হ্যাকাররা এপিক গেমস থেকে ফেসবুক ব্যবহারকারী অ্যাক্সেস টোকেন চুরি করে

হ্যাকাররা এপিক গেমস থেকে ফেসবুক ব্যবহারকারী অ্যাক্সেস টোকেন চুরি করে



হ্যাকাররা এই সপ্তাহে 800,000 ব্যবহারকারীর টোকেন চুরি করেছে এপিক গেমস থেকে। তার বেশিরভাগটি ছিল ফেসবুকের ডেটা।

আপনি যখন এমন কোনও ওয়েবসাইটে যান যা আপনাকে আপনার গুগল বা ফেসবুক শংসাপত্রগুলির সাথে লগইন করতে দেয়, সেই সাইটটি গুগল বা ফেসবুকের সাথে ডেটা বিনিময় করে। এই সামাজিক মিডিয়া সাইটগুলি এক ধরণের টোকেন জারি করে, যা আপনি সেশন টিকিট হিসাবে ভাবতে পারেন। এটিই আপনাকে লগ ইন করতে দেয়।





স্পষ্টতই যে ডেটা এক্সচেঞ্জ পয়েন্ট হ্যাকারদের লুকোচুরি করার জন্য একটি ভাল জায়গা কারণ সেই টোকেনগুলি ব্যবহারকারীর শংসাপত্রগুলি ছদ্মবেশে ব্যবহার করতে পারে। অন্য কথায়, যদি তাদের কাছে সেই সেশন টিকিট থাকে তবে তারা সেই ব্যবহারকারী হওয়ার ভান করতে পারে।

রাস্পবেরি পাই এর চেয়ে ভাল

এটি সাধারণত কোনও উদ্বেগ নয়, উদাহরণস্বরূপ, SSL ওয়েব সেশন টোকেন। কারণ সময়সীমা নির্ধারণ করা হয়েছে। শংসাপত্র শৃঙ্খলা-সংক্রান্ত কর্তৃপক্ষের কারণে এগুলি তৃতীয় পক্ষ ব্যবহার করতে পারে না। এর কারণ হ্যাকার চেইনের শেষে বৈধ ব্যক্তি হিসাবে নকল করতে পারে না।



এটি ফেসবুকের জন্য কী বোঝায়?
আপনি যদি ফেসবুকের এপিআই ডকুমেন্টেশন পড়ে থাকেন তবে দেখতে পাবেন যে বিভিন্ন ধরণের এপিআই টোকেন রয়েছে। এর মধ্যে, ব্যবহারকারী অ্যাক্সেসের ধরণ দুটি বিভাগে পড়ে: দীর্ঘমেয়াদী এবং স্বল্প মেয়াদী। স্বল্প মেয়াদে কয়েক ঘন্টা পরে মেয়াদ শেষ হয়। দীর্ঘমেয়াদী মেয়াদগুলি দীর্ঘ 60 দিনের পরে শেষ হয়। আউচ।

প্রতি টোকেন প্রোগ্রামাররা এপিআইগুলিতে কল করতে ব্যবহার করা একটি সাধারণ প্রক্রিয়া। তাদেরও ডাকা হয় এপিআই কী । এইভাবে প্রোগ্রামারটি লক্ষ্য অ্যাপ্লিকেশনটিতে লগইন অর্থাত্ প্রমাণীকরণ করে।

ফেসবুকের ডকুমেন্টেশন বলছে, 'অ্যাপের পক্ষ থেকে নির্দিষ্ট ব্যক্তির ফেসবুক ডেটা পড়ার, পরিবর্তন করতে বা লেখার জন্য কোনও এপিআইকে কল করার সময় এই ধরণের অ্যাক্সেস টোকেন প্রয়োজন ''

মহাকাব্য গেম হ্যাক

কিভাবে কম্পিউটারে ইউটিউব অডিও সংরক্ষণ করবেন

এটি খুব স্পষ্টতই বলেছে যে কোনও হ্যাকার লোকের ফেসবুক ডেটা আপডেট করতে এই টোকেনগুলি ব্যবহার করতে পারে। এসএসএল টোকেনগুলির বিপরীতে, এগুলিতে একটি নির্দিষ্ট ব্যবহারকারীর সেশনে তাদের বেঁধে দেওয়ার জন্য কোনও শংসাপত্র নেই।

এই টোকেনগুলিকে অবৈধ করতে কী করেছে তা প্রকাশ্যে ফেসবুক জানায়নি। তবে তারা স্পষ্টতই দেখতে পেল যে কোন ফেসবুক ব্যবহারকারীরা এপিক গেমসকে তাদের ফেসবুক ডেটাতে অ্যাক্সেস দিয়েছে এবং তারপরে সেগুলি প্রত্যাহার করে।

কিভাবে তারা এটা করেছে
এপিক গেমস ডাটাবেসের সমস্ত ডেটা ফেলে দেওয়ার জন্য হ্যাকাররা এসকিউএল ইঞ্জেকশন ব্যবহার করেছিল। হ্যাকার এসকিউএল কোড (অর্থাত্ ডাটাবেস নির্দেশাবলী) এমন একটি ডেটা ফিল্ডে প্রবেশ করে যেখানে কেবলমাত্র ডেটা থাকে। ভাল ওয়েব এবং অ্যাপ্লিকেশন সুরক্ষা এটি ব্লক করার কথা। তবে এটি সবসময় কাজ করে না।

অন্য কথায়, নমুনার জন্য, নাম ক্ষেত্রের একটি নাম, প্রবেশের পরিবর্তে হ্যাকার ওরাকলের ওয়েবসাইট থেকে এই ডেটা কীভাবে ডাম্প করতে হয় তা দেখানো এই কোডের মতো কিছু প্রবেশ করে:

কিভাবে কর্টানা পপ আপ বন্ধ করা যায়

'এক্সপিডিপি স্কট / বাঘ @ db10g টেবিলগুলি = ইএমপি, ডিইপিটি ডিরেক্টরি = TEST_DIR ডাম্পফিল = EMP_DEPT.dmp লগফিল = ExpdpEMP_DEPT.log'

একটি প্রোগ্রাম বিভিন্ন কৌশল ব্যবহার করে একটি ডাটাবেস নিয়ে কাজ করে। উদাহরণস্বরূপ, সেখানে ওডিবিসি কৌশল রয়েছে যা কোনও বিক্রেতা-নির্দিষ্ট ডাটাবেস ড্রাইভার ব্যবহার করে। মাইক্রোসফ্ট প্ল্যাটফর্মগুলিতে এটি সাধারণ। প্রোগ্রামারটি একটি ডাটাবেসের সাথে সংযোগ স্থাপন করে (ডিবি) এবং তারপরে ডেবিটিতে পরিবর্তন করতে db.update, db.insert ইত্যাদির মতো ODBC ডাটাবেস কৌশল ব্যবহার করে।

প্রোগ্রামটি যদি db.update (পঠন-হ্যাকার-এসকিউএল-ডেটা-স্ক্রিন) এর মতো কিছু করতে থাকে তবে ওডিবিসি ড্রাইভার সেই এসকিউএল কমান্ডগুলি চালিত করবে যা কমান্ড হিসাবে এবং সরল তথ্য নয়। এটি পুরো ডেটাবেসটি নষ্ট করে দেবে যা হ্যাকাররা তখন তাদের নিজের কাছে ফেরত পাঠাতে পারে। তারা এই ডেটাটি তাদের নিজের কাছে প্রেরণ করতে পারে কারণ এসকিউএল আদেশগুলি হ্যাকারকে একটি কমান্ড লাইন শেল খুলতে দেয়। যাতে তারা তাদের কমান্ড এবং নিয়ন্ত্রণ কেন্দ্রে ফিফটিপি ডেটার মতো জিনিস করতে পারে।

এই ধরণের আক্রমণকে কীভাবে প্রতিরোধ করবেন
ইন্ট্রুশন শনাক্তকরণ হার্ডওয়্যার এবং সফ্টওয়্যারটির নাম নির্দিষ্ট ক্ষেত্রের মতো কোনও হ্যাকার যে জায়গায় যাওয়া উচিত নয় এমন জায়গায় টাইপ করবে এমন বিশেষ অক্ষরের সংমিশ্রণের জন্য নিয়মিত এক্সপ্রেস এবং অন্যান্য ফিল্টার ব্যবহার করার কথা রয়েছে। সুরক্ষার সেই স্তরটি টিসিপি স্তরে উপস্থিত থাকতে হবে। নেটওয়ার্কের একটি এনক্রিপ্ট করা অংশেও এটির দরকার, যার অর্থ এসএসএল নেই no এ জাতীয় ডেটা কেবল তখনই ডিক্রিপ্ট হয় যখন এটি প্রোগ্রাম দ্বারা আসলে পড়ে।

এসএসএলের ক্ষেত্রে, একটি চেক কোডে প্রোগ্রামিং করা যেতে পারে (যা অগোছালো কোড তৈরি করে) বা অ্যাপ্লিকেশন সার্ভার এবং ডাটাবেসগুলির মধ্যে লিঙ্কে রাখা যেতে পারে, যতক্ষণ না এটি খুব বেশি এনক্রিপ্ট করা হয় না। (এটি একটি সাধারণ কনফিগারেশন example উদাহরণস্বরূপ, অ্যামাজন এডাব্লুএস গ্রাহকদের বলেছে যে তাদের প্ল্যাটফর্মের ডাটাবেসের সাথে সংযোগটি এনক্রিপ্ট করা প্রয়োজন নয় কারণ তারা এটির সুরক্ষার নিশ্চয়তা দেয় guarantee)

আকর্ষণীয় নিবন্ধ

কীভাবে অপারেটিং সিস্টেম থেকে অ্যারো র্যানসওয়্যার আনইনস্টল করবেন?

কীভাবে অপারেটিং সিস্টেম থেকে অ্যারো র্যানসওয়্যার আনইনস্টল করবেন?

কীভাবে অ্যারো র্যানসমওয়্যার সরানো যায় - ভাইরাস অপসারণের পদক্ষেপগুলি (আপডেট করা)

কিভাবে আবহাওয়ার পূর্বাভাস ব্রাউজার হাইজ্যাকার আনইনস্টল করবেন

কিভাবে আবহাওয়ার পূর্বাভাস ব্রাউজার হাইজ্যাকার আনইনস্টল করবেন

আবহাওয়ার পূর্বাভাস ব্রাউজার হাইজ্যাকার থেকে কীভাবে মুক্তি পাবেন - ভাইরাস অপসারণ গাইড (আপডেট)

উবুন্টু সংগ্রহস্থল কি? কিভাবে তাদের সক্রিয় বা নিষ্ক্রিয় করবেন?

উবুন্টু সংগ্রহস্থল কি? কিভাবে তাদের সক্রিয় বা নিষ্ক্রিয় করবেন?

এই বিশদ নিবন্ধটি আপনাকে মহাবিশ্ব, উবুন্টুতে মাল্টিভার্স এবং সেগুলি কীভাবে সক্ষম বা নিষ্ক্রিয় করা যায় সে সম্পর্কে বিভিন্ন সংগ্রহস্থল সম্পর্কে বলে।

সুরক্ষিত র্যানসমওয়্যার

সুরক্ষিত র্যানসমওয়্যার

সুরক্ষিত র্যানসমওয়্যার কীভাবে সরাবেন - ভাইরাস অপসারণের পদক্ষেপগুলি (আপডেট করা)

উবুন্টুতে কীরিং ধারণা: এটি কী এবং এটি কীভাবে ব্যবহার করবেন?

উবুন্টুতে কীরিং ধারণা: এটি কী এবং এটি কীভাবে ব্যবহার করবেন?

উবুন্টুতে বারবার 'আপনার লগইন কীরিং আনলক করতে পাসওয়ার্ড লিখুন' পপআপ বার্তাটি দেখছেন? এটি একটি ত্রুটি নয় বরং একটি নিরাপত্তা বৈশিষ্ট্য। উবুন্টুতে আরও কীরিং শিখুন।

ভুয়া 'ওয়ানড্রাইভ' ইমেলের মাধ্যমে আপনার ইমেল অ্যাকাউন্টটি চুরি হওয়া এড়িয়ে চলুন

ভুয়া 'ওয়ানড্রাইভ' ইমেলের মাধ্যমে আপনার ইমেল অ্যাকাউন্টটি চুরি হওয়া এড়িয়ে চলুন

কীভাবে ওয়ানড্রাইভ ইমেল কেলেঙ্কারী অপসারণ করা যায় - ভাইরাস অপসারণ গাইড (আপডেট)

'এটি আপনার কম্পিউটারের পপআপ বিজ্ঞাপন সক্ষম হয়েছে' ত্রুটি

'এটি আপনার কম্পিউটারের পপআপ বিজ্ঞাপন সক্ষম হয়েছে' ত্রুটি

'এটি দেখা যাচ্ছে যে আপনার কম্পিউটারের পপআপ বিজ্ঞাপনগুলি সক্ষম করা আছে' ত্রুটি - কীভাবে সরাবেন?

অনুমতি-স্পেস.কম এবং অনুরূপ ওয়েব পৃষ্ঠাগুলি খুলতে থাকা অ্যাপগুলিকে কীভাবে সরিয়ে ফেলা যায়

অনুমতি-স্পেস.কম এবং অনুরূপ ওয়েব পৃষ্ঠাগুলি খুলতে থাকা অ্যাপগুলিকে কীভাবে সরিয়ে ফেলা যায়

কীভাবে অনুমতি দিন - স্পেস.কম বিজ্ঞাপনগুলি আনইনস্টল করবেন - ভাইরাস অপসারণের নির্দেশাবলী (আপডেট)

পিসিরিপায়ারকিট অযাচিত অ্যাপ্লিকেশন

পিসিরিপায়ারকিট অযাচিত অ্যাপ্লিকেশন

কীভাবে পিসিরিপায়ারকিট অযাচিত অ্যাপ্লিকেশনটি আনইনস্টল করবেন - অপসারণ গাইড (আপডেট)

ডেস্কটপ তাপমাত্রা পর্যবেক্ষণ বিজ্ঞাপন

ডেস্কটপ তাপমাত্রা পর্যবেক্ষণ বিজ্ঞাপন

কীভাবে ডেস্কটপ তাপমাত্রা পর্যবেক্ষণ বিজ্ঞাপনগুলি আনইনস্টল করবেন - ভাইরাস অপসারণ নির্দেশাবলী (আপডেট)


ধরন