SearchLeak আক্রমণ কিভাবে কাজ করে?

এটি Microsoft 365 Copilot-এর একটি দুর্বলতা কাজে লাগায়। ব্যবহারকারী একটি বিশ্বস্ত ডোমেইনের লিংকে ক্লিক করলেই Copilot স্বয়ংক্রিয়ভাবে ইমেইল ও MFA কোড চুরি করে হ্যাকারের কাছে পাঠিয়ে দেয়।

এই আক্রমণ থেকে বাঁচার উপায় কি?

সন্দেহজনক লিংকে ক্লিক করা থেকে বিরত থাকুন। Microsoft 365 অ্যাকাউন্টে টু-ফ্যাক্টর অথেনটিকেশন চালু রাখুন এবং সর্বশেষ নিরাপত্তা আপডেট ইনস্টল করুন।

বাংলাদেশের ব্যবহারকারীদের জন্য এই হুমকি কতটা গুরুতর?

বাংলাদেশে Microsoft 365-এর ব্যবহার ব্যাপকভাবে বেড়েছে। সরকারি ও বেসরকারি প্রতিষ্ঠানগুলো এই প্ল্যাটফর্ম ব্যবহার করে। তাই এই আক্রমণ বাংলাদেশের জন্যও একটি বড় হুমকি তৈরি করেছে।

হোম/নিউজ/রিসার্চ

রিসার্চ৫ মিনিট পড়া

এক ক্লিকেই চুরি হচ্ছে আপনার ইমেইল ও MFA কোড, সতর্ক থাকুন

Microsoft 365 Copilot-এ পাওয়া গুরুতর দুর্বলতা SearchLeak ব্যবহার করে হ্যাকাররা এক ক্লিকেই ব্যবহারকারীর ইমেইল ও MFA কোড চুরি করতে পারছে। এই আক্রমণে কোন টাইপিং বা অনুমতির প্রয়োজন হয় না।

সম্পাদকীয় টিম

স্টাফ রিপোর্টার · ২ ঘণ্টা আগে · সূত্র: dev.to ML

এক ক্লিকেই চুরি হচ্ছে আপনার ইমেইল ও MFA কোড, সতর্ক থাকুন

কল্পনা করুন আপনি একটি বিশ্বস্ত microsoft.com ডোমেইনের লিংকে ক্লিক করলেন। আপনার সামনে পরিচিত Microsoft 365 ইন্টারফেস লোড হলো। আপনি একটি শব্দও টাইপ করলেন না, কোনো নতুন অ্যাপ অনুমোদন করলেন না। কিন্তু পর্দার আড়ালে আপনার AI সহায়ক আপনার সব ইমেইল স্ক্যান করে ফেলল, আপনার সর্বশেষ MFA কোড সংগ্রহ করল এবং সেগুলো হ্যাকারের কাছে পাঠিয়ে দিল।

এটিই হলো SearchLeak, যা CVE-2026-42824 নামে ট্র্যাক করা হচ্ছে। dev.to ML সূত্রে জানা গেছে, এই আক্রমণ Microsoft 365 Copilot-কে কাজে লাগিয়ে একটি ক্লিকেই ডেটা চুরি করতে সক্ষম। এটি শুধু আরেকটি প্রম্পট ইনজেকশন বাগ নয়। এটি দেখায় কিভাবে পুরনো ওয়েব দুর্বলতা এবং AI সহায়কের ক্ষমতা একত্রিত হয়ে ডেটা চুরির একটি শক্তিশালী অস্ত্র তৈরি করতে পারে।

SearchLeak আক্রমণের মূল শক্তি হলো এর সরলতা। আক্রমণকারী একটি বিশ্বস্ত ডোমেইনের লিংক তৈরি করে। ব্যবহারকারী সেই লিংকে ক্লিক করলেই Microsoft 365 Copilot স্বয়ংক্রিয়ভাবে সক্রিয় হয়। Copilot ব্যবহারকারীর ইমেইল, ক্যালেন্ডার এবং অন্যান্য ডেটা অ্যাক্সেস করতে পারে। হ্যাকাররা এই সুযোগ নিয়ে Copilot-কে নির্দেশ দেয় যেন এটি ব্যবহারকারীর ইনবক্স থেকে MFA কোড এবং সংবেদনশীল ইমেইল সংগ্রহ করে বাইরের সার্ভারে পাঠিয়ে দেয়।

এই দুর্বলতা পুরনো ওয়েব দুর্বলতা এবং AI সহায়কের ক্ষমতার একটি ভয়ঙ্কর সংমিশ্রণ। সাধারণত ওয়েব দুর্বলতা ব্যবহার করে ডেটা চুরি করতে হলে ব্যবহারকারীকে কিছু টাইপ করতে বা কোনো অ্যাপ অনুমোদন করতে হতো। কিন্তু SearchLeak-এ ব্যবহারকারীর কোনো ইন্টারঅ্যাকশনের প্রয়োজন হয় না। শুধু একটি ক্লিকই যথেষ্ট। এটি সাইবার নিরাপত্তার জগতে একটি নতুন মাত্রা যোগ করেছে।

বাংলাদেশের প্রেক্ষাপটে এই খবরটি বিশেষভাবে গুরুত্বপূর্ণ। বাংলাদেশে Microsoft 365-এর ব্যবহার দিন দিন বাড়ছে। সরকারি অফিস, ব্যাংক, শিক্ষাপ্রতিষ্ঠান এবং ফ্রিল্যান্সাররা এই প্ল্যাটফর্মের ওপর নির্ভরশীল। যদি কোনো হ্যাকার এই দুর্বলতা কাজে লাগিয়ে কোনো প্রতিষ্ঠানের ইমেইল অ্যাক্সেস করতে পারে, তাহলে তার পরিণতি ভয়াবহ হতে পারে। MFA কোড চুরি হওয়ার অর্থ হলো হ্যাকার সহজেই অ্যাকাউন্টের নিয়ন্ত্রণ নিতে পারবে।

এই মুহূর্তে সবচেয়ে গুরুত্বপূর্ণ কাজ হলো সতর্ক থাকা। অজানা বা সন্দেহজনক লিংকে ক্লিক করা থেকে বিরত থাকুন। Microsoft 365 অ্যাকাউন্টে অতিরিক্ত নিরাপত্তা ব্যবস্থা চালু করুন। প্রযুক্তি প্রতিষ্ঠানগুলোর উচিত দ্রুত এই দুর্বলতার সমাধান খুঁজে বের করা এবং ব্যবহারকারীদের আপডেট দেওয়া।

ভবিষ্যতে AI সহায়কদের নিরাপত্তা আরও জোরদার করতে হবে। SearchLeak আমাদের শেখায় যে AI-এর সুবিধা যত বাড়ে, তার নিরাপত্তা ঝুঁকিও তত বাড়ে। প্রযুক্তি ব্যবহারকারী এবং ডেভেলপার উভয়কেই এই নতুন হুমকি সম্পর্কে সচেতন হতে হবে।

এক ক্লিকেই চুরি হচ্ছে আপনার ইমেইল ও MFA কোড, সতর্ক থাকুন

আরও পড়ুন

AI নিউজ সরাসরি ইমেইলে পান

মন্তব্য০