কেন ব্রিটিশ এয়ারওয়েজের ডেটা লঙ্ঘনের পাঠগুলি আগের চেয়ে বেশি সময়ময়

ব্রাউজার সাপ্লাই চেইন আক্রমণ—যেখানে শেষ ব্যবহারকারীদের ওয়েব ব্রাউজারে চলমান তৃতীয়-পক্ষের স্ক্রিপ্টগুলি দূষিত শোষণের সাথে ইনজেকশন দেওয়া হয়—একটি কম-প্রশংসিত এবং কম-সুরক্ষিত হুমকি থেকে যায়, এমনকি তাদের প্রসার ত্বরান্বিত হতে থাকে। ব্রিটিশ এয়ারওয়েজের ডেটা লঙ্ঘনের সতর্কতামূলক গল্পটি প্রথম দেখায় যে এই ব্রাউজার-সাইড আক্রমণগুলি কতটা বিধ্বংসী হতে পারে। ইজিজেট এবং এয়ার ইউরোপা একই ধরণের আক্রমণের শিকার হওয়ার সাথে এয়ারলাইনগুলি একটি জনপ্রিয় লক্ষ্য হিসাবে রয়ে গেছে। কিন্তু তারা একা নয়। এমনকি আরও সম্প্রতি, বীমা জায়ান্ট কায়সার পার্মানেন্টে প্রকাশ্যে একটি ডেটা লঙ্ঘন ঘোষণা করেছে , তৃতীয় পক্ষের ব্রাউজার স্ক্রিপ্ট থেকে উদ্ভূত, যা লক্ষ লক্ষ বর্তমান এবং প্রাক্তন বীমা সদস্যদের প্রভাবিত করেছে।

এই হুমকি ভেক্টরের বিরুদ্ধে রক্ষা করা প্রকৌশলীদের জন্য আগের চেয়ে আরও বেশি জরুরি এবং ব্রাউজার সাপ্লাই চেইন লঙ্ঘনের ঝুঁকি উপেক্ষা করা সংস্থাগুলি তাদের বিপদে তা করে। এখানে কেন ব্রিটিশ এয়ারওয়েজের ঘটনাটি এখনও এন্টারপ্রাইজ সাইবার নিরাপত্তা কৌশলের সাথে এতটা প্রাসঙ্গিক এবং অনুরূপ হুমকি থেকে রক্ষা করার জন্য কী করা যেতে পারে।

হামলাকারীরা নিরাপত্তার ত্রুটিকে কাজে লাগিয়েছে

ব্রিটিশ এয়ারওয়েজের লঙ্ঘনের ক্ষেত্রে, যে কোনো গ্রাহক যে তাদের ক্রেডিট কারের তথ্য অফিসিয়াল ব্রিটিশ এয়ারওয়েজের ওয়েবসাইটে একটি ক্রয় করতে প্রবেশ করেছেন তাদের সেই সংবেদনশীল ডেটা অনুলিপি করা হয়েছে এবং একটি ক্ষতিকারক ব্রাউজার-সাইড স্ক্রিপ্ট দ্বারা আক্রমণকারী-নিয়ন্ত্রিত ডোমেনে পাঠানো হয়েছে। অবশেষে যখন এয়ারলাইনটি সনাক্ত করা কঠিন এই হুমকিটি লক্ষ্য করেছিল, 400,000 এরও বেশি গ্রাহক তাদের ব্যক্তিগত তথ্য প্রকাশ করেছিল, যার ফলে যুক্তরাজ্যের তথ্য কমিশনার অফিসে (ICO) নিয়ন্ত্রকদের দ্বারা £183 মিলিয়ন+ জরিমানা রেকর্ড করা হয়েছিল।

ঘটনার উত্স একটি প্রাথমিক অনুপ্রবেশের জন্য চিহ্নিত করা হয়েছে যেখানে আক্রমণকারীরা কার্গো পরিষেবা প্রদানকারী সুইসপোর্টের একজন কর্মচারীর চুরি করা শংসাপত্র ব্যবহার করে ব্রিটিশ এয়ারওয়েজের সিস্টেমে লগ ইন করেছিল। সেই অ্যাকাউন্টে মাল্টি-ফ্যাক্টর প্রমাণীকরণ সুরক্ষার অভাব ছিল, যা আক্রমণকারীদের একটি Citrix রিমোট অ্যাক্সেস পরিবেশে লগ ইন করতে এবং দূরবর্তী ব্যবহারকারীদের নেটওয়ার্কের নিরাপদ এলাকায় সীমাবদ্ধ করার বিধিনিষেধের বাইরে তাদের অ্যাক্সেস বাড়াতে দেয়।

আক্রমণকারীরা তখন অতিরিক্ত দুর্বলতার জন্য সমগ্র নেটওয়ার্ক অনুসন্ধানের জন্য টুল চালু করে; তারা শীঘ্রই একটি এনক্রিপ্ট করা প্লেইন টেক্সট ফাইল আবিষ্কার করে যাতে একটি ডোমেন অ্যাডমিনিস্ট্রেটরের লগইন শংসাপত্র অন্তর্ভুক্ত ছিল। এটি আক্রমণকারীদের ডোমেনে কম্পিউটার এবং সার্ভার অ্যাক্সেস করতে, কনফিগারেশন সেটিংস পরিবর্তন করতে এবং নেটওয়ার্ক সংস্থানগুলিকে ম্যানিপুলেট করার জন্য একটি খোলা দরজা দিয়েছে৷ তারা সার্ভারে লগইন করা শুরু করে, পরের দিন একটি ডাটাবেস প্রশাসকের লগইন শংসাপত্র আবিষ্কার করে এবং তাদের অবসর সময়ে উপলব্ধ ডেটা অন্বেষণ করতে থাকে।

আক্রমণকারীরা 108,000 পেমেন্ট কার্ডের বিশদ বিবরণ সহ লগ ফাইলগুলি খুঁজে পেয়েছিল, সমস্তই প্লেইন টেক্সটে সংরক্ষিত। একটি পরীক্ষামূলক বৈশিষ্ট্যের ফলাফল দুর্ঘটনাক্রমে রেখে দেওয়া হয়েছে, সেই ডেটা কখনই সংরক্ষণ করার কথা ছিল না এবং অবশ্যই সম্পূর্ণরূপে অনিরাপদ রাখা হয়নি। আক্রমণকারীরা তখন আবিষ্কার করে যে ফাইলটি ব্রিটিশ এয়ারওয়েজের সাইটের কোড অন্তর্ভুক্ত করে, তাদের ব্রাউজার সাপ্লাই চেইন আক্রমণ প্রস্তুত করার জন্য তাদের প্রয়োজনীয় সমস্ত সুযোগ দেয়।

ব্রাউজার সাপ্লাই চেইন আক্রমণের শারীরস্থান বোঝা

তাদের কৌশলের একটি মূল কেন্দ্রবিন্দু হিসাবে, আক্রমণকারীরা baways dot com কিনেছিল, একটি উপলব্ধ ডোমেন নাম যা কোম্পানির অন্তর্গত একটি অফিসিয়াল ওয়েব ঠিকানা হিসাবে সহজেই ভুল বোঝা যায়। যদিও ডোমেনটি একটি লিথুয়ানিয়ান হোস্টিং প্রদানকারী ব্যবহার করেছিল এবং এটি রোমানিয়ার বাইরে হোস্ট করা হয়েছিল, ব্রিটিশ এয়ারওয়েজের কাছে নিরাপত্তা কর্মীদের সতর্ক করার মতো মনিটরিং ছিল না যে কিছু একটা খারাপ হয়েছে৷

আধুনিক ওয়েবসাইট ডেভেলপমেন্ট ব্যবহারকারীরা আশানুরূপ ইন্টারঅ্যাক্টিভিটি এবং উন্নত ক্ষমতা সক্ষম করতে তৃতীয় পক্ষের উত্স থেকে অসংখ্য স্ক্রিপ্ট ব্যবহার করে। থার্ড-পার্টি স্ক্রিপ্ট দ্বারা চালিত বৈশিষ্ট্যগুলির উদাহরণগুলির মধ্যে চ্যাটবট থেকে বিপণন এবং বিশ্লেষণের সরঞ্জামগুলি থেকে ক্যাপচাগুলির মতো সুরক্ষা ব্যবস্থাগুলি অন্তর্ভুক্ত রয়েছে৷ কিন্তু এই স্ক্রিপ্টগুলি বিশেষভাবে কোম্পানিগুলির জন্য নিরীক্ষণ এবং সুরক্ষিত করা চ্যালেঞ্জিং, কারণ প্রায়শই তারা বাহ্যিকভাবে হোস্ট এবং পরিচালিত হয়। তৃতীয় পক্ষের বিক্রেতার পক্ষের একটি সাধারণ দুর্বলতা বা ত্রুটি একটি নিরাপত্তা ঘটনা ঘটাতে পারে। এমন পরিস্থিতিতে যেখানে এই ধরনের বিক্রেতাদের সুরক্ষিত কোড সরবরাহ করার দক্ষতার অভাব রয়েছে—অথবা যেখানে ব্যবসা এবং কর্মীদের পরিবর্তনগুলি অপরিবর্তিত এবং অনিয়ন্ত্রিত স্ক্রিপ্টগুলির দিকে পরিচালিত করে-ঝুঁকিগুলি চরম আকার ধারণ করতে পারে৷

লঙ্ঘনের সময়, ব্রিটিশ এয়ারওয়েজের ওয়েবসাইট প্রায় 20টি তৃতীয় পক্ষের স্ক্রিপ্ট (বুকিং পৃষ্ঠা সহ 30টি) লোড করেছিল। সাইটের দর্শকদের ব্রাউজারগুলি বাহ্যিক উত্স থেকে কোড প্রাপ্ত এবং কার্যকর করার জন্য সাইট থেকে অনুরোধ পেয়েছে৷ এটি আদর্শ অনুশীলন, এবং ব্রাউজারগুলি স্ক্রিপ্ট বা শেষ পয়েন্টগুলি বৈধ কিনা তা বিচার করার জন্য ডিজাইন করা হয়নি। আক্রমণকারীরা Modernizr JavaScript লাইব্রেরিতে দূষিত কোড ইনজেকশন করেছে, একটি সাধারণ স্ক্রিপ্ট যা অভিজ্ঞতাগুলি অপ্টিমাইজ করতে ব্রাউজার বৈশিষ্ট্যগুলি সনাক্ত করতে সহায়তা করে৷ ব্রিটিশ এয়ারওয়েজের ওয়েব সার্ভার দ্বারা পরিবেশিত স্ক্রিপ্টের এই আপোষকৃত সংস্করণটি আক্রমণকারীর সাইটে গ্রাহকের জমা দেওয়া ডেটার একটি অনুলিপি পাঠিয়েছে।

এইভাবে, প্রায় তিন সপ্তাহ ধরে, ব্রিটিশ এয়ারওয়েজের ওয়েবসাইটে প্রবেশ করা সমস্ত পেমেন্ট কার্ডের তথ্য আক্রমণকারীদের দ্বারা স্কিম করা হয়েছিল। গ্রাহকরা সেই সময়ে সম্পূর্ণ অজানা ছিলেন, যদিও এটি তাদের নিজস্ব ব্রাউজার যা তাদের সংবেদনশীল তথ্য প্রেরণ করেছিল। আক্রমণকারীরা সাধারণ ওয়েব অভিজ্ঞতা এবং লেটেন্সি অক্ষুণ্ণ রাখতে চতুর ছিল, তাদের ডেটা চুরিকে কয়েক সপ্তাহ ধরে ব্যবহারকারী এবং নিরাপত্তা কর্মীদের উভয়ের কাছে স্বচ্ছ করে তুলেছিল।

যখন একটি তৃতীয় পক্ষ অবশেষে কয়েক সপ্তাহ পরে ব্রিটিশ এয়ারওয়েজকে লঙ্ঘন সম্পর্কে চিনতে এবং অবহিত করে, তখন কোম্পানিটি সবকিছু ঠিকঠাক করেছিল। দুই ঘণ্টারও কম সময়ের মধ্যে, নিরাপত্তা দল দূষিত কোডটি নিরপেক্ষ করেছে এবং জাল ওয়েবসাইটটি ব্লক করেছে। গ্রাহকরা, ব্যাঙ্কগুলি পেমেন্ট প্রক্রিয়া করছে এবং ICO তাত্ক্ষণিক বিজ্ঞপ্তি পেয়েছে৷ কিন্তু ক্ষতি করা হয়। এয়ারলাইনটির খ্যাতি আঘাত হেনেছে, একটি রেকর্ড-সেটিং নিয়ন্ত্রক জরিমানা অনুসরণ করা হয়েছে, এবং ক্লাস-অ্যাকশন মামলাগুলি পরে আদালতের বাইরে নিষ্পত্তি করা হয়েছে। যদিও কোম্পানির দ্রুত জবাবদিহিতার (এবং মহামারী ত্রাণের সহযোগীতায়) পরে জরিমানা হ্রাস করা হয়েছিল, এটি এমন একটি পর্ব যা যে কেউ সাগ্রহে এড়াতে পারে।

হুমকির আগমন

স্পষ্ট করে বলতে গেলে, এই ঘটনায় ব্রিটিশ এয়ারওয়েজের নিরাপত্তার ত্রুটি খুঁজে পাওয়া কঠিন: তৃতীয় পক্ষের স্ক্রিপ্টের মাধ্যমে বিতরিত ক্ষতিকারক পেলোড সহ ব্রাউজার সাপ্লাই চেইন আক্রমণকে নির্ভরযোগ্যভাবে সনাক্ত করার জন্য প্রয়োজনীয় টুলিংটি তখন সহজলভ্য ছিল না। একই সময়ে, ম্যাগকার্ট আক্রমণের মতো পরবর্তী ঘটনাগুলি (17,000টি সাইটকে প্রভাবিত করে) প্রমাণ করেছে যে হ্যাকাররা তাদের পছন্দের একটি দুর্বলতা খুঁজে পেয়েছে। আজও, বেশিরভাগ সংস্থার নিরাপত্তা ভঙ্গিতে এই আক্রমণগুলির দৃশ্যমানতার অভাব রয়েছে৷ যদিও সাধারণ আইটি সুরক্ষা সুরক্ষাগুলি এখন অভূতপূর্ব মনোযোগের আদেশ দেয়, ব্রাউজার সাপ্লাই চেইন আক্রমণের ক্রমবর্ধমান হুমকি মূলত কম-সুরক্ষিত থাকে, বা শুধুমাত্র ন্যূনতম সম্মতির প্রয়োজনীয়তাগুলিকে সম্বোধন করা হয়।

যাইহোক, এই আক্রমণগুলির বিরুদ্ধে দলগুলিকে শক্তিশালী প্রতিরক্ষা প্রদানের জন্য নিরাপত্তা ক্ষমতা এখন বিদ্যমান। কার্যকর ব্রাউজার সাপ্লাই চেইন সুরক্ষার জন্য অপরিহার্য হল তৃতীয় পক্ষের স্ক্রিপ্টগুলির বিষয়বস্তু নিরীক্ষণ এবং ক্রমাগত পরীক্ষা করার ক্ষমতা, দূষিত স্ক্রিপ্টগুলিকে তাত্ক্ষণিকভাবে অপসারণের জন্য ডিজাইন করা কৌশলগুলিকে কাজে লাগানো৷ এই আক্রমণগুলির গতিশীল প্রকৃতি বিবেচনা করে, শুধুমাত্র স্ক্রিপ্টের উত্স যে পশুচিকিত্সক দ্বারা একবার পর্যালোচনা করা বা পর্যবেক্ষণ করা যথেষ্ট নয়। এটি বলেছে, দলগুলিকে ক্রমাগত সেই বিশ্বাসটি যাচাই করার সময় তাদের পক্ষে সবচেয়ে নিরাপদ তৃতীয় পক্ষের উত্সগুলি বেছে নেওয়া উচিত। টিমগুলিকেও ভাল সুরক্ষা স্বাস্থ্যবিধি অনুশীলন করা উচিত এবং তাদের প্রয়োজন নেই এমন কোনও পৃষ্ঠা থেকে সক্রিয়ভাবে পরিষেবা এবং স্ক্রিপ্টগুলি সরিয়ে দিয়ে তাদের পরিবেশকে শক্ত করা উচিত - বিশেষ করে পেমেন্ট পোর্টালগুলির মতো সংবেদনশীল পৃষ্ঠাগুলিতে৷

একটি জরুরী নিরাপত্তা প্রয়োজন

যেহেতু ওয়েবসাইটগুলি ব্যবহারকারীদের ব্রাউজারে আধুনিক অভিজ্ঞতা আনতে আরও বেশি সংখ্যক তৃতীয় পক্ষের স্ক্রিপ্ট ব্যবহার করে, আক্রমণকারীরা কেবল আরও সুযোগ আবিষ্কার করবে। দলগুলি ব্রিটিশ এয়ারওয়েজের মতো আক্রমণের পাঠ শিখতে পারে এবং তাদের ব্রাউজার সাপ্লাই চেইনগুলিকে এখন সম্পূর্ণরূপে সুরক্ষিত করার জন্য পদক্ষেপ নিতে পারে বা কঠিন উপায়ে শিখতে পারে৷