২০২৫ সালের এপ্রিলের মাঝামাঝি সময়ে অনলাইন ইমেজবোর্ড ৪চ্যান একটি উল্লেখযোগ্য নিরাপত্তা লঙ্ঘনের সম্মুখীন হয়, যার দায়ভার প্রতিদ্বন্দ্বী ফোরাম Soyjak.party-এর সাথে যুক্ত ব্যক্তিরা স্বীকার করে। আক্রমণকারীরা প্রশাসনিক সুবিধা অর্জন, ব্যক্তিগত ইমেল এবং পাসওয়ার্ড সহ মডারেটরের শংসাপত্র ফাঁস এবং পূর্বে মুছে ফেলা /QA/ আলোচনা বোর্ড অস্থায়ীভাবে পুনঃস্থাপনের জন্য পুরানো সার্ভার সফ্টওয়্যারের গুরুতর দুর্বলতা ব্যবহার করেছে বলে জানা গেছে।
এই ঘটনাটি প্ল্যাটফর্মের পুরাতন প্রযুক্তিগত অবকাঠামোর উপর কঠোর আলোকপাত করে, আক্রমণকারী “Chud” হ্যান্ডেল ব্যবহার করে ১৪ এপ্রিলের দিকে “অপারেশন soyclipse” চালানোর আগে Soyjak.party-তে এক বছরেরও বেশি সময় ধরে অ্যাক্সেস বজায় রাখার দাবি করেছে।
দশক-পুরাতন দুর্বলতাগুলি কাজে লাগানো
একাধিক প্রতিবেদন এবং বিশ্লেষণ থেকে জানা যায় যে আক্রমণকারীরা দশক-পুরাতন সফ্টওয়্যারকে কাজে লাগিয়ে কমপক্ষে দুটি স্বতন্ত্র পদ্ধতি ব্যবহার করেছিল। একটি উল্লেখযোগ্য ভেক্টর, যা প্রাথমিকভাবে Know Your Meme-এর রিপোর্টিং এবং ব্যবহারকারী বিশ্লেষণে বিশদভাবে বর্ণনা করা হয়েছে, তা হল /sci/ এবং /tg/ এর মতো বোর্ডগুলিতে উপলব্ধ PDF আপলোড বৈশিষ্ট্যটি হেরফের করা।
এই অ্যাকাউন্টগুলি অনুসারে, 4chan-এর সিস্টেম আপলোড করা ফাইলের ধরণগুলি সঠিকভাবে যাচাই করতে ব্যর্থ হয়েছে, যার ফলে আক্রমণকারীরা .pdf এক্সটেনশনের ছদ্মবেশে দূষিত পোস্টস্ক্রিপ্ট ফাইল জমা দিতে সক্ষম হয়েছে। পোস্টস্ক্রিপ্ট হল একটি পৃষ্ঠা বর্ণনার ভাষা যা তার প্রোগ্রামিং ক্ষমতার জন্য পরিচিত। এই ফাইলগুলি তখন 2012 সালের একটি Ghostscript ইন্টারপ্রেটার সংস্করণ দ্বারা চিত্র থাম্বনেল তৈরি করার জন্য প্রক্রিয়া করা হয়েছিল বলে অভিযোগ।
Ghostscript হল PostScript এবং PDF ফাইলগুলি পরিচালনা করার জন্য একটি সাধারণ হাতিয়ার। আক্রমণকারীরা স্পষ্টতই এই পুরানো সংস্করণে পরিচিত, গুরুত্বপূর্ণ দুর্বলতাগুলিকে কাজে লাগিয়েছে, সম্ভবত “অনুবাদ সীমানা বিরতি” কৌশল ব্যবহার করে, সার্ভারে সরাসরি কমান্ড কার্যকর করে, শেল অ্যাক্সেস অর্জন করেছে। এই নির্দিষ্ট Ghostscript ত্রুটিগুলি আধুনিক, প্যাচ করা সংস্করণগুলিতে দীর্ঘদিন ধরে সমাধান করা হয়েছে।
দ্বিতীয় রিপোর্ট করা দুর্বলতার পথটি 4chan-এর মূল PHP কোডবেসকে জড়িত করে। পোস্টিং এবং মডারেশনের জন্য দায়ী বিস্তৃত yotsuba.php স্ক্রিপ্ট সহ ফাঁস হওয়া সোর্স কোডের বিশ্লেষণ, অবচিত MySQL ফাংশনগুলির পাশাপাশি পুরানো PHP সংস্করণগুলির ব্যবহারের ইঙ্গিত দেয়।
সমস্যাটিকে আরও জটিল করে তুলেছে, প্রমাণ পাওয়া গেছে যে কমপক্ষে একটি সার্ভার FreeBSD 10.1 চালাচ্ছে, যা মূলত 2014 সালের শেষের দিকে প্রকাশিত একটি অপারেটিং সিস্টেম সংস্করণ যা 2016 সালে নিরাপত্তা সহায়তার জন্য তার অফিসিয়াল জীবনের শেষ পর্যায়ে পৌঁছেছে। প্যাচবিহীন, অসমর্থিত অপারেটিং সিস্টেম এবং দশকের পুরনো উপাদানগুলিতে গুরুত্বপূর্ণ ওয়েব অবকাঠামো চালানো স্পষ্ট এবং উল্লেখযোগ্য নিরাপত্তা ঝুঁকি তৈরি করে, যার ফলে সিস্টেমগুলি সু-নথিভুক্ত শোষণের মুখোমুখি হয়।
সিস্টেমিক সমস্যা এবং আপোস করা ডেটা
অপ্রচলিত প্রযুক্তির উপর এই নির্ভরতা অবহেলিত রক্ষণাবেক্ষণ এবং প্রযুক্তিগত ঋণ জমার একটি ধরণকে প্রতিফলিত করে, যা বর্তমান মালিক হিরোয়ুকি নিশিমুরা 2015 সালে সাইটটি অধিগ্রহণের পরে সম্ভাব্যভাবে আরও খারাপ হতে পারে।
এই সর্বশেষ লঙ্ঘনের তাৎক্ষণিক পরিণতির মধ্যে রয়েছে প্রায় 218 জন স্বেচ্ছাসেবক মডারেটর (“পরিচালক”) এর সংবেদনশীল ডেটা প্রকাশ। ফাঁস হওয়া তথ্যে ইমেল ঠিকানা, পাসওয়ার্ড এবং IRC লগ অন্তর্ভুক্ত রয়েছে বলে জানা গেছে।
ফাঁসের ঘটনায় বেশ কয়েকটি .edu ইমেল ঠিকানার উপস্থিতি নিশ্চিত করা হয়েছে, যদিও প্রাথমিক সোশ্যাল মিডিয়া গুজবে .gov ইমেল উল্লেখ করা হয়েছে তা বিশ্বস্ত সূত্র দ্বারা যাচাই করা হয়নি। সাইবার নিরাপত্তা গবেষক কেভিন বিউমন্ট দ্য রেজিস্টারের পরিস্থিতি মূল্যায়ন করে বলেছেন যে এটি একটি “SQL ডাটাবেস, উৎস এবং শেল অ্যাক্সেস সহ বেশ বিস্তৃত [আপস]”। তীব্রতা নিশ্চিত করে, একজন বেনামী 4chan মডারেটর স্পষ্টতই TechCrunch কে নিশ্চিত করেছেন যে ফাঁস হওয়া মডারেটর ডেটা “সমস্ত বাস্তব” বলে মনে হচ্ছে।
অ্যাট্রিবিউশন এবং দীর্ঘস্থায়ী প্রশ্ন
/qa/ বোর্ডের পুনরুদ্ধার, 2021 সালে নিষিদ্ধ একটি সম্প্রদায় যার ব্যবহারকারীরা মূলত Soyjak.party গঠন করেছিল, আক্রমণের সম্ভাব্য প্রতিশোধমূলক উদ্দেশ্যের দিকে ইঙ্গিত করে। ঘটনাটি পূর্ববর্তী নিরাপত্তা সমস্যাগুলির অনুসরণ করে, যেমন 2014 সালে প্রতিষ্ঠাতা ক্রিস্টোফার পুল দ্বারা নিশ্চিত করা আপস করা মডারেটর শংসাপত্র জড়িত একটি হ্যাক।
বর্তমান লঙ্ঘনের ফলে প্ল্যাটফর্মের পুনরুদ্ধার ক্ষমতা এবং মডারেটর তথ্য এবং অভ্যন্তরীণ ডেটা প্রকাশের ফলে উদ্ভূত সম্ভাব্য দীর্ঘমেয়াদী ঝুঁকি নিয়ে প্রশ্ন উঠেছে, যদিও অভিযুক্ত হ্যাকার জানিয়েছে যে ব্যবহারকারীর ডেটা লক্ষ্যবস্তু ছিল না। প্রকাশের পর, 4chan ধীরে ধীরে আংশিক পরিষেবায় ফিরে আসার আগে দীর্ঘ সময় ধরে ডাউনটাইম অনুভব করে।
সূত্র: Winbuzzer / Digpu NewsTex