ফেইসবুক এ আবিষ্কৃত হয় একটি নিরাপত্তা ত্রুটি যার সাহায্যে যেকোন আইডির নিয়ন্ত্রন নেয়া সম্ভব একইসাথে পাসওয়ার্ড রিসেট
করে অ্যাকাউন্ট কে সম্পূর্ণ ভাবে নিয়ন্ত্রন নেয়া যেত। তাত্ত্বিক বিশ্লেষণ করলে হয়ত এটিকে কোন সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক মনে হবে, কিন্তু কারিগরি বিশ্লেষণ এ গেলে বোঝা যায় এটি  একটি নিরাপত্তা ত্রুটি যার সাহায্যে প্রকৃত পক্ষে ফেসবুকের নিরাপত্তা কে হুমকির মুখে ঠেলে দেয়।

আমরা যখন পাসওয়ার্ড ভুলে যাই ইমেইল / মোবাইলে একটি ছয় ডিজিট এর কোড পাঠানো হয়, মূলত একটি একাউন্ট এর সাহায্যে  এই কোড সংগ্রহ করে facebook.com এ ব্রুট  ফোরস চালানো হয় বিভিন্ন অ্যাকাউন্ট এর জন্য পাসওয়ার্ড পরিবর্তন করার জন্য, একটি নির্দিষ্ট সময় এর পর ফেসবুক আইপি অ্যাড্রেস ব্লক করে দেয়।  । এধরনের  টোকেনের মাধ্যমে পাসওয়ার্ড হাইজ্যাক আগেও হয়েছে এ নিয়ে ব্লগ ও পাবলিশ হয়েছে। চাইলে বিস্তারিত পড়ে আসতে পারেন (ফেসবুক পাসওয়ার্ড হাইজ্যাক রিসেট ট্রিক) যাই হোক।

আসলে যখন একটি টোকেন দিয়ে কোন ইন্ডপয়েন্টে মাল্টিপল অ্যাকসেস চালানো হয়, সেখান থেকে স্বয়ংক্রিয় ভাবে Rate Limitation এর জন্য স্পামিং প্রতিহত করার উদ্দেশ্যে, আইপি অ্যাড্রেস ব্লক করে দেয়া হয়।

এই ত্রুটি টি ফেসবুকের মূল সাইটে কাজ না করলেও, আশ্চর্যজনক ভাবে  beta.facebook.com এবং beta.mbasic.facebook.com   এ কাজ করে, মানে beta.facebook.com এ রেট লিমিটেশন নেই, অর্থাৎ যে কোন ফেইসবুক অ্যাকাউন্ট কে টার্গেট করে, একটি অ্যাকাউন্ট এর ইমেইল / মোবাইল এ  পাঠান টোকেন ব্যবহার করে ব্রুট ফোরস করা সম্ভব। আর একে কাজে লাগিয়ে যে কোন অ্যাকাউন্ট কে টার্গেট করে টোকেন টিকে বারবার ব্যবহার করে মানে Brute Forcing করে যেকোন অ্যাকাউন্ট এর পাসওয়ার্ড পরিবর্তন করে তার নিয়ন্ত্রন নেয়া সম্ভব !!

এই সহজ যুক্তি কে কাজে লাগিয়ে  যে কোন অ্যাকাউন্ট হ্যাক করা সম্ভব। এবং রেট লিমিটেশন বাইপাস করার জন্য টোকেন একাধিক বার ব্যবহার করতে হবে, এই কাজ ম্যানুয়াল ভাবে করা প্রায় অসম্ভব, তাই এখানে ব্যবহার করা হয় Portswigger এর বিখ্যাত Burpsuite কে। মূলত Burpsuite এর রিপিটার কে  ব্যবহার করা হয়। প্রথমবার যখন টোকেন দেয়া হয়, সেটিকে Burp - Proxy দিয়ে ইন্টারসেপ্ট করা হয়, পরে পাঠানো হয় Sequencer Module এ, সেখান থেকে রিপিটার এ পাঠিয়ে অনবরত টোকেন দিয়ে রেইট লিমিটেশন বাইপাস করা হয় এবং অ্যাকাউন্ট এর নিয়ন্ত্রণ নেয়া হয়।

যারা Burp Suite ব্যবহার করেন নি, তাদের কাছে এটি কঠিন মনে হতে পারে, কিন্তু আসলে খুব এ সহজ। প্রকৃত ধারনাকে কাজে লাগিয়ে এখানে Burp কে শুধু একটি মাধ্যম হিসেবে ব্যবহার করা হয়েছে, তার মানে এই নয় যে Burp Scanner দিয়ে এই ত্রুটি শনাক্ত হয়েছে, বা এটি ছাড়া কাজ হবেনা।

গতবছর এর মার্চ এ এটি আবিষ্কৃত হয় এবং এটি রিপোর্ট করার পরে ফেইসবুক প্রদান করে ১৫০০০ মার্কিন ডলার বা প্রায় ১১ লক্ষ ৮০ হাজার বাংলাদেশী টাকা। এর logic যদিও খুব ই সহজ, তবুও বোঝার সুবিধার জন্য Proof Of Concept এর ভিডিও টি সংযুক্ত করা হল।

সিকিউরিটি নিয়ে রিসার্চ করলে কে জানে হয়ত খুব সাধারণ জিনিশ এর লজিক দিয়ে আপনি হয়ে উঠতে পারেন অসাধারণ একজন সিকিউরিটি রিসার্চার। সাইবারট্রেন্ডজ ইথিকাল হ্যাকিং নিয়ে কাজ করে এবং ইথিকাল হ্যাকিং এর প্রসার এ আমরা বদ্ধপরিকর

অফিসিয়াল ফেসবুক পেইজঃ http://www.facebook.com/CY133R
অফিসিয়াল ফেইসবুক গ্রুপঃ http://www.facebook.com/groups/CY133R