আইভ্যান্টি গ্রুপের একটি সাবসিডিয়ারি, পাল্স সিকিউর, ২০২১ সালের ফেব্রুয়ারিতে চীনা হ্যাকারদের দ্বারা পরিচালিত একটি গোপন ব্যাকডোরের শিকার হয়। এই ব্যাকডোরের মাধ্যমে হ্যাকাররা একই ভিপিএন পণ্য ব্যবহারকারী শতাধিক সংস্থার নেটওয়ার্কে অননুমোদিত প্রবেশাধিকার পায়।
আইভ্যান্টি ফেব্রুয়ারি ২০২১-এ এই অনুপ্রবেশের সূচনা সনাক্ত করে এবং জানায় যে পাল্স সিকিউরের ভিপিএন সফটওয়্যারে গোপন প্রবেশদ্বার স্থাপন করা হয়েছিল। এই প্রবেশদ্বার হ্যাকারদেরকে একই পণ্য ব্যবহারকারী ১১৯টি অজানা সংস্থার সিস্টেমে প্রবেশের সুযোগ দেয়।
সাইবারসিকিউরিটি ফার্ম মানডিয়ান্টও এই লঙ্ঘন সম্পর্কে জানত এবং আইভ্যান্টিকে সতর্ক করে যে হ্যাকাররা ইউরোপীয় ও যুক্তরাষ্ট্রের সামরিক কন্ট্রাক্টরদের নেটওয়ার্কে প্রবেশের জন্য এই দুর্বলতাকে ব্যবহার করেছে। মানডিয়ান্টের সতর্কতা সত্ত্বেও আইভ্যান্টি ও মানডিয়ান্টের কাছ থেকে কোনো মন্তব্য পাওয়া যায়নি।
আইভ্যান্টি ২০১৭ সালে ক্লিয়ারলেক ক্যাপিটাল গ্রুপের অধিগ্রহণের পর থেকে ধারাবাহিকভাবে কর্মী ছাঁটাই এবং ব্যয় কমানোর নীতি অনুসরণ করে। বিশেষ করে ২০২২ সালে ব্যাপক কাটা-মারা হয়, যার ফলে পণ্য ও নিরাপত্তা সংক্রান্ত গভীর জ্ঞানসম্পন্ন কর্মীরা চলে যায়। এই মানবসম্পদ হ্রাসের ফলে কোম্পানির গুরুত্বপূর্ণ প্রযুক্তির নিরাপত্তা দুর্বল হয়ে পড়ে।
ইতিহাসে অনুরূপ ঘটনা দেখা যায় সিট্রিক্সের ক্ষেত্রেও। ২০২২ সালে ইলিয়ট ইনভেস্টমেন্ট ম্যানেজমেন্ট ও ভিস্তা ইকুইটি পার্টনার্সের অধিগ্রহণের পর সিট্রিক্সে বড় পরিসরের ছাঁটাই হয় এবং একই সময়ে রিমোট অ্যাক্সেস টুলের নিরাপত্তা সমস্যায় কোম্পানি বহুবার জর্জরিত হয়।
আইভ্যান্টির ভিপিএন পণ্য পূর্বে দু’টি বড় সাইবার আক্রমণের কারণ হিসেবে চিহ্নিত হয়েছে। প্রথমটি ২০২১ সালের মাঝামাঝি সময়ে ঘটেছিল, যেখানে হ্যাকাররা ব্যাকডোর ব্যবহার করে বহু সরকারি ও বেসরকারি সংস্থার ডেটা চুরি করে। দ্বিতীয়টি ২০২৪ সালের শুরুর দিকে প্রকাশ পায়, যখন যুক্তরাষ্ট্রের সাইবারসিকিউরিটি ও ইনফরমেশন সিকিউরিটি এজেন্সি (CISA) ফেডারেল এজেন্সিগুলোকে দুই দিনের মধ্যে আইভ্যান্টি ভিপিএন সরঞ্জাম বিচ্ছিন্ন করার নির্দেশ দেয়।
CISA-এর এই জরুরি নির্দেশনা আসে হ্যাকারদের সক্রিয়ভাবে অজানা দুর্বলতাকে কাজে লাগিয়ে ফেডারেল নেটওয়ার্কে অনুপ্রবেশের প্রচেষ্টা বাড়ার পরিপ্রেক্ষিতে। নির্দেশনা অনুসরণে বেশ কয়েকটি সরকারি সংস্থা তাদের আইভ্যান্টি ভিপিএন সিস্টেম বন্ধ করে এবং বিকল্প নিরাপত্তা সমাধান গ্রহণ করে।
আইভ্যান্টি গত বছরও গ্রাহকদের জানায় যে তাদের কনেক্ট পণ্যে আরেকটি গুরুতর নিরাপত্তা ত্রুটি রয়েছে, যা হ্যাকারদের দ্বারা শোষণ করা সম্ভব। তবে এই ত্রুটি সম্পর্কে বিস্তারিত প্রকাশ না করে কোম্পানি গ্রাহকদের আপডেটেড প্যাচ প্রয়োগের আহ্বান জানায়।
এই ধারাবাহিক নিরাপত্তা লঙ্ঘন এবং ব্যাকডোরের প্রকাশ প্রযুক্তি শিল্পে গোপনীয়তা ও নিরাপত্তা রক্ষার গুরুত্ব পুনরায় তুলে ধরে। বিশেষ করে প্রাইভেট ইকুইটি ফার্মের অধিগ্রহণে মানবসম্পদ হ্রাস এবং প্রযুক্তিগত জ্ঞানের ক্ষতি কীভাবে পণ্য নিরাপত্তাকে প্রভাবিত করে, তা এই ঘটনাগুলো স্পষ্টভাবে দেখায়। ভবিষ্যতে সংস্থাগুলোকে নিরাপত্তা-প্রথম নীতি গ্রহণ এবং গুরুত্বপূর্ণ সিস্টেমের রক্ষণাবেক্ষণে যথাযথ মানবসম্পদ বজায় রাখতে হবে।
