অনলাইন মেন্টরশিপ প্ল্যাটফর্ম UStrive-তে সম্প্রতি একটি নিরাপত্তা ত্রুটি ধরা পড়েছে, যার ফলে বহু ব্যবহারকারীর, বিশেষত নাবালকদের, নাম, ই‑মেইল, ফোন নম্বর এবং অন্যান্য গোপন তথ্য অন্য লগ‑ইন করা ব্যবহারকারীরাও দেখতে পেরেছেন। ত্রুটিটি প্রকাশের পরপরই সাইটটি সমস্যাটি সমাধান করেছে, তবে ব্যবহারকারীদের জানানো হবে কিনা তা এখনও স্পষ্ট নয়।
UStrive, পূর্বে Strive for College নামে পরিচিত, একটি অলাভজনক সংস্থা যা উচ্চ বিদ্যালয় ও বিশ্ববিদ্যালয় শিক্ষার্থীদের অনলাইন মেন্টরশিপ সেবা প্রদান করে। এই সেবার মাধ্যমে শিক্ষার্থীরা অভিজ্ঞ মেন্টরের সঙ্গে সংযুক্ত হয়ে ক্যারিয়ার গাইডেন্স ও একাডেমিক সহায়তা পায়।
সিকিউরিটি ত্রুটির ফলে ব্যবহারকারীদের পূর্ণ নাম, ই‑মেইল ঠিকানা, ফোন নম্বর, লিঙ্গ, জন্মতারিখ এবং অন্যান্য স্বেচ্ছায় প্রদান করা তথ্যগুলো কোনো লগ‑ইন করা ব্যবহারকারীই সহজে অ্যাক্সেস করতে পারছিল। এই তথ্যগুলো ব্রাউজারের ডেভেলপার টুলসের মাধ্যমে সরাসরি দেখা যাচ্ছিল, ফলে গোপনীয়তা ব্যাপকভাবে লঙ্ঘিত হয়েছে।
একজন গোপনীয়তা রক্ষাকারী গবেষক, যিনি নাম প্রকাশ না করার অনুরোধ করেন, UStrive-তে লগ‑ইন করে নেটওয়ার্ক ট্র্যাফিক পর্যবেক্ষণ করার সময় এই দুর্বলতা শনাক্ত করেন। ব্যবহারকারী প্রোফাইল দেখার সময় তিনি লক্ষ্য করেন যে অন্য ব্যবহারকারীর ব্যক্তিগত তথ্যগুলোও একই পৃষ্ঠায় লোড হচ্ছে।
বিশ্লেষণে দেখা যায় যে UStrive-র অ্যামাজন-হোস্টেড GraphQL এন্ডপয়েন্টে যথাযথ অ্যাক্সেস নিয়ন্ত্রণের অভাব ছিল। এই ধরনের ডেটাবেস ইন্টারফেসে অনিরোধিত কুয়েরি চালিয়ে সার্ভারে সংরক্ষিত বিশাল পরিমাণের ব্যবহারকারী ডেটা বের করা সম্ভব হয়ে গিয়েছিল।
গবেষকের তথ্য অনুযায়ী, ত্রুটি প্রকাশের সময় সাইটে কমপক্ষে ২,৩৮,০০০টি ব্যবহারকারী রেকর্ড সংরক্ষিত ছিল। UStrive নিজস্ব ওয়েবসাইটে উল্লেখ করেছে যে ১.১ মিলিয়নেরও বেশি শিক্ষার্থী তাদের মেন্টরশিপ প্রোগ্রামে অংশগ্রহণকারী হিসেবে নিবন্ধিত।
সাইটের নিরাপত্তা ত্রুটি দ্রুত বন্ধ করা হলেও, UStrive এখনো স্পষ্ট করে না যে তারা প্রভাবিত ব্যবহারকারীদের, বিশেষ করে নাবালকদের, জানাতে চায় কিনা। তথ্য লিকের পর কোম্পানি কীভাবে ব্যবহারকারীদের সঙ্গে যোগাযোগ করবে তা এখনও অনিশ্চিত।
UStrive-কে প্রতিনিধিত্বকারী ভির্জিনিয়া ভিত্তিক আইন সংস্থা McIntyre Stein-এর আইনজীবী জন ডি. ম্যাকইন্টায়ার উল্লেখ করেন যে, কোম্পানি বর্তমানে এক প্রাক্তন সফটওয়্যার ইঞ্জিনিয়ারের সঙ্গে আইনি বিরোধে জড়িয়ে আছে, যা তাদের প্রতিক্রিয়া ক্ষমতাকে কিছুটা সীমাবদ্ধ করে। এই আইনি প্রেক্ষাপটের কারণে ত্রুটি সংশোধনের পাশাপাশি ব্যবহারকারীদের জানাতে দেরি হতে পারে।
টেকক্রাঞ্চের একটি টেস্ট অ্যাকাউন্টের মাধ্যমে ত্রুটি নিশ্চিত করা হয় এবং সংশ্লিষ্ট এক্সিকিউটিভদের ইমেইল পাঠানো হয়। এই যাচাই প্রক্রিয়ায় দেখা যায় যে, নতুন ব্যবহারকারী তৈরি করেও পূর্বে উন্মুক্ত থাকা ডেটা সহজে দেখা যায়।
শিশু ও কিশোর-কিশোরীর তথ্য লিক হওয়া প্রযুক্তি ভিত্তিক শিক্ষার ক্ষেত্রে গোপনীয়তা সুরক্ষার গুরুত্বকে আবারও তুলে ধরেছে। অনলাইন মেন্টরশিপ প্ল্যাটফর্মগুলোকে ব্যবহারকারীর সংবেদনশীল তথ্যের নিরাপত্তা নিশ্চিত করতে কঠোর সিকিউরিটি নীতি ও নিয়মিত অডিট প্রয়োগ করা জরুরি।
ভবিষ্যতে UStrive এবং অনুরূপ সেবাগুলোর জন্য ডেটা সুরক্ষা আইন অনুসরণ, নিরাপদ কোডিং প্র্যাকটিস এবং ত্রুটি সনাক্তকরণের স্বয়ংক্রিয় ব্যবস্থা গ্রহণ অপরিহার্য হবে। এ ধরনের পদক্ষেপ না নিলে ব্যবহারকারীর আস্থা ক্ষুণ্ন হবে এবং আইনি শাস্তির ঝুঁকি বাড়বে।
