ম্যাকডোনাল্ডস-এর এআই প্ল্যাটফর্মে দুর্বলতা: ৬.৪ কোটি আবেদনকারীর ডেটা ঝুঁকিতে

McDonald’s-এর AI টুল McHire-এ ‘123456’ পাসওয়ার্ড ব্যবহারের কারণে ৬.৪ কোটি আবেদনকারীর ডেটা ঝুঁকির মুখে পড়েছিল।

ডেটা ফাঁস: McDonald’s-এর মতো একটি বিশ্বব্যাপী ফাস্ট-ফুড চেইনের বিরুদ্ধে প্রশ্ন ওঠে, যখন তাদের AI-ভিত্তিক নিয়োগ প্ল্যাটফর্ম McHire-এ একটি গুরুতর নিরাপত্তা ত্রুটি ধরা পড়ে। এই দুর্বলতা এতটাই গুরুতর ছিল যে প্রায় ৬.৪০ কোটি আবেদনকারীর ডেটা প্রকাশ হতে পারতো। সবচেয়ে আশ্চর্যের বিষয় হল, এই সিস্টেমে একটি অত্যন্ত সাধারণ পাসওয়ার্ড ‘123456’ সেট করা হয়েছিল, যা সাইবার নিরাপত্তার কোনও মানদণ্ডের দিক থেকে গুরুতর গাফিলতি হিসেবে বিবেচিত হয়।

নিরাপত্তা গবেষকদের পর্দাফাঁস

এই নিরাপত্তা ত্রুটিটি সাইবার নিরাপত্তা গবেষক ইয়ান ক্যারল এবং স্যাম কারি প্রকাশ করেন। তাঁরা McHire-এর অ্যাডমিন ইন্টারফেসে ‘Paradox team members’ নামের একটি লগইন অপশন খুঁজে পান। তাঁরা কৌতূহলবশত ডিফল্ট ইউজারনেম এবং পাসওয়ার্ড ‘123456’ ব্যবহার করে চেষ্টা করেন এবং সঙ্গে সঙ্গেই সিস্টেমের পরীক্ষা করার পাশাপাশি আসল অ্যাডমিন ড্যাশবোর্ডে প্রবেশ করতে সক্ষম হন।

আবেদনকারীদের ডেটা এক ক্লিকে হাতের নাগালে

McHire-এ ‘Olivia’ নামে একটি AI চ্যাটবট ব্যবহার করা হয়, যা আবেদনকারীদের ইন্টারভিউ এবং স্ক্রিনিংয়ে সহায়তা করে। কিন্তু এই ত্রুটির কারণে গবেষকরা কয়েক লক্ষ আবেদনকারীর ব্যক্তিগত তথ্য যেমন —

• পুরো নাম
• ইমেল আইডি
• ফোন নম্বর
• চাকরির আবেদনের অবস্থা
• চ্যাট হিস্টরি

এরকম সংবেদনশীল তথ্যে প্রবেশের পথ খুঁজে পান।

API-এর দুর্বলতা বাড়িয়েছে বিপদ

গবেষকরা McHire-এর অভ্যন্তরীণ সিস্টেমে এমন একটি API এন্ডপয়েন্ট খুঁজে পান, যেখানে শুধুমাত্র একটি অনুমানযোগ্য প্যারামিটার প্রবেশ করিয়ে যে কোনও প্রার্থীর তথ্য বের করা সম্ভব ছিল। শুধু তাই নয়, কিছু অ্যাক্সেস টোকেনও সিস্টেমে বিদ্যমান ছিল, যার সাহায্যে যে কেউ নিজেকে একজন আবেদনকারী হিসেবে উপস্থাপন করতে পারতো। এটি একটি অত্যন্ত গুরুতর বিষয় ছিল, কারণ এর ফলে কেবল ডেটা চুরির সম্ভাবনাই ছিল না, বরং ডেটা পরিবর্তন ও জালিয়াতিরও আশঙ্কা ছিল।

McDonald’s এবং Paradox.ai-এর দ্রুত প্রতিক্রিয়া

এই রিপোর্ট ৩০ জুন প্রকাশিত হওয়ার সঙ্গে সঙ্গেই McDonald’s এবং তাদের প্রযুক্তি সহযোগী Paradox.ai দ্রুত পদক্ষেপ নেয় এবং ১ জুলাইয়ের মধ্যে সমস্ত ডিফল্ট লগইন প্রমাণীকরণ নিষ্ক্রিয় করে দেয়। সেই সাথে, সংশ্লিষ্ট API বন্ধ করে নিরাপত্তা নিশ্চিত করার জন্য প্রয়োজনীয় পদক্ষেপ নেওয়া হয়। Paradox স্পষ্ট করে যে এই অ্যাক্সেস শুধুমাত্র গবেষকদের দ্বারাই হয়েছিল এবং কোনো আবেদনকারীর ডেটা জনসাধারণের মধ্যে ফাঁস হয়নি। তবে, এটা অস্বীকার করা যায় না যে গবেষকদের পরিবর্তে যদি কোনো সাইবার অপরাধী এই দুর্বলতা টের পেত, তাহলে এর ব্যাপক অপব্যবহার হতে পারতো।

এত বড় কোম্পানির এত বড় ভুল?

McDonald’s-এর মতো একটি বহুজাতিক সংস্থা থেকে এমন গাফিলতি আশা করা যায় না। এমন একটি প্ল্যাটফর্মে, যেখানে কয়েক লক্ষ মানুষ তাদের ব্যক্তিগত তথ্য শেয়ার করেন, সেখানে এত সাধারণ পাসওয়ার্ড এবং নিরাপত্তার মৌলিক নিয়মগুলির প্রতি অবহেলা গুরুতর উদ্বেগের বিষয়। এই ঘটনাটি কেবল McDonald’s-এর ভাবমূর্তিকে প্রভাবিত করতে পারে না, বরং সাইবার নিরাপত্তা শিল্পের জন্যও একটি সতর্কবার্তা যে সিস্টেম যতই অত্যাধুনিক হোক না কেন, মৌলিক সুরক্ষা ব্যবস্থাগুলি উপেক্ষা করা মারাত্মক হতে পারে।

AI এবং নিরাপত্তা: দ্বৈত দায়িত্বের প্রয়োজন

AI-ভিত্তিক সরঞ্জাম, যেমন McHire-এর ব্যবহার দ্রুত বাড়ছে। এই সিস্টেমগুলি অটোমেশন, দ্রুত স্ক্রিনিং এবং উন্নত প্রার্থী অভিজ্ঞতার জন্য তৈরি করা হয়েছে। কিন্তু যখন এগুলি সঠিকভাবে সুরক্ষিত করা হয় না, তখন এগুলি লক্ষ লক্ষ ব্যবহারকারীর তথ্যকে ঝুঁকিতে ফেলতে পারে। AI-কে শুধু স্মার্ট করলেই হবে না, সুরক্ষিতও করতে হবে। কোম্পানিগুলির উচিত তাদের প্ল্যাটফর্মে প্রতিরক্ষা-in-depth-এর মতো সুরক্ষা কৌশল গ্রহণ করা, মাল্টি-ফ্যাক্টর প্রমাণীকরণ প্রয়োগ করা এবং ডিফল্ট পাসওয়ার্ড বন্ধ করা।