ফ্লোরিডা ভিত্তিক ভেঞ্চারএড সল্যুশনসের রেভেনা হাব নামের ছাত্র ভর্তি ওয়েবসাইটে নিরাপত্তা ত্রুটি প্রকাশ পায়, যার ফলে বহু শিশুর ব্যক্তিগত তথ্য অনধিকৃত ব্যবহারকারীদের কাছে উন্মুক্ত হয়। এই ত্রুটি একই দিনে সংশোধন করা হলেও, তথ্য ফাঁসের ঝুঁকি নিয়ে উদ্বেগ রয়ে গেছে। ত্রুটিটি আইডিওআর (Insecure Direct Object Reference) নামে পরিচিত একটি সাধারণ নিরাপত্তা দুর্বলতা।
রেভেনা হাব অভিভাবকদেরকে হাজার হাজার স্কুলে সন্তানদের ভর্তি আবেদন জমা দেওয়া ও প্রক্রিয়ার অগ্রগতি অনুসরণ করার সুবিধা দেয়। প্ল্যাটফর্মটি একাধিক স্কুলের তথ্য একত্রিত করে একক ইউজার ইন্টারফেসে প্রদর্শন করে, যা ভর্তি প্রক্রিয়াকে দ্রুত ও স্বচ্ছ করে তোলে।
তদন্তে দেখা যায়, লগইন করা যে কোনো ব্যবহারকারী অন্য ব্যবহারকারীর সংরক্ষিত তথ্য অ্যাক্সেস করতে পারত, যদিও তার অনুমতি ছিল না। এই ধরনের সরাসরি অবজেক্ট রেফারেন্সের ত্রুটি সিস্টেমের যথাযথ অনুমোদন চেকের অভাবে ঘটেছে। ফলে ব্যবহারকারী অন্যের প্রোফাইলের ডেটা সহজে দেখতে পারত।
উন্মুক্ত হওয়া তথ্যের মধ্যে শিশুর পূর্ণ নাম, জন্মতারিখ, বাসার ঠিকানা, ছবি এবং ভর্তি করা স্কুলের বিবরণ অন্তর্ভুক্ত ছিল। এছাড়াও অভিভাবকের ইমেইল, ফোন নম্বর এবং শিশুর ভাইবোনের তথ্যও প্রকাশ পেয়েছিল। এইসব ডেটা ব্যক্তিগত সুরক্ষার দৃষ্টিতে অত্যন্ত সংবেদনশীল।
ভেঞ্চারএডের ওয়েবসাইট বছরে শত শত হাজার ভর্তি আবেদন প্রক্রিয়া করে এবং এক মিলিয়নেরও বেশি শিক্ষার্থীকে সেবা প্রদান করে বলে দাবি করা হয়। এ ধরনের বৃহৎ ব্যবহারকারী ভিত্তি বিবেচনা করলে নিরাপত্তা ত্রুটি বৃহৎ পরিসরে প্রভাব ফেলতে পারত।
টেকক্রাঞ্চ বুধবার এই দুর্বলতা সম্পর্কে প্রথম জানে এবং সঙ্গে সঙ্গেই ভেঞ্চারএডকে অবহিত করে। কোম্পানির নিরাপত্তা টিম দ্রুত সমস্যার মূল বিশ্লেষণ করে এবং সমাধানের পথে অগ্রসর হয়।
ভেঞ্চারএড একই দিনে ত্রুটিটি মেরামত করে এবং টেকক্রাঞ্চের সঙ্গে সমন্বয় করে নিশ্চিত করে যে সমস্যাটি আর পুনরাবৃত্তি হবে না। তবে ত্রুটির সংশোধন নিশ্চিত হওয়া পর্যন্ত রিপোর্টটি প্রকাশ না করার সিদ্ধান্ত নেওয়া হয়।
কোম্পানির প্রধান নির্বাহী নিক লেয়ার্ড জানান যে দলটি সমস্যাটি পুনরায় তৈরি করে তা নিশ্চিত করেছে এবং তাৎক্ষণিকভাবে প্যাচ প্রয়োগ করেছে। তিনি উল্লেখ করেন যে ঘটনা নিয়ে অভ্যন্তরীণ তদন্ত চলছে, তবে ব্যবহারকারীদেরকে জানাতে বাধ্যবাধকতা নিয়ে স্পষ্ট মন্তব্য করা হয়নি। এছাড়া, অন্য ব্যবহারকারীর ডেটা অনধিকৃতভাবে অ্যাক্সেস হয়েছে কিনা তা যাচাই করার সক্ষমতা সম্পর্কেও তিনি কোনো নিশ্চিতকরণ দেননি।
রেভেনা হাবের নিরাপত্তা পর্যালোচনা তৃতীয় পক্ষের সংস্থা দ্বারা করা হয়েছে কিনা এবং তা কোন সংস্থা, এ বিষয়ে লেয়ার্ড কোনো তথ্য শেয়ার করেননি। তিনি অতিরিক্ত মন্তব্য থেকে বিরত থেকেছেন।
ভেঞ্চারএড এবং রেভেনা হাবের সাইবারসিকিউরিটি তদারকি কারা করেন, তা স্পষ্ট নয়। নিরাপত্তা দায়িত্বের স্পষ্ট কাঠামো না থাকলে ভবিষ্যতে অনুরূপ ত্রুটি পুনরাবৃত্তি হওয়ার সম্ভাবনা বাড়ে।
ইনসিকিউর ডাইরেক্ট অবজেক্ট রেফারেন্স (IDOR) হল এমন একটি দুর্বলতা যেখানে ব্যবহারকারীকে নির্দিষ্ট রিসোর্সের আইডি পরিবর্তন করে অন্যের ডেটা অ্যাক্সেস করা যায়, যদি সার্ভার যথাযথ অনুমোদন যাচাই না করে। এই ধরনের ত্রুটি ওয়েব অ্যাপ্লিকেশনে প্রায়শই দেখা যায় এবং দ্রুত প্যাচ না করলে বড় তথ্য ফাঁসের ঝুঁকি থাকে।
শিশুদের নাম, ঠিকানা ও ছবি মত সংবেদনশীল তথ্যের নিরাপত্তা নিশ্চিত করা শিক্ষাব্যবস্থার প্রতি বিশ্বাস বজায় রাখার মূল শর্ত। রেভেনা হাবের মতো বৃহৎ ভর্তি প্ল্যাটফর্মে নিরাপত্তা লঙ্ঘন হলে অভিভাবক ও শিক্ষার্থীর গোপনীয়তা হুমকির মুখে পড়ে। তাই ত্রুটি সনাক্তের সঙ্গে সঙ্গে দ্রুত প্যাচ এবং নিয়মিত নিরাপত্তা অডিট অপরিহার্য।
এই ঘটনা দেখায় যে ডিজিটাল ভর্তি সিস্টেমের আর্কিটেকচার ও কোডিং মানদণ্ডে নিরাপত্তা চেককে অগ্রাধিকার দিতে হবে। ভবিষ্যতে ব্যবহারকারীর তথ্য রক্ষা করতে স্বয়ংক্রিয় পর্যবেক্ষণ ও তৃতীয় পক্ষের নিরাপত্তা মূল্যায়নকে বাধ্যতামূলক করা প্রয়োজন।
