नेपाली ह्याकरले पत्ता लगाए अलिबाबाको ‘क्वेन’ एआईमा गम्भीर सुरक्षा कमजोरी
माघ २७, २०८१ २१:११
काठमाडौं । नेपाली साइबर सुरक्षा अनुसन्धानकर्ताहरूको एक समूहले चिनियाँ एआई च्याटबट क्वेन एआई (Qwen AI) को एक गम्भीर सुरक्षा कमजोरी पत्ता लगाएको छ । साइबर सुरक्षा कम्पनी सिनिकल टेक्नोलोजी प्रालिका अनुसन्धानकर्ताले क्वेन एआईका गम्भीर सुरक्षा कमजोरी पत्ता लगाएका हुन् ।
कम्पनीले सार्वजनिक गरेको रिपोर्ट अनुसार यस कमजोरीको सहायताले खराब नियत भएका ह्याकरले ईमेल भेरिफिकेसन (Email Verification) बाइपास गरेर अनधिकृत रूपमा अकाउन्टमा एक्सेस पाउन सक्थे ।
अनुसन्धानकर्ताको उक्त समूहका अनुसार ‘OAuth’ भेरिफिकेसन प्रक्रियामा रहेको त्रुटिले प्रयोगकर्ताको ईमेल एड्रेस प्रमाणित नगरी अकाउन्ट खोल्न अनुमति दिन्थ्यो । यसले ह्याकरलाई सजिलै जोकोहीको पनि ईमेल प्रयोग गरेर अकाउन्ट ह्याक गर्नसक्ने जोखिम बढाएको थियो ।
आजको दिनमा क्वेन एआईजस्ता धेरै अनलाइन प्लेटफर्मले गुगल र फेसबुक लगायत थर्ड-पार्टी सेवा प्रयोग गरेर साइनअप वा लगइन गर्ने सुविधा दिन्छन् । ‘OAuth’ प्रोटोकलले प्रयोगकर्तालाई म्यानुअल रूपमा आफ्नो विवरण नराखी सुरक्षित रूपमा लगइन गर्न अनुमति दिन्छ । यसले प्रयोगकर्ताको ईमेल, नाम र प्रोफाइलजस्ता जानकारी सिधै ‘OAuth’ प्रदायकबाट लिन्छ ।
तर, ‘OAuth’ को गलत प्रयोगले गम्भीर सुरक्षा जोखिम निम्त्याउन सक्ने देखिएको छ । क्वेन एआईको भेरिफिकेसन प्रक्रिया विश्लेषण गर्दा सिनिकल टेक्नोलोजीले सर्भर पक्षमा ईमेल स्वामित्व (अनरशिप) भेरिफिकेसन गर्न असफल भएको पत्ता लगाएको छ । यस कमजोरीका कारण ह्याकरहरूले भेरिफिकेसन रिक्वेस्टमा ईमेल प्यारामिटर (Email parameter) परिवर्तन गरेर सजिलै कुनै पनि ईमेल अकाउन्टमा पहुँच प्राप्त गर्नसक्ने जोखिम रहेको प्रतिवेदनमा उल्लेख छ ।
उदाहरणका लागि, क्वेन एआईले गुगल अकाउन्टबाट लगइन गर्न अनुमति दिन्छ । गुगलले प्रयोगकर्ताको पहिचान प्रमाणित गरेपछि क्वेन एआईलाई आवश्यक विवरण (ईमेल, नाम र प्रोफाइल) पठाउँछ । त्यसपछि प्रदान गरिएको ईमेलको आधारमा क्वेन एआईले अकाउन्ट बनाउँछ वा लगइन गर्छ ।
तर, सुरक्षा परीक्षणको क्रममा क्वेन एआईले गुगलबाट प्राप्त ईमेल ठेगानालाई सर्भरमा प्रमाणित नगरी सिधै क्लाइन्ट-साइड (Client-side) अनुरोधमा ट्रस्ट गरेको देखिएको रिपोर्टमा उल्लेख छ । यसको अर्थ ह्याकरहरूले यूआरएल (URL) मा ईमेल परिवर्तन गरेर सजिलै अरूको अकाउन्टमा पहुँच प्राप्त गर्न सक्थे ।
सिनिकल टेक्नोलोजीले यस कमजोरीको बारेमा तत्कालै अलिबाबा (Alibaba) को सुरक्षा टोलीलाई जानकारी गराएको थियो । अलिबाबाको सुरक्षा टोलीले अनुसन्धान गरी उक्त कमजोरीलाई हटाएर प्रमाणीकरण प्रक्रियालाई सुरक्षित बनाएको सिनिकलको ब्लगमा उल्लेख छ ।
यस कमजोरीको प्रभाव
यस कमजोरीले धेरै सुरक्षा खतराहरू निम्त्याउन सक्छ, जसमा निम्न कुरा पर्छन्:
अकाउन्ट ह्याक (Account Takeover): ह्याकरहरूले कुनै पनि रजिस्टर नगरिएको ईमेल प्रयोग गरेर अकाउन्ट ह्याक गर्न सक्थे ।
फिशिङ र सोसल इन्जिनियरिङ अट्याक (Social Engineering Attack): ह्याकरहरूले प्रतिष्ठित व्यक्ति वा संस्थाको ईमेल ठेगाना प्रयोग गरेर फिशिङ आक्रमण गर्न सक्थे ।
पहिचान चोरी र ठगी: ह्याकरहरूले नक्कली प्रोफाइल (Fake profile) बनाएर प्रयोगकर्ताहरूलाई ठग्न सक्थे ।
जीडीपीआर र कम्प्लायन्स रिस्क (Compliance Risks): यस कमजोरीले सुरक्षा र गोपनीयता नियमहरूको उल्लङ्घन गरेको हुनाले क्वेन एआईलाई कानूनी समस्याहरू निम्त्याउन सक्थ्यो ।
सिनिकल टेक्नोलोजीले यस्ता कमजोरीहरू पत्ता लगाएर सम्बन्धित निकायलाई जानकारी गराई साइबर सुरक्षा बलियो बनाउन निरन्तर काम गरिरहेको जनाएको छ ।
पछिल्लो अध्यावधिक: माघ २८, २०८१ ११:७
