৪ কোটি ৮০ লাখ জিমেইল পাসওয়ার্ড থাকা ফাঁস ডেটাবেইজটি আসলে নতুন কোনো একক ডেটা ব্রিচ নয়, বরং আগে বিভিন্ন সময় বিভিন্ন জায়গা থেকে চুরি হওয়া তথ্য একত্র করে বানানো বিশাল একটি ভাণ্ডার।
শুধু জিমেইল নয়, সেখানে ফেইসবুক, ইনস্টাগ্রাম, নেটফ্লিক্স, ইয়াহু ও আউটলুকসহ নানা প্ল্যাটফর্মের মোট প্রায় ১৪ কোটি ৯৫ লাখ লগইন তথ্য পাওয়া গেছে বলে জানাচ্ছেন গবেষক জেরেমিয়া ফাউলার। তিনি জানান, প্রায় ৯৬ গিগাবাইট আকারের এই ডেটাবেইজটি পাসওয়ার্ড সুরক্ষা বা এনক্রিপশন ছাড়াই উন্মুক্ত ছিল। তার ভাষ্য, ডেটাবেইজটি অফলাইনে নিতে এক মাসেরও বেশি সময় লেগেছে; এই সময়ের মধ্যে ঠিক কতটা অপব্যবহার হয়েছে, তা নির্দিষ্ট নয়।
ফাউলারের হিসাবে, সবচেয়ে বেশি ক্ষতিগ্রস্ত প্ল্যাটফর্ম জিমেইল, প্রায় ৪ কোটি ৮০ লাখ অ্যাকাউন্টের তথ্য সেখানে ছিল। এরপর তালিকায় আছে প্রায় ১ কোটি ৭০ লাখ ফেইসবুক, ৬৫ লাখ ইনস্টাগ্রাম, ৪০ লাখ ইয়াহু, ৩৪ লাখ নেটফ্লিক্স ও ১৫ লাখ আউটলুক অ্যাকাউন্টের তথ্য। বিশেষজ্ঞদের ধারণা, বিভিন্ন ধরনের ‘ইনফোস্টিলার’ ও ‘কি লগার’ ম্যালওয়্যার ব্যবহারকারীর ডিভাইসে ঢুকে টাইপ করা তথ্য সংগ্রহ করে এ ধরনের ডেটা ভাণ্ডার তৈরি করেছে।
সাইটিডেলের সিইও ম্যাট কনলন এটিকে সাইবার অপরাধীদের জন্য “গুপ্তধনের মতো” আখ্যা দিয়ে বলেন, ইনফোস্টিলার ম্যালওয়্যারের বৃদ্ধি সমস্যার ব্যাপকতা স্পষ্ট করে দিচ্ছে। ব্ল্যাক ডাকের সিনিয়র সিকিউরিটি ইঞ্জিনিয়ার বোরিস সিপোটও মনে করেন, ডেটাবেইজটি যতদিন অনলাইনে ছিল, ততদিন কত তথ্য ফাঁস হয়েছে তা মাপার কোনো উপায় নেই; এতে সরকারি, ব্যাংকিং ও বিভিন্ন স্ট্রিমিং সেবার লগইনও ছিল বলে তিনি উল্লেখ করেন।
এপিআইকনটেক্সটের সিইও মায়ুর উপাধ্যায় মনে করিয়ে দেন, শুধু তথ্য চুরি হওয়াই শেষ ঝুঁকি নয়; একই পাসওয়ার্ড বারবার ব্যবহার করলে বিপদ অনেক বাড়ে, কারণ এক সেবার ফাঁস হওয়া পাসওয়ার্ড দিয়ে স্বয়ংক্রিয়ভাবে অন্য সেবায় লগইন করার ‘ক্রেডেনশিয়াল স্টাফিং’ চালানো হয়। পিক্সেল প্রাইভেসির ক্রিস হক ব্যবহারকারীদের HaveIBeenPwned ওয়েবসাইটে ইমেইল দিয়ে আগের কোনো ডেটা লিকে জড়িত ছিল কি না, তা চেক করার পরামর্শ দেন।
গুগল জানায়, তারা ঘটনাটি সম্পর্কে অবগত এবং বলছে, এই ডেটাসেট মূলত ইনফোস্টিলার ম্যালওয়্যারের মাধ্যমে ব্যক্তিগত ডিভাইস থেকে সংগৃহীত লগইনের সমষ্টি। কোম্পানিটির দাবি, কোনো অ্যাকাউন্টের তথ্য ফাঁস ধরা পড়লে স্বয়ংক্রিয়ভাবে সেটি লক করা হয় এবং ব্যবহারকারীকে পাসওয়ার্ড বদলাতে বাধ্য করা হয়। বিশেষজ্ঞরা আতঙ্ক না হয়ে দ্রুত পাসওয়ার্ড পরিবর্তন, প্রতিটি সেবার জন্য আলাদা পাসওয়ার্ড এবং সম্ভব হলে পাসকি বা মাল্টি-ফ্যাক্টর অথেন্টিকেশন চালুর পরামর্শ দিচ্ছেন, যাতে ভবিষ্যতের ঝুঁকি অনেকটাই কমানো যায়।
