টুইটার হ্যাকিং-এর তিন হ্যাকার শনাক্ত!

কোরবানি আর তার খাওয়া দাওয়া নিয়ে আমরা যখন ব্যস্ত তখন আমেরিকার আইন প্রয়োগকারী সংস্থা সাম্প্রতিক টুইটার হ্যাকিং-এর জন্য তিনজনের বিরুদ্ধে অভিযোগ দাখিল করেছে। টুইটারে এই স্বাধীন হ্যাকিং-এর শিকার হয়েছেন বিশ্বের বিখ্যাত সব ব্যক্তিত্ব। যদিও ১ দিনের মাথায় হ্যাকিং বন্ধ করা সম্ভব হয়েছে।
অন্য অনেকের মতো আমরা যারা বিল গেটস, বারাক ওবামাকে টুইটারে ফলো করি তারা গত ১৬ জুলাই “যতো দেবেন তার দ্বিগুণ ফিরিয়ে দেওয়ার” টুইট বার্তা দেখেছি। তখন থেকে আমার জানার বিষয় ছিল হ্যাকার ব্যাটা কেমনে এই কাজটা করেছে? আজ সকাল থেকে পড়ালেখা করে মোটামুটি সাধ মিটেছে। আমার একটা ধারণা হয়েছিল এই হ্যাকিং ইউজার এন্ডে হয়নি। বরং এডমিন লেবেলেই হয়েছে। আর টুইটার এডমিনরা নিশ্চয়ই টু-ফ্যাক্টর-অথেনটিকেশন(2FA) ব্যবহার করে। তাই যদি হবে তাহলে কেমন করে এটা করলো? এটা কী আমাদের দেশে যেভাবে সিম ক্লোন করে করে সেভাবে করেছে? এসব জানার চেষ্টা আর কি!

আমেরিকার জাস্টিজ ডিপার্টমেন্ট পুলিশের দেওয়া কাগজপত্র পাবলিশ করেছে। সেখান থেকে জানা যাচ্ছে এই হ্যাকিং-এর তিনজন হ্যাকার হলো –

• ম্যাসন শেফার্ড (প্রকাশ চ্যাওন), ১৯ বছর, বগনর (??) রেগিজ, যুক্তরাজ্য
• নিমা ফাজেলি (প্রকাশ রোলেক্স), ২২ বছর, অরল্যান্ডো, ফ্লোরিডা, যুক্তরাস্ট্র
• গ্রাহাম আইভান ক্লার্ক (প্রকাশ কার্ক), ১৭ বছর, টাম্পা, ফ্লোরিডা, যুক্তরাষ্ট্র

কোর্টের দলিলে দেখা যাচ্ছে ক্লার্ক মে মাসের ৩ তারিখে এই কাজটা শুরু করেছে। যদিও মূল ঘটনা ঘটেছে ১৬ জুলাই। তবে ৩ মে থেকে ১৬ জুলাই পর্যন্ত কী ঘটেছে সেটা এখনও পরিস্কার নয়। হ্যাকিং-এর পরদিন নিউ ইয়র্ক টাইমসে প্রকাশিত একটি প্রতিবেদনে বলা হয়েছে ক্লার্ক প্রথমে টুইটার এডমিনদের একটি অভ্যন্তরীণ স্ল্যাক নেটওয়ার্কে একসেস পায়। পরে সেখান থেকে টুইটারের এডমিন প্যানেলে। তাদের রিপোর্টের উৎস ছিল হ্যাকারদের কমিউনিটি। সেখানে বলা হয়েছে একজন এডমিনের পাসওয়ার্ক স্ল্যাকে দেওয়া ছিল! আর টুইটারের এডমিন টুলের একটি স্ত্রিনশটও পরদিন অনেকে ছেপে দেয়।

তবে এটির বিশ্বাসযোগ্যতা প্রশ্নাতীত নয়। কারণ ইউজারনেম আর পাসওয়ার্ড জানলেই সেখান লগ-ইন করতে পারার কথা নয়! কারণ 2FA।ক্লার্ক ব্যাটা কেমনে এটা ব্রেক করেছে সেটা পরিস্কার নয়। তবে টুইটার একটি ব্লগ পোস্টে বলেছে এটা হয়তো ফোনে টার্গেটেড ফিশিং এটাক (“a phone spear phishing attack”) করে বের করে নিয়েছে এবং এডমিন টুলে ঢুকতে পেরেছে। টুইটারের মতে এটি হয়েছে জুলাই মাসের ১৫ তারিখ। যেদিন হ্যাকিংটা হয়!

ক্লার্ক সঙ্গে সঙ্গে তার এই একসেস থেকে কেমনে টাকা কামানো যায় সেটা নিয়ে ভেবেছে। কারণ সে জানতো যা করার দ্রুত করতে হবে। এরকম হ্যাকারদের মতো ক্লার্কও কোন প্রচলিত চ্যাটিং এপ ব্যবহার করে না। সে ব্যবহার করতো ডিসকর্ড (এখানে তার হ্যান্ডল Kirk#5270)।সেখানে সে আরও দুইজনকে নিজের দলে নেওয়ার চেষ্টা করে এবং সফল হয়।

কোর্টের দলিলে চ্যাটের লগটা পাওয়া গেছে। দেখা যাচ্ছে ক্লার্ক এই দুইজনকে খুঁজে নিয়েছে OGUsers নামে একটি প্ল্যাটফর্ম থেকে। এই প্ল্যাটফর্মটিতে হ্যাকাররা যখন কোন স্যোসাল একাউন্টের কন্ট্রোল পায় তখন সেটা বেচা-কেনা করে। সেখানে সে ফাজেলি (ডিসকর্ড হ্যান্ডেল “Rolex#037″  ) ও শেফার্ড (ডিসকর্ড হ্যান্ডেল “ever so anxious#0001”) -এর সঙ্গে যোগাযোগ করে নিজেকে টুইটার কর্মী হিসাবে পরিচয় দেয়। প্রমাণ স্বরূপ সে ফাজেলির একটি টুইটার একাউন্টের সেটিংস পরিবর্তন করে এবং তার কাছে অন্য একটি একাউন্টের (@foreign) এক্সেস বিক্রি করে দেয়। একইভাবে ক্লার্ক শেফার্ডের কাছে দুস্প্রাপ্য কয়েকটা টুইটার একাউন্ট (@xx, @dark, @vampire, @obinna, and @drug.) বিক্রি করে।
এভাবে ফাজেলি ও শেফার্ড বিশ্বাস করে ক্লার্কের কাছে আসলেই এডমিন একাউন্ট আছে। তখন তিনজন মিলে OGUsers এ বিজ্ঞাপন দেয়। এই পোস্ট ফলো করে বোঝা যাচ্ছে অনেকেই বেশ কিছু একাউন্টের এক্সেস পেয়েছে। মার্কিন এটর্নী জেনারেল অফিস বলেছে তারা এই হ্যাকিং-এ জড়িতদের খোঁজা অব্যাহত রেখেছে।

বোঝা যাচ্ছে সেলেব্রেটিদের একাউন্ট এক্সেস এমন একজন (বা কয়েকজন) কিনেছে যারা ১৫ জুলাই (আমাদের ১৬ জুলাই)-এর ঘটনাটা ঘটিয়েছে। সেদিন অনেকেই বিল গেটস, এলন মাস্কের টুইটারে ক্রিপ্টোকারেন্সী স্ক্যাম পোস্টটা দেখেছে। তবে কাজটাতে এই তিনজন জড়িত ছিল। যে সব একাউন্টে এই পোস্ট হয়েছে সেগুলোর মধ্যে আছে বারাক ওবামা, জো বাইডেন, বিল গেটস, এলন মাস্ক, জেফ বেজোস, এপল, উবার, কেনি ওয়েস্ট, কিম কার্দাসিযান, প্লয়েড মেওযেদার, মিশেল ব্লুমবার্গসহ আরও কয়েকজন সেলেব্রিটি। এই পোস্টে বলা ছিল বিভিন্ন ঠিকানায় বিটকয়েন পাঠাতে। যতো পাঠাবেন সেলেব্রেটি তার দ্বিগুণ দেবেন!

তদন্তে দেখা যাচ্ছে, বিটকয়েন এক্সচেঞ্জ কয়েনবেস এই সব একাউন্টের লেন-দেন বন্ধ করার আগেই সেগুলোতে ১২.৮৩ বিটকয়েন (এক লক্ষ ১৭ হাজার ডলার সমমূল্যের) জমা হয়েছে। কয়েনবেসের এই হস্তক্ষেপের ফলে আরও ২ লক্ষ ৮০ হাজার ডলারের সমমূল্যের বিটকয়েন স্থানান্তর বন্ধ হয়ে যায়! ঠিক এই সময়ে হ্যাকিং-এর বিষয়টি লোকের সামনে আসে। টুইটারের লোকেরাও টের পায়। টুইটার সঙ্গে সঙ্গে বিভিন্ন ভেরিফায়েড একাউন্ট থেকে টুইট করা বন্ধ করে। তারপর তারা তাদের এডমিন প্যানেলে ক্লার্ককে আবিস্কার করে এবং তাকে বের করে নেটওয়ার্ক সংহত করে। টুইটারের তদন্তে দেখা যাচ্ছে ক্লার্ক ঐটুকু সময়ের মধ্যে ১৩০টি একাউন্টে হাত দিয়েছে, ৪৫টির পাসওয়ার্ড পরিবর্তন করেছে এবং ৩৬টির প্রাইভেট মেসেজিং-এ ঢুকেছে। ঐদিনই টুইটার ফরমাল ক্রিমিনাল মামলা করলে এফবিআই আর সিক্রেট সার্ভিস তদন্তে যোগ দেয়।

এফবিআই কেমন করে তদন্ত করেছে?

কোর্টের কাগজ দেখে কয়েকটা বিষয় আন্দাজ করা যায়-

ক. হ্যাকারদের একটি পোস্ট প্রকাশিত হয়েছে OGUsers। এফবিআই এই ফোরামের একটা ডেটাবেস যা গত এপ্রিল মাসে লিক হয়েছে সেখান থেকে এর ইউজারদের বের করার চেষ্টা করে। এই ফোরামের ব্যবহারকারীদের ই-মেইল, আইপি এড্রেস ও প্রাইভেট মেসেজ সেখানে ছিল।

খ. কয়েনবেস থেকে ডেটা পেতে সাহায্য করেছে ইন্টারনাল রেভেনিউ সার্ভিস (IRS) [আমাদের বাংলাদেশ ব্যাংকের মতো]। তাদের সাহায্যে যে বিটকয়েন একাউন্টগুলো জড়িত তাদের মালিকদের বের করেছে।

গ. ডিসকর্ডে তাদের কথাবর্তার লগও পেয়েছে।

ঘ. তিনটে সাইটের সকল তথ্য বিশ্লেষন করে অবশেষে তিন হ্যাকারকে আইডেন্টিফাই করা সম্ভব হয়েছে।

ঙ. ফাজেলি তার OGUsers পেজের সঙ্গে ডিসকর্ডের আইডি লিংক করে রেখেছে। হ্যাকিং জগতে এটি একটি মারাত্মক ভুল। ফাজেলি আরও কিছু ভুল করেছে। এর মধ্যে একটা হলো তার OGUsers-এর নিবন্ধনের জন্য ব্যবহার করেছ damniamevil20@gmail.com আর টুইটার @foreign একাউন্ট হাইজ্যাক করার জন্য ব্যবহার করেছে chancelittle10@gmail.com ই-মেইল ঠিকানা।এবং এই দুইটা ই-মেইলই সে ব্যবহার করেছে তার কয়েনবেস একাউন্ট নিবন্ধনে! এবং নিজের ড্রাইভিং লাইসেন্স দিয়ে বিটকয়েন একাউন্ট ভেরিফাইডও করেছে!!! শুধু তাই নয় ফাজেলি তার বাসার লাইন ব্যবহার করে ডিসকর্ড, কয়েনবেজ ও OGUsers  ব্যবহার করতো। কাজে তিন একাউন্ট থেকে ফাজেলিকে সহজে বের করা গেছে।

চ. শেফার্ডের বেলায়ও কমবেশি একই কথা খাটে। OGUsers –এ সে ব্যবহারকারী ছিল চ্যায়ন নামে। কিন্তু সেও তার ডিসকর্ড একাউন্টকে এখানে লিংক করে রেখেছে। ওখান থেকেই জানা গেছে চ্যায়ন একটা ভিডিও গেম কিনেছে যার সঙ্গে বিটকয়েনের একাউন্টের সংযোগ আছে। একইভাবে কয়েনবেসে তার একাউন্ট ভেরিফিকেশন করেছে সে তার অরিজিনাল ড্রাইভিং লাইসেন্স দিয়ে।

ফ্লোরিডা স্টেট এটর্নী অফিস জানিয়েছে তারা ক্লাককে গ্রেপ্তার করেছে।

এর আগে হোয়াটসএপের একটা ছোট্ট টিপস ব্যবহার করে আমাদের দেশেও অনেক একাউন্ট হ্যাকড হয়েছে। তবে, এটি সেরকম নয়। যেহেতু এডমিন লেবেলের হ্যাকিং তাই আগামী কয়েকদিন এই ইন্টারেস্টিং হ্যাকিং কেস নিয়ে অনেকেরই আগ্রহ থাকবে বলা যায়।

যাদের সিকিউরিটি নিয়ে আগ্রহ তারা এই সংক্রান্ত টুইটার ব্লগ ফলো করতে পারেন।

আর এ সংক্রান্ত আরও আপডেট জানার জন্য গুগলে সার্চ দিয়ে দেখতে পারেন।