ভারতীয় একটি নামকরা বেসরকারি ব্যাংকের security flaws

in আমার বাংলা ব্লগ17 days ago (edited)

কপিরাইট ফ্রী ইমেজ : pixabay


গতবছর পুজোর আগে সেপ্টেম্বরের শেষের দিকে হঠাৎ করেই আমার বৌদির একাউন্টে ইমার্জেন্সি কিছু ফান্ড ট্রান্সফারের প্রয়োজন পড়ে । বেশ বড়ো এমাউন্ট এর । এবং খুবই জরুরি ছিলো সেটা । তো, আমি সঙ্গে সঙ্গে ল্যাপটপ অন করে আমার নেট ব্যাংকিংয়ে লগঅন করলাম ।

ফান্ড ট্রান্সফার ইনিশিয়েট করার পরে প্রথম স্টেপে বেনিফিয়ারী ব্যাঙ্ক ডিটেলস আর এমাউন্ট দেওয়ার পরে সেকেন্ড স্টেপ এলো । এখানে, আমার নেট ব্যাঙ্কিং -এ এক্সট্রা সিকিউরিটি ফিচার হিসেবে আমার ডেবিট কার্ডের পেছন কিছু random ডিজিট থেকে যেটা চাইতো সেটা এন্ট্রি করতে হতো । সঠিক হলে লাস্ট স্টেপ এ যাওয়া যেত । লাস্ট স্টেপে ব্যাঙ্ক থেকে একটা ওয়ান টাইম পাসওয়ার্ড বা OTP আসতো মোবাইলে, ওটা সাবমিট করলেই ফান্ড ট্রান্সফার সাকসেসফুল হয়ে যেত ।

তো, যাই হোক সেকেন্ড স্টেপে এসেই ফেঁসে গেলাম । ল্যাপটপ এর স্ক্রিনে ফুটে উঠলো "You have no debit card linked into this account." আমি আশ্চর্য হয়ে গেলুম । এটা কি ভাবে সম্ভব ? আমার ডেবিট কার্ড আছে, এবং ফুললি এক্টিভ । আর যেহেতু সিস্টেমে শো করছে যে আমার একাউন্টে কোনো ধরণের ডেবিট কার্ড নেই সেহেতু আমি এই স্টেপটা পারফর্ম করতে পারবো না । কারণ , এই স্টেপেই কার্ডের পেছনের গোপন ডিজিট গুলোর মধ্যে থেকে randomly একটা ডিজিট যেটা চাইবে সেটা এখানে ইনপুট করলে তবেই লাস্ট স্টেপে যেতে পারবো ।

প্রথমে, ভাবলাম হয়তো কার্ড সার্ভার আন্ডার maintinance । তাই, এমনটা শো করছে । তাই, wait করে থাকলাম । বেশ কিছুক্ষন পরে আবার যখন লগঅন করলাম তখন সেম প্রব্লেম ফেস করলাম । বিরক্তির এক শেষ । এবার পুরো তিন ঘন্টা ওয়েট করলাম । দেন আবার ট্রাই করলাম । সেম প্রব্লেম ফেস করলাম । এবার আমি চরম বিরক্ত হয়ে ব্যাংকে ফোন দিলাম । সরাসরি আমার রিলেশনশিপ ম্যানেজারের সাথে কথা বললাম । তখন, সন্ধ্যা হয়ে গিয়েছে অলরেডি ।

তো, আমার RM ফোনে যা বললেন শুনে মাথা ঘুরে গেলো । হাদারাবাদে নাকি ভয়াবহ বন্যা হয়েছে । হঠাৎ, হওয়া এই বন্যায় তাদের ব্যাংকের কার্ড সার্ভার এখন আউটেজ । কবে রিস্টোর হবে সে তথ্য তাঁর জানা নেই । একজন সিঙ্গেল কাস্টমারও তাঁদের নেট ব্যাঙ্কিং ইউজ করে এখন ফান্ড ট্রান্সফার করতে পারছেন না । সকল ডেবিট এবং ক্রেডিট কার্ড এখন অফলাইনে । এখন কি হবে ? আজকে রাত আটটার মধ্যেই তো ফান্ড ট্রান্সফার করতে হবে ।

যাই হোক আর বৃথা বাক্য ব্যয় না করে ল্যাপটপ নিয়ে বসে গেলাম নেট ব্যাঙ্কিং এর সিকিউরিটির ফাঁকফোকর খুঁজতে । এবং, মাত্র ২০ মিনিটের মধ্যেই একটা মারাত্মক জাভাস্ক্রিপ্ট security flaw খুঁজে পেলাম । খুব দ্রুত, আমি client side server javascript এর একটি বিশেষ কোড রিপ্লেস করে সার্ভার সাইড কোড একসেস পেয়ে গেলাম । কোড ইঞ্জেক্ট করতে পারলাম নেট ব্যাংকিংয়ের দ্বিতীয় স্টেপ যাতে বাইপাস করতে সক্ষম হই । এবং, কি আশ্চর্য সক্ষম হলুম !

দ্বিতীয় স্টেপ বাইপাস করা মাত্রই OTP চলে আসলো আমার মোবাইলে । OTP দিলাম আর সঙ্গে সঙ্গে ফান্ড ট্রান্সফার সাকসেসফুল হলো । মাত্র কিছুক্ষণ পরেই কল এলো ব্যাংকের ম্যানেজার এর কাছ থেকে । আমার কাছে জানতে চাইলেন কোনো থার্ড পার্টি আমার একাউন্টে হয়তো একসেস করে ফান্ড ট্রান্সফার করেছে । কারণ, বর্তমানে ফান্ড ট্রান্সফার অফ আছে । আমি ওই ট্রানসাকশানটা ডিসপিউট করবো কি না জানতে চাইলেন ।

তখন, আমি তাঁদেরকে আশ্বস্ত করলাম এই বলে যে আমি নিজেই ফান্ড ট্রান্সফার করেছি একটি স্টেপ বাইপাস করে । নিরুপায় হয়েই । কারণ, ফান্ড ট্রান্সফারটা খুবই জরুরি ছিল । শুনে উনি অনেক্ষন অবাক হয়ে জাস্ট কথাই বলতে পারলেন না । কী ভাবে এটা সম্ভব ?

পরের দিন আমি ব্রাঞ্চে গিয়ে সব কিছু দেখিয়ে দেই যে তাঁদের সিকিউরিটিতে একটা মস্ত বড়ো ভুল থেকে গিয়েছে । পরে উনি ওটা রিপোর্ট করেন তাঁদের সিকিউরিটি & ডেভেলপমেন্ট টিমের কাছে। এখনো জানি না যে ওটা ফিক্স হয়েছে কি না । কারণ, আমি আর কোনোদিন পরে ওভাবে ট্রাই করিনি ।


✡ ধন্যবাদ ✡


পরিশিষ্ট


প্রতিদিন ৩২৫ ট্রন করে জমানো এক সপ্তাহ ধরে - ২য় দিন (325 TRX daily for 7 consecutive days :: DAY 02)


trx logo.png



সময়সীমা : ১৮ সেপ্টেম্বর ২০২২ থেকে ২৪ সেপ্টেম্বর ২০২২ পর্যন্ত


তারিখ : ১৯ সেপ্টেম্বর ২০২২


টাস্ক ৬৫ : ৩২৫ ট্রন ডিপোজিট করা আমার একটি পার্সোনাল TRON HD WALLET এ যার নাম Tintin_tron


আমার ট্রন ওয়ালেট : TTXKunVJb12nkBRwPBq2PZ9787ikEQDQTx

৩০০ TRX ডিপোজিট হওয়ার ট্রানসাকশান আইডি :

TX ID : c2181abcb7a69d5bdfc0560847b51cb827b8129260f4ea1f79b8b952c5bf566f

টাস্ক ৬৫ কমপ্লিটেড সাকসেসফুলি


এই পোস্টটি যদি ভালো লেগে থাকে তো যে কোনো এমাউন্ট এর টিপস আনন্দের সহিত গ্রহণীয়

Account QR Code

TTXKunVJb12nkBRwPBq2PZ9787ikEQDQTx (1).png

Sort:  

Hello friend!
I'm @steem.history, who is steem witness.
Thank you for witnessvoting for me.
image.png
please click it!
image.png
(Go to https://steemit.com/~witnesses and type fbslo at the bottom of the page)

 17 days ago 

বেশ কিছুক্ষন পরে আবার যখন লগঅন করলাম তখন সেম প্রব্লেম ফেস করলাম ।

আমি তো প্রথমে ভেবেছিলাম সার্ভারের সমস্যার জন্য হয়তো এমনটা হয়েছে। এরপর যেহেতু দ্বিতীয় বার সেম প্রবলেম দেখা দিয়েছে এর মানে অন্য কিছু ঘটেছে। অনেক সিকিউরিটির মাঝেও আজকাল অনেক বিপদ ঘটে যেতে পারে। হয়তো আপনিও সেই বিপদের সম্মুখীন হয়েছিলেন।

Hi @rme,
my name is @ilnegro and I voted your post using steem-fanbase.com.

Come and visit Italy Community

 16 days ago 

খুবই চিন্তার ব্যাপার! ভারতের জাতীয় ব্যাংকে এতো বড়ো ফ্ল, ভাবাই যায় না। হ্যাকার রা খুবই সহজে ফান্ড তছরুপ করে দিতে পারতো। ভাগ্যিস তুমি বিষয়টা আগে ভাগে তাদের নজরে এনে দিলে।

 17 days ago 

যদিও ব্যাপারটা খুবই সিরিয়াস তবে আমি বেশ মজা পেয়েছি, ব্যাংকের ম্যানেজার সত্যিই নিরুপায় হয়ে গেছে আপনার কথা শুনে। সে ভাবতেই পারেনি এরকম কোন একটা কিছু হতে পারে, যাইহোক বিপদের সময় আপনার এই পদ্ধতিটা কাজে লেগেছে, তা না হলে হয়তো অন্য কোনো ব্যবস্থা করতে হতো।

 17 days ago 

দাদা, আপনার জায়গায় আমরা হলে হয়তো অপেক্ষা করা ছাড়া অন্য কোন কাজ করতাম না। কিন্তু আপনি একটা সিকিউরিটির অনেকটা ফাঁকফোকর বের করে ফান্ড ট্রান্সফার টা সম্পন্ন করেছেন তা সত্যিই অবিশ্বাস্য।

 17 days ago 

আসলে আপনি যা করেছেন সেটা আপনার যোগ্যতা আর বুদ্ধিতেই করেছেন । তবে যেহেতু ফান্ড জরুরী ছিল সেই ক্ষেত্রে আমি মনেকরি ঠিক আছে । তবে বেশি ভালো লেগেছে তারা আবার আপনাকে কল করেছে এই বিষয়টির জন্য। সেখানে বেশ পেশাদারিত্ব ছিল । তবে ইন্টারেস্টিং ছিল আপনি আবার তাদের ভুল দেখিয়ে দিয়েছেন এইটা বেশ মজার ছিল ভাই ।

 17 days ago 

আজকাল অনেক সিকিউরিটি তার মধ্যেও অনেক ভুল হয়ে যায়। আপনি যেটা করেছেন দাদা সেটা সত্যিই প্রশংসনীয়। আপনার জায়গায় অন্য কেউ কিংবা আমি হলে হয়তো অপেক্ষা করা ছাড়া উপায় ছিল না, কিন্তু আপনি আপনার যোগ্যতা এবং আপনার দক্ষতা দিয়ে কাজটি সহজ করেছেন এবং আপনি ভুলটা ধরিয়ে দিলেন, সত্যি বিষয়টি আমার খুবই ভালো লেগেছে।

 17 days ago 

দাদা সত্যিই আপনার প্রশংসা করতে হয়।এমন সিরিয়াস একটি সময়ে আপনি যেভাবে পদ্ধতি টা বের করে,ফান্ড ট্রান্সফার টা সম্পন্ন করেছেন তা সত্যিই অবিশ্বাস্য।আমি জাস্ট পোস্টটা পড়ছিলাম আর অবাক হচ্ছিলাম।তবে এমন সমস্যার সম্মুখীন আমরা অনেকেই হতে পারি। আপনার এই পোস্টটি চমৎকার একটি শিক্ষনীয় পোষ্ট।আমার কাছে। এত চমৎকার একটি শিক্ষনীয় পোষ্ট আমাদের সাথে শেয়ার করার জন্য অসংখ্য ধন্যবাদ দাদা।♥♥

 17 days ago 

ব্যাপারটা এমন যেনো যে মাথা থাকলে দুনিয়ার কোনো সমস্যাই সমস্যা না যেনো!আমরা হলে হা করে সেই অপেক্ষা করেই বসে থাকতাম!এটা ভালো হলো যে উনাদের প্রব্লেমটা আপনি ধরিয়ে দিয়েছেন তা না হলে ওনাদের ই সমস্যা হতো কখনো কেও অনৈতিক কাজ করতে চাইলে।

 17 days ago 

@rme দাদা আপনার বিচক্ষণতা এবং দক্ষতা সত্যিই অসামান্য। আপনি ব্যাংকের সিকিউরিটি পলিসি ডিপার্টমেন্টের বড় একটা ভুল চোখে আঙুল দিয়ে দেখিয়ে দিয়েছেন।আপনি আমাদের সবার গর্ব।কথায় আছে ইচ্ছা থাকলে উপায় হয় আপনি সেটাই করে দেখিয়েছেন। আপনার জন্য অনেক অনেক শুভকামনা রইল।

 17 days ago 

এরকম হলে তো যে কেউ যা খুশি করে ফেলতে পারবে কারো অ্যাকাউন্ট থেকে। এ তো ভারি দুশ্চিন্তার বিষয়!আপনি সৎ এবং ভালো মানুষ বলেই হয়তো জানিয়েছেন। অনেকে তো সুযোগের অপব্যবহারও করতে পারে।

 17 days ago 

নামকরা ব্যাংকের ও এমন হয়!!।যাই হোক যথা সময়ে সঠিক বুদ্ধি কাজে লাগিয়ে সাকসেস হয়েছেন।আসলে মাথায় বুদ্ধি আর চেষ্টা থাকলে সক্ষম হওয়া যায়।আমরা হলে তো গাধার মত বসে থাকতাম।ব্যাংকের ম্যানেজার অবাক হবেই তো😃।যাই হোক সিকিরিউটি সিস্টেমের ভুলগুলো ধরিয়ে দিয়েছেন বাকিটুকু তারাই ঠিক করে নিয়েছে হয়ত।

This post has been upvoted by @italygame witness curation trail


If you like our work and want to support us, please consider to approve our witness




CLICK HERE 👇

Come and visit Italy Community



 16 days ago 

দাদা আমি আপনার অবস্থানে থাকলে নির্ঘাত হয় বসে থাকতাম না হলে অন্য কোনভাবে সমস্যা সমাধান করার চেষ্টা করতাম। আর আপনি তো সিস্টেমের ফাঁক বের করে নিজেই সমস্যার সমাধান করে নিলেন। দারুন আইডিয়া ছিল। তবে বোঝা গেলো সিস্টেমে বেশ বড়সড় ত্রুটি রয়েছে।

 16 days ago 

দাদা পোষ্টটি পড়ে যা বুঝলাম তা হলো ব্যাংকের সিকিউরিটিতে একটি মস্ত বড় ভুল আছে,যেটা আপনি খুজে কাজে লাগিয়ে দিলেন। দাদা এসব ফাক ফুকর তো হ্যাকাররা খুজে। সব থেকে বড় কথা হলো আপনি ব্যাংকের গুরুত্বপূর্ন একটি ভুল ধরিয়ে দিলেন। পোষ্টি পড়ে ভালই লাগলো। ধন্যবাদ দাদা

 16 days ago 

দাদা আপনি আসলেই অন্য লেভেলের একজন জিনিয়াস। আপনার ব্যাপারে বেশি কিছু হয়তো আমরা জানি না তবে যতটুকু জানি ততটুকুই আমাদের মাথা ঘুরিয়ে দেয়।

ব্যাংক কর্মকর্তার ওই সময় কেমন বোধ হচ্ছিল ভেবেই হাসি পাচ্ছে। 😜

 16 days ago 

দাদা আমি যদি আপনার জায়গায় হতাম। তাহলে বসে থাকতাম হচ্ছে না কি করব বলে। কিন্তু আপনি বুদ্ধি খাটিয়ে উপায় বের করে নিজের টা সমাধান দিলেন আর ব্যাংকের কোন জায়গায় ভুল আছে সেটা ধরিয়ে দিলেন আপনি একজন সুপারটেলেন্টেট।

 16 days ago 

দাদা আমি তো ভাবছি হ্যাকিং হযেছে ৷কিন্তু না সবকিছু পড়ে বুঝলাম ৷ তবে আপনার জায়গায় অন্য কেউ থাকলে অবশ্যই হতাশ হয়ে যেতো ৷কারন আপনার মতো দক্ষতা কেউ নেই ৷
যাই হোক দাদা পরিশেষে ফাঁকফোকর বের করে ফান্ড ট্রান্সফার টা সম্পন্ন করেছেন তা সত্যিই অবিশ্বাস্য। অনেক ভালো লাগলো বিষয়টি জেনে ৷

 16 days ago 

আমি শুধু এটা ভাবছি পরের দিন আপনাকে দেখে ব্যাংকের ম্যানেজারের এক্সপ্রেশন কেমন হয়েছিল। নিশ্চয়ই তিনি তাদের সিকিউরিটির এত বড় ফল্ট নিয়ে লজ্জিত ছিল। নাম করা বেসরকারি ব্যাংকের সিকিউরিটিতে এত বড় ফল্ট আসলে মেনে নেয়া যায় না। দাদা আপনি আসলেই জিনিয়াস মেধা খাটিয়ে ফান্ড ট্রান্সফার করতে পেরেছেন। আপনি পরের দিন ব্যাংকে গিয়ে তাদের সিকিউরিটি সিস্টেমের ফল্ট দেখিয়ে দিয়ে খুব ভালো করেছেন। তাদের সিকিউরিটি এন্ড ডেভেলপমেন্ট টিমের দুর্বলতা তারা বুঝতে পারলেন।
ধন্যবাদ দাদ আপনাকে অভিজ্ঞতাটি শেয়ার করার জন্য।

 16 days ago 

প্রিয় দাদা বিষয়টি সত্যি অবিশ্বাস্য। যেখানে ম্যানেজার পর্যন্ত হতবাক হয়ে গেছে আপনার এরকম ফান্ড ট্রান্সফার শুনে। অবশ্য আপনার জায়গায় আমরা হলে হতাশা নিয়ে বসে থাকা ছাড়া আর কিছুই করার ছিল না। সত্যিই প্রিয় দাদা আপনি সর্বদিক থেকে শতভাগ পারফেক্ট একজন মানুষ।

 16 days ago 

এক স্টেপ বাইপাস করেই ফান্ড ট্রান্সফার! উইক সিকিউরিটি ছিল তাহলে ব্যাংকের। আর আপনার দ্বারাই তা সম্ভব। এমন সময়ে যেহেতু টাকাও দরকার ছিল আপনার বৌদির তো এই উপায় ছাড়া আর কিছুই করার ছিল না। তবে এক স্টেপ বাইপাস করে টাকা ট্রান্সফার ব্যাংকের ম্যানেজার অবাক হওয়ারই কথা 😁।

 16 days ago 

দাদা যত ডিজিটাল সিস্টেম ততই বিপত্তিও রয়েছে। তবে নেট ব্যাংকে এরকম হওয়াটা খুবই দুঃখজনক। কারণ ব্যাংক একটা অত্যন্ত ঝুঁকিপূর্ণ ও বিশ্বস্ত প্রতিষ্ঠান। কাজেই তাদের অন্ততপক্ষে এ বিষয়গুলোর উপর গুরুত্ব সহকারে নজরদারি করা উচিত। একমাত্র আপনি বলেই সাকসেস হয়েছেন। কিন্তু যারা নেট সম্পর্কে অল্প জানে তাদের জন্য একটা কষ্টদায়ক। আপনার জন্য অনেক অনেক শুভকামনা রইল।

 16 days ago 

দাদা আপনার বুদ্ধির তুলনা নেই আসলে ,আমাদের সাথে এমনটা ঘটলে চুপচাপ বসে থাকতাম ,কারণ কি থেকে কি হয়ে যায় পরে বলা যায় না। আর আপনি সাহস করে দারুন একটা কাজ করেছেন যা শুনে ব্যাংকের ম্যানেজার পুরাই অবাক। দারুন লাগলো বিষয়টা

 16 days ago 

ব্যাংকের মত এমন একটা সফিস্টিকেটেড আর্থিক প্রতিষ্ঠানের নিরাপত্তা ব্যবস্থায় এমন লুপ হোল থাকাটা কিছুতেই কাম্য নয়। ভাগ্যিস ব্যাপারটা আপনি ধরতে পেরেছেন। কোন হ্যাকার জানতে পারলে ব্যাংকের গ্রাহকদের এবং ব্যাংকের সর্বনাশ হয়ে যেতো। ব্যাংক কর্তৃপক্ষের উচিত আপনাকে পুরস্কৃত করা।

 16 days ago 

দাদা, যখন তুমি ব্যাংকের এত বড় নিরাপত্তা ত্রুটি ধরিয়ে দিলে তখন তাদের উচিত ছিল তোমাকে বড় ধরনের কোন রিওয়ার্ড দেওয়া এত বড় উপকার তাদের করার জন্য।

Coin Marketplace

STEEM 0.23
TRX 0.06
JST 0.025
BTC 20345.01
ETH 1377.08
USDT 1.00
SBD 2.50