Chrome Extension ফাঁস করছে ইউজারের ডেটা ও API Key
Bugmohol রিপোর্ট
যে Chrome Extension গুলো আমরা নির্দ্বিধায় ইনস্টল করি—তা কিন্তু সবসময় নিরাপদ না। সম্প্রতি Symantec বেশ কিছু জনপ্রিয় Extension-এ এমন সব ভুল খুঁজে পেয়েছে, যেগুলো আপনার ব্যক্তিগত তথ্যকে হ্যাকারদের হাতে তুলে দিতে পারে—আপনার অজান্তেই।
HTTP দিয়ে ডেটা পাঠানো মানে কী?
সাধারণভাবে, ওয়েবের সব আধুনিক ডেটা আদান-প্রদান হয় HTTPS দিয়ে—মানে এনক্রিপ্টেড। কিন্তু এসব Extension-এ দেখা গেছে, ডেটা পাঠানো হচ্ছে HTTP দিয়ে। এর মানে হলো:
- আপনার ব্রাউজিং তথ্য (আপনি কোন সাইটে গেছেন) plaintext আকারে চলে যাচ্ছে
- এক্সটেনশন uninstall করলে সেটার তথ্যও HTTP দিয়ে পাঠানো হচ্ছে
- আপনার কম্পিউটার/অপারেটিং সিস্টেম সংক্রান্ত তথ্য সরাসরি বাইরে চলে যাচ্ছে
এইসব তথ্য পাঠানো যদি HTTP দিয়ে হয়, তাহলে একই Wi-Fi নেটওয়ার্কে থাকা কেউ চাইলে এসব তথ্য intercept করে দেখতে পারে বা এমনকি পরিবর্তনও করতে পারে। এটাকে বলে Adversary-in-the-Middle attack।
যে Extensions গুলো সমস্যা করছে
Symantec নিচের কিছু এক্সটেনশনের নাম প্রকাশ করেছে:
- SEMRush Rank ও PI Rank → ডেটা পাঠায়
rank.trellian.comএ HTTP দিয়ে - Browsec VPN → uninstall info পাঠায় S3 HTTP লিংকে
- MSN Homepage, Bing Search → আপনার মেশিন আইডি ও অন্যান্য ডেটা পাঠায় HTTP দিয়ে
- DualSafe Password Manager → HTTP রিকোয়েস্টে ইউজারের info সহ ডেটা পাঠায়
Password manager যদি HTTP দিয়ে info পাঠায়, তাহলে সেটার উপর আর ভরসা রাখা যায় না—এটা সরাসরি Trust issue হয়ে দাঁড়ায়।
Hardcoded Credentials: হ্যাকারদের জন্য Jackpot!
অনেক এক্সটেনশন এর মধ্যে সরাসরি API key, Google Analytics Secret, AWS key এমনকি Azure API Key পর্যন্ত code এ লেখা আছে। কেউ যদি এই কোড পড়ে নেয়, তাহলে:
- Google Analytics এ ভুয়া ডেটা ঢুকিয়ে পুরো রিপোর্ট corrupt করে দিতে পারে
- Azure speech API ইউজ করে ডেভেলপারের বিল বাড়িয়ে ফেলতে পারে
- AWS S3 bucket access পেয়ে sensitive ফাইল মুছে দিতে পারে
- Crypto ট্রান্সঅ্যাকশন spoof করে দিতেও পারে
InboxSDK: একটা লাইব্রেরি, ৯০+ এক্সটেনশনে সমস্যা
Antidote Connector নামের এক্সটেনশনে এমন এক লাইব্রেরি পাওয়া গেছে, যেটার নাম InboxSDK। এইটা ৯০টির বেশি এক্সটেনশনে ইউজ করা হচ্ছে এবং এর ভিতরে hard-coded credentials আছে।
সাধারণ ইউজার কী করবেন?
- যে এক্সটেনশন HTTP ব্যবহার করে তা রিমুভ করুন
- Extension ইনস্টল করার আগে permission & network call দেখে নিন
- নিজের ব্রাউজারকে আপ-টু-ডেট রাখুন
- Sensitive এক্সটেনশনের বিকল্প খুঁজুন (যেমন VPN বা Password Manager এর verified version)
Bugmohol Verdict:
একটা ছোট Extension দেখে নির্ভর করে বসে থাকলে কিন্তু আপনি নিজেই আপনার তথ্যকে অজান্তে হ্যাকারদের দিয়ে দিচ্ছেন। মনে রাখবেন—Extension এর বড় নাম মানেই বড় সিকিউরিটি না।
🧠 আরও পড়ুন: Bugmohol এর বিশ্লেষণধর্মী প্রতিবেদন
- Chaos RAT Malware 2025: Windows ও Linux-এ ভুয়া Network Tool দিয়ে ক্রিপ্টো মাইনিং ও ফিশিং আক্রমণ | Bug Mohol
- TryHackMe + SQL Injection দিয়ে হ্যাকিং শেখা: Linux, GitHub আর VirtualBox ইউজ করে বাস্তব ট্রেইনিং গাইড!
- Linux Core Dump Vulnerability 2025: CVE-2025-5054 & CVE-2025-4598 Password Hash Leak | Bug Mohol
- চীনের Earth Lamia গ্রুপের সাইবার হানার বিস্তার: ভারত, দক্ষিণ-পূর্ব এশিয়া ও ব্রাজিল টার্গেটেড
- Undetectable Windows RAT Exploit (2025) – Bug Mohol Exclusive 🩸
শেষ কথা: নিরাপত্তা মানেই দায়িত্ব
আজকের এই প্রতিবেদনে যা স্পষ্ট হলো, সেটা হলো—নিরাপত্তা শুধু একক দিক থেকে আসতে পারে না। পুরো ইকোসিস্টেমের সঠিক কনফিগারেশন, নিয়মিত আপডেট এবং সচেতনতা ছাড়া ঝুঁকি থেকে বাঁচা অসম্ভব। আপনি যতই বড় ব্র্যান্ড বা জনপ্রিয় এক্সটেনশন ব্যবহার করুন না কেন, যদি সেটা HTTP-তে ডেটা পাঠায় বা ক্লায়েন্ট সাইডে API কি রাখে—তাহলে আপনার প্রাইভেসি ঝুঁকির মধ্যে।
Bugmohol থেকে আপনাদের অনুরোধ, হ্যাকিংয়ের প্রতি আগ্রহ থাকলেও সবসময় সিকিউরিটির বিষয়গুলো মাথায় রেখে শিখুন। প্রযুক্তিকে নিরাপদ রাখার মানসিকতা নিয়েই আমরা আসল সুরক্ষা পেতে পারি। আপনি হতে পারেন সেই ব্যক্তি, যিনি নিজের সার্কেলকে ডিজিটাল জগতে সুরক্ষিত রাখতে পারেন।
🛡️ “সিকিউরিটি মানে শুধু সফটওয়্যার নয়—এটা একটা অভ্যাস, একটা দৃষ্টিভঙ্গি। Bugmohol বিশ্বাস করে, যদি প্রতিটি ব্যবহারকারী হ্যাকারদের মতো চিন্তা করে, তাহলে ডিজিটাল বিশ্ব অনেক বেশি নিরাপদ হবে।”
Bugmohol থেকে শেষ কথা: এক্সটেনশন ব্যবহার করতেই পারেন—কিন্তু আপনার মস্তিষ্কও ব্যবহার করুন। প্রাইভেসিআর সিকিউরিটি একবার গেলে ফিরে পাওয়া কঠিন। সতর্ক থাকুন, আর সাইবার দুনিয়ায় বাঁচতে হলে একটু হ্যাকারের মতো চিন্তা করতে শিখুন।
🔥 Bug Mohol – বাংলায় সাইবার ইন্টেলিজেন্সের গোপন ঘাঁটি।