একটি স্ল্যাক বাগ 5 বছরের জন্য কিছু ব্যবহারকারীর হ্যাশ করা পাসওয়ার্ড প্রকাশ করেছে৷

অফিস যোগাযোগ প্ল্যাটফর্ম স্ল্যাক ব্যবহার করা সহজ এবং স্বজ্ঞাত হওয়ার জন্য পরিচিত। কিন্তু কোম্পানি শুক্রবার বলেছে যে তার কম-ঘর্ষণ বৈশিষ্ট্যগুলির মধ্যে একটি দুর্বলতা রয়েছে, যা এখন স্থির হয়েছে, যা কিছু ব্যবহারকারীর পাসওয়ার্ডের ক্রিপ্টোগ্রাফিকভাবে স্ক্র্যাম্বল সংস্করণ প্রকাশ করেছে।

যখন ব্যবহারকারীরা একটি লিঙ্ক তৈরি বা প্রত্যাহার করে—একটি “শেয়ারড ইনভাইট লিঙ্ক” নামে পরিচিত—যা অন্যরা একটি প্রদত্ত স্ল্যাক ওয়ার্কস্পেসের জন্য সাইন আপ করতে ব্যবহার করতে পারে, কমান্ডটি অসাবধানতাবশত সেই ওয়ার্কস্পেসের অন্যান্য সদস্যদের কাছে লিঙ্ক নির্মাতার হ্যাশ করা পাসওয়ার্ড প্রেরণ করে। ত্রুটিটি 17 এপ্রিল, 2017 এবং 17 জুলাই, 2022 এর মধ্যে পাঁচ বছরের সময়কালে শেয়ার্ড ইনভাইট লিঙ্ক তৈরি বা স্ক্রাব করেছেন এমন প্রত্যেকের পাসওয়ার্ডকে প্রভাবিত করেছে।

স্ল্যাক, যা এখন সেলসফোর্সের মালিকানাধীন, বলেছেন একজন নিরাপত্তা গবেষক 17 জুলাই, 2022-এ কোম্পানির কাছে বাগটি প্রকাশ করেছিলেন। ভুল পাসওয়ার্ডগুলি স্ল্যাকের কোথাও দৃশ্যমান ছিল না, কোম্পানি নোট করেছে এবং শুধুমাত্র সক্রিয়ভাবে পর্যবেক্ষণকারী কেউ অনুমোদিত হতে পারে স্ল্যাকের সার্ভার থেকে প্রাসঙ্গিক এনক্রিপ্ট করা নেটওয়ার্ক ট্রাফিক। যদিও কোম্পানি বলেছে যে ত্রুটির কারণে কোনো পাসওয়ার্ডের প্রকৃত বিষয়বস্তুতে আপস করা হয়েছে এমন সম্ভাবনা নেই, এটি বৃহস্পতিবার প্রভাবিত ব্যবহারকারীদের জানিয়েছিল এবং তাদের সকলের জন্য বাধ্যতামূলক পাসওয়ার্ড রিসেট করেছে।

স্ল্যাক বলেছেন যে পরিস্থিতি তার ব্যবহারকারীদের প্রায় 0.5 শতাংশ প্রভাবিত করেছে। 2019 সালে সংস্থাটি বলেছিল যে এটির দৈনিক সক্রিয় ব্যবহারকারীর সংখ্যা 10 মিলিয়নেরও বেশি, যার অর্থ প্রায় 50,000 বিজ্ঞপ্তি। এখন পর্যন্ত, কোম্পানির ব্যবহারকারীর সংখ্যা প্রায় দ্বিগুণ হতে পারে। কিছু ব্যবহারকারী যাদের পাসওয়ার্ডগুলি পাঁচ বছর ধরে খোলা ছিল তারা আজও স্ল্যাক ব্যবহারকারী নাও হতে পারে।

“আমরা অবিলম্বে একটি সংশোধন কার্যকর করার জন্য পদক্ষেপ নিয়েছিলাম এবং 17ই জুলাই, 2022 তারিখে বাগটি আবিষ্কৃত হওয়ার দিনেই একটি আপডেট প্রকাশ করেছি,” কোম্পানিটি একটি বিবৃতিতে বলেছে৷ “স্ল্যাক সমস্ত প্রভাবিত গ্রাহকদের জানিয়ে দিয়েছে এবং প্রভাবিত ব্যবহারকারীদের পাসওয়ার্ড পুনরায় সেট করা হয়েছে।”

কোম্পানী পাসওয়ার্ডে কোন হ্যাশিং অ্যালগরিদম ব্যবহার করেছে বা এই ঘটনাটি স্ল্যাকের পাসওয়ার্ড-ম্যানেজমেন্ট আর্কিটেকচারের বিস্তৃত মূল্যায়নের জন্য প্ররোচিত করেছে কিনা সে সম্পর্কে প্রেস টাইম দ্বারা WIRED-এর প্রশ্নের উত্তর দেয়নি।

“এটি দুর্ভাগ্যজনক যে 2022 সালে আমরা এখনও বাগগুলি দেখতে পাচ্ছি যা স্পষ্টতই ব্যর্থ হুমকি মডেলিংয়ের ফলাফল,” জ্যাক উইলিয়ামস বলেছেন, সিকিউরিটি ফার্ম সিথের সাইবার-হুমকি গোয়েন্দা পরিচালক। “যদিও স্ল্যাকের মতো অ্যাপ্লিকেশনগুলি অবশ্যই সুরক্ষা পরীক্ষা করে, এই জাতীয় বাগগুলি যা কেবলমাত্র এজ কেস কার্যকারিতাতে আসে তা এখনও মিস হয়ে যায়। এবং স্পষ্টতই, পাসওয়ার্ডের মতো সংবেদনশীল ডেটার ক্ষেত্রে ঝুঁকি অনেক বেশি।”

পরিস্থিতি নমনীয় এবং ব্যবহারযোগ্য ওয়েব অ্যাপ্লিকেশন ডিজাইন করার চ্যালেঞ্জকে আন্ডারস্কোর করে যা সাইলো এবং পাসওয়ার্ডের মতো উচ্চ-মূল্যের ডেটাতে অ্যাক্সেস সীমিত করে। আপনি যদি স্ল্যাক থেকে একটি বিজ্ঞপ্তি পেয়ে থাকেন তবে আপনার পাসওয়ার্ড পরিবর্তন করুন এবং নিশ্চিত করুন যে আপনার দ্বি-ফ্যাক্টর প্রমাণীকরণ চালু আছে। আপনি আপনার অ্যাকাউন্টের অ্যাক্সেস লগগুলিও দেখতে পারেন।