ট করে থাকে। তাদের ভেতর কোনো সাইবার নিরাপত্তার জ্ঞান না থাকায় এমন অগণিত নিরাপত্তা ত্রুটি তৈরি হয়। যেটা দ্বারা হ্যাকার খুব সহজেই অ্যাকাউন্ট টেকওভার করতে পারে।