একটা সময় ছিলো যখন ওটিপি শব্দটি শুনলে বেশিরভাগ মানুষের মনে ভেসে উঠতো শুধুমাত্র ফেসবুক বা অন্যান্য সোশ্যাল মিডিয়ায় অ্যাকাউন্ট খোলার প্রসঙ্গ। তবে সময়ের সাথে সাথে প্রযুক্তির জগতে মানুষের আগ্রহ ও কৌতূহল বেড়েছে বহুগুণ। মানুষের অদম্য প্রযুক্তিপ্রেমই তাদের পরিচয় করিয়ে দিয়েছে নানা ধরনের নতুন প্ল্যাটফর্ম ও সুরক্ষাব্যবস্থার সঙ্গে।
ধীরে ধীরে ওটিপির ব্যবহার সীমাবদ্ধ থাকেনি শুধুমাত্র অ্যাকাউন্ট খোলায়। ব্যবহারকারীর নিরাপত্তা নিশ্চিত করতে ওটিপি এখন ব্যবহৃত হচ্ছে বিভিন্ন গুরুত্বপূর্ণ প্রক্রিয়ায় যেমনঃ লগইন, রেজিস্ট্রেশন, লেনদেন নিশ্চিতকরণ, পাসওয়ার্ড রিসেট ইত্যাদি।
প্রায় প্রতিটি ওয়েবসাইটেই ফোন নম্বর যাচাইয়ের সময় ওটিপি পাঠানো হয়। এটি একটি নিরাপত্তা ব্যবস্থা, যা নিশ্চিত করে যে ব্যবহারকারী সত্যিই সেই ফোন নম্বরের মালিক। এই স্বল্পমেয়াদি ও একবারই ব্যবহারের উপযোগী কোড ব্যবহারকারীর পরিচয় যাচাইয়ের একটি অন্যতম কার্যকর পদ্ধতি হিসেবে প্রতিষ্ঠিত হয়েছে। এ প্রেক্ষাপটে আমরা আজ আলোচনা করবো ইন্সকিউর ওটিপি মেকানিজম নিয়ে।
ইন্সকিউর ওটিপি মেকানিজম
ইনসিকিউর ওটিপি মেকানিজম বলতে বোঝানো হয় এমন একটি ওটিপি ব্যবস্থা যা নিরাপত্তার দিক থেকে দুর্বল এবং সহজেই ভঙ্গযোগ্য। এই ধরনের দুর্বলতা ব্যবহারকারীর ব্যক্তিগত তথ্য ও অ্যাকাউন্ট হ্যাকারদের জন্য সহজলভ্য করে তোলে।
সম্প্রতি, একজন ভারতীয় ক্লায়েন্ট তার একটি ই-কমার্স ওয়েব অ্যাপ্লিকেশনের নিরাপত্তা মূল্যায়নের জন্য আমার সাহায্য চান। আমি কাল রাতে অ্যাপ্লিকেশনটি পরীক্ষা করতে গিয়ে লক্ষ্য করি যে, এতে একটি গুরুতর ইনসিকিউর ওটিপি মেকানিজম বিদ্যমান।
যখন কেউ অ্যাকাউন্ট তৈরি করে বা পাসওয়ার্ড রিসেট করার অনুরোধ পাঠায়, তখন ওটিপিটি শুধু ব্যবহারকারীর মোবাইল নম্বরে এসএমএস আকারে পাঠানো হচ্ছে না, সেই সাথে সেটি পোস্ট মেথডে এপিআই রেসপন্সেও স্পষ্টভাবে প্রদর্শিত হচ্ছিলো। এই রকম আচরণ একজন হ্যাকারকে সহজেই ওটিপি হ্যাক করার সুযোগ দেয়।
এই দুর্বলতা পরীক্ষা করতে আপনি বার্প স্যুটের মতো ওয়েব পেনটেস্টিং টুল ব্যবহার করতে পারেন। বার্প স্যুট ওয়েব অ্যাপ্লিকেশনের নিরাপত্তা বিশ্লেষণ ও অনুপ্রবেশ পরীক্ষার জন্য একটি অত্যন্ত কার্যকরী টুল। এছাড়াও, আপনি চাইলে বার্প স্যুট ব্যবহার না করেও সাধারণ ব্রাউজারের ডেভেলপার টুলস ব্যবহার করে পোস্ট রিকুয়েস্টের রেসপন্স অংশে থাকা ওটিপি সহজেই দেখতে পারবেন।
ওটিপি হ্যাকিংঃ নিরাপত্তা সচেতনতা ও ব্যক্তিগত পর্যায়ে পরীক্ষা
অ্যাটাক করার আগে জানিয়ে রাখছি, যে ওয়েব অ্যাপ্লিকেশনের উপর এখন হ্যাকিং কার্যক্রম করতে যাচ্ছি সেটা আমার লোকালহোস্টে ডেপলয় করেছি। এটা পাইথন দ্বারা আমার নিজের ডেভেলপ করা একটি ওয়েব অ্যাপ্লিকেশন। এই আর্টিকেলে আক্রমণটি দেখানোর জন্যই আমি এটা ডেভেলপ করেছি। আপনি যদি পরীক্ষার উদ্দেশ্য এই ওয়েব অ্যাপ্লিকেশনের সোর্স কোডটি চান তবে আমার সাথে যোগাযোগ করবেন, সম্পূর্ণ ফ্রিতে সোর্স কোড শেয়ার করে দেবো। শুধু মনে রাখবেন, অনৈতিক ভাবে অনুমতি ছাড়া কারো ওয়েবসাইটে আমি ম্যালিসিয়াস রিকুয়েস্ট পাঠাচ্ছি না। যায় হোক, নিচের স্ক্রিনশট দেখুন।
পরীক্ষার জন্য একটি ভারতীয় নম্বর দিচ্ছি ইনপুটে।
এখন নিচের স্ক্রিনশট দেখুন, ওয়েব অ্যাপ্লিকেশনটি মোবাইলে ওটিপি পাঠানোর সাথে সাথে রেসপন্সেও ওই ওটিপিটি প্রদর্শন করছে।
সতর্কতাঃ এই লেখাটি সম্পূর্ণরূপে শিক্ষামূলক উদ্দেশ্যে প্রস্তুত করা হয়েছে। এখানে আলোচিত বিষয়গুলো যেনো কেউ অনৈতিকভাবে বা অবৈধ সাইবার আক্রমণের উদ্দেশ্যে ব্যবহার না করেন। আমি স্পষ্টভাবে জানিয়ে রাখছি, এই আর্টিকেলের কোনো তথ্য যদি কেউ অপব্যবহার করে বা বেআইনিভাবে কোনো সাইবার আক্রমণ চালায়, তাহলে তার জন্য আমি কোনো রকম ভাবেই দায়ী থাকবো না। সকলকে আইন মেনে চলার এবং নৈতিক হ্যাকিং চর্চার আহ্বান জানাচ্ছি।
আপনারা যারা সাইবার সিকিউরিটি নিয়ে পড়াশোনা করতে চান বা ইতিমধ্যে করছেন। নতুন নতুন কিছু শিখতে চান, এবং যেকোনো প্রয়োজনে আমার সাথে সাইবার নিরাপত্তা বিষয়ক আলোচনা করতে চান তবে নিচের টেলিগ্রাম গ্রুপে জয়েন রিকুয়েস্ট দিতে পারেন। আমি এই গ্রুপে খুব কম সদস্যকেই গ্রহণ করবো। নৈতিক হ্যাকিং নিয়ে আলোচনাতে আপনাকে স্বাগতম।
টেলিগ্রাম গ্রুপে যুক্ত হতেঃ ক্লিক করুন
আজকের আলোচনা এখানেই ইতি টানছি। সামনে আবার নতুন কোনো বিষয়ের আলোচনায় দেখা হবে। ততোক্ষণ পর্যন্ত নিজের যত্ন নিন, সুস্থ থাকুন, এবং ভেতর থেকে ভালো থাকুন।
