ইউরোপীয় অনলাইন DIY জায়ান্ট ManoMano আনুমানিক 38 মিলিয়ন গ্রাহককে অবহিত করছে যে হুমকি অভিনেতারা তৃতীয় পক্ষের গ্রাহক পরিষেবা প্রদানকারীর সাথে আপস করেছে, ব্যবহারকারীর অ্যাকাউন্ট এবং সমর্থন মিথস্ক্রিয়াগুলির সাথে আবদ্ধ ব্যক্তিগত ডেটা প্রকাশ করে।
2026 সালের জানুয়ারীতে আবিষ্কৃত ঘটনাটি সরবরাহ চেইন এবং বিক্রেতা-ভিত্তিক লঙ্ঘনের দ্বারা সৃষ্ট ক্রমাগত ঝুঁকির উপর জোর দেয়।
“আমরা নিশ্চিত করতে পারি যে মনোমানো সম্প্রতি আমাদের তৃতীয় পক্ষের গ্রাহক পরিষেবা প্রদানকারী (একটি উপ-কন্ট্রাক্টর) জড়িত একটি নিরাপত্তা ঘটনা সম্পর্কে গ্রাহকদের অবহিত করেছে,” কোম্পানি ব্লিপিং কম্পিউটারকে বলেছে।
নির্বিচারে লঙ্ঘনের মধ্যে
ManoMano ফ্রান্স, বেলজিয়াম, স্পেন, ইতালি, জার্মানি এবং ইউনাইটেড কিংডমে DIY, বাগান এবং বাড়ির উন্নতি পণ্যগুলির জন্য ইউরোপের বৃহত্তম অনলাইন মার্কেটপ্লেসগুলির মধ্যে একটি৷
প্ল্যাটফর্মটি প্রায় 50 মিলিয়ন অনন্য মাসিক দর্শকদের আকর্ষণ করে এবং আনুমানিক 38 মিলিয়ন ব্যক্তি প্রভাবিত হয়, এই লঙ্ঘনটি সাম্প্রতিক মাসগুলিতে ইউরোপে সবচেয়ে গুরুত্বপূর্ণ খুচরা-ক্ষেত্রের ডেটা এক্সপোজারগুলির মধ্যে একটি।
BleepingComputer এর মতে, প্ল্যাটফর্মের সাথে গ্রাহকের মিথস্ক্রিয়ার উপর নির্ভর করে আপস করা ডেটার সুযোগ পরিবর্তিত হয়। উন্মুক্ত তথ্যের মধ্যে পুরো নাম, ইমেল ঠিকানা, ফোন নম্বর এবং গ্রাহক পরিষেবা যোগাযোগ অন্তর্ভুক্ত থাকতে পারে।
ManoMano জোর দিয়েছিলেন যে কোনও অ্যাকাউন্টের পাসওয়ার্ড অ্যাক্সেস করা হয়নি এবং এর অভ্যন্তরীণ সিস্টেমের মধ্যে ডেটা পরিবর্তন করা হয়েছে এমন কোনও প্রমাণ নেই।
কিভাবে তৃতীয় পক্ষের চুক্তি উত্থান?
প্রকাশের কিছুক্ষণ আগে, একজন হুমকি অভিনেতা ওরফে ইন্দ্র ব্যবহার করে হ্যাকার ফোরামে লঙ্ঘনের দায় স্বীকার করে, প্রায় 37.8 মিলিয়ন ব্যবহারকারীর রেকর্ডের পাশাপাশি হাজার হাজার গ্রাহক সমর্থন টিকিট এবং সংযুক্তিগুলির দখলের অভিযোগ করে।
যদিও এই দাবিগুলি স্বাধীনভাবে যাচাই করা হয়নি, পরিসংখ্যানগুলি কোম্পানির পাবলিক বিজ্ঞপ্তির সাথে ঘনিষ্ঠভাবে মেলে।
অসমর্থিত প্রতিবেদনগুলি ইঙ্গিত করে যে আপোস করা সংস্থাটি তিউনিস-ভিত্তিক গ্রাহক সহায়তা পরিষেবা প্রদানকারী একটি উপ-কন্ট্রাক্টর হতে পারে এবং অনুপ্রবেশের সাথে জেনডেস্ক পরিবেশ জড়িত থাকতে পারে।
কেন গ্রাহক সহায়তা ডেটা ঝুঁকির মধ্যে রয়েছে?
এমনকি পাসওয়ার্ড ছাড়া, গ্রাহক পরিষেবা রেকর্ড অত্যন্ত শোষণযোগ্য হতে পারে। সাপোর্ট টিকিটে প্রায়ই প্রাসঙ্গিক বিবরণ থাকে যেমন:
- অর্ডার নং
- বিলের জন্য জিজ্ঞাসা করুন।
- ঠিকানা পাঠান।
- অ্যাকাউন্ট যাচাইকরণ।
- ট্রাবলশুটিং এক্সচেঞ্জ।
এই তথ্য দিয়ে সজ্জিত, আক্রমণকারীরা অত্যন্ত বিশ্বাসযোগ্য ফিশিং ইমেল বা ছদ্মবেশী প্রচেষ্টা তৈরি করতে পারে যা বৈধ লেনদেন বা পূর্ববর্তী যোগাযোগের উল্লেখ করে। প্রাসঙ্গিক নির্ভুলতা ব্যবহারকারীর সন্দেহ হ্রাস করে এবং সফল সামাজিক প্রকৌশলের সম্ভাবনা বাড়ায়, যা সম্ভাব্য শংসাপত্র সংগ্রহ, আর্থিক জালিয়াতি, বা অতিরিক্ত আপস হতে পারে।
ঘটনার প্রতিক্রিয়ায়, মনোমানো বলেছেন যে এটি গ্রাহকের ডেটাতে সাব-কন্ট্রাক্টরের অ্যাক্সেস প্রত্যাহার করেছে, অ্যাক্সেস নিয়ন্ত্রণ এবং পর্যবেক্ষণ প্রক্রিয়া শক্তিশালী করেছে এবং CNIL এবং ANSSI সহ ফরাসি নিয়ন্ত্রকদের অবহিত করেছে।
সংস্থাটি বলেছে যে তার তদন্ত চলছে এবং ঘটনার অতিরিক্ত প্রযুক্তিগত বিবরণ এখনও প্রকাশ করা হয়নি।
তৃতীয় পক্ষের নিরাপত্তা ঝুঁকি ব্যবস্থাপনা
যেহেতু সংস্থাগুলি SaaS প্ল্যাটফর্ম এবং তৃতীয় পক্ষের পরিষেবা প্রদানকারীদের উপর তাদের নির্ভরতা বাড়ায়, বিক্রেতা ঝুঁকি ব্যবস্থাপনাকে শুধুমাত্র একটি সম্মতির প্রয়োজনীয়তা হিসাবে পরিচালনা করার পরিবর্তে বিস্তৃত নিরাপত্তা ক্রিয়াকলাপের সাথে একত্রিত করতে হবে।
ঝুঁকি কমানোর জন্য প্রযুক্তিগত নিরাপত্তা ব্যবস্থা, সুস্পষ্ট শাসন কাঠামো এবং সু-সংজ্ঞায়িত প্রতিক্রিয়া প্রক্রিয়ার সমন্বয় প্রয়োজন।
- তৃতীয় পক্ষের জন্য সর্বনিম্ন-সুবিধা এবং সময়মত অ্যাক্সেস প্রয়োগ করুনমাল্টি-ফ্যাক্টর প্রমাণীকরণ প্রয়োজন, ডিভাইসের স্থিতি যাচাই করুন এবং কেন্দ্রীভূত অ্যাক্সেস নিয়ন্ত্রণের মাধ্যমে বিশেষ সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলি পরিচালনা করুন।
- ক্রমাগত SaaS পরিবেশ নিরীক্ষণ করুন API কার্যকলাপ লগ ইন করে, টোকেন এবং OAuth অনুদান পর্যালোচনা করে, SaaS সিকিউরিটি স্টেট ম্যানেজমেন্ট (SSPM) সরঞ্জামগুলি স্থাপন করে এবং অস্বাভাবিক অ্যাক্সেস বা বাল্ক ডেটা এক্সপোর্টের বিষয়ে সতর্ক করে৷
- বিক্রেতা-অ্যাক্সেসযোগ্য ডেটা ছোট করুন এবং খণ্ডিত করুন ভাগ করা ডেটাসেটের সংখ্যা সীমিত করে, টোকেনাইজেশন বা ছদ্মনামাইজেশন প্রয়োগ করে এবং উপযুক্ত ক্ষেত্রে ফিল্ড-লেভেল এনক্রিপশন প্রয়োগ করে।
- চুক্তিভিত্তিক এবং শাসন নিয়ন্ত্রণকে শক্তিশালী করা সময়মত লঙ্ঘনের বিজ্ঞপ্তি, এসওসি 2 টাইপ II এর মতো নিরাপত্তা যাচাইকরণ, রাইট-টু-অডিট ক্লজ বজায় রাখা এবং বিক্রেতা সাইবার বীমা কভারেজ যাচাই করা প্রয়োজন।
- ডেটা লস প্রতিরোধ (DLP) প্রয়োগ করুনক্লাউড অ্যাক্সেস সিকিউরিটি ব্রোকার (CASB), এবং অননুমোদিত বৃহৎ-স্কেল ডেটা নিষ্কাশন সনাক্ত এবং সীমাবদ্ধ করতে প্রস্থান পর্যবেক্ষণ নিয়ন্ত্রণ।
- ডাউনস্ট্রিম ফিশিং এবং জালিয়াতির ঝুঁকির জন্য প্রস্তুত থাকুন DMARC, DKIM, এবং SPF বাস্তবায়ন করে, ব্র্যান্ডের ছদ্মবেশ নিরীক্ষণ করা এবং জালিয়াতি সনাক্তকরণ থ্রেশহোল্ড বাড়ানো।
- নিয়মিতভাবে ঘটনার প্রতিক্রিয়া পরিকল্পনা পরীক্ষা করুন এবং তৃতীয় পক্ষের আপস পরিস্থিতির চারপাশে প্লেবুক তৈরি করুন।
ManoMano ঘটনাটি হাইলাইট করে যে কীভাবে তৃতীয় পক্ষের প্রদানকারীরা অর্থপূর্ণ ঝুঁকির প্রকাশ ঘটাতে পারে, এমনকি যখন একটি প্রতিষ্ঠানের প্রাথমিক সিস্টেমগুলি সরাসরি আপস করা হয় না।
যেহেতু কোম্পানিগুলি আন্তঃসংযুক্ত SaaS প্ল্যাটফর্ম এবং পরিষেবা অংশীদারদের উপর বেশি নির্ভর করে, বিক্রেতারা তাদের পরিচালনা করা কেন্দ্রীভূত গ্রাহক ডেটার পরিমাণের কারণে ক্রমবর্ধমান আকর্ষণীয় লক্ষ্য হয়ে উঠছে।
সম্পাদকের নোট: এই নিবন্ধটি মূলত আমাদের বোন ওয়েবসাইটে প্রকাশিত হয়েছিল, eSecurityPlanet.
