اپنے سٹیم گیم ڈسٹری بیوشن پلیٹ فارم پر آزاد ڈویلپرز کو نشانہ بنانے والے حملوں کے بعد، گیم بنانے والی کمپنی والو نے گزشتہ ہفتے کہا تھا کہ اسے ڈویلپرز کو اپنے فون نمبر فراہم کرنے کی ضرورت ہوگی تاکہ کمپنی 2 اکتوبر سے ٹو فیکٹر تصدیق (24FA) کے لیے SMS استعمال کر سکے۔ .
"سیکیورٹی اپ ڈیٹ کے حصے کے طور پر، جاری کردہ ایپ کی ڈیفالٹ/پبلک برانچ پر لائیو بنانے والی کسی بھی Steamworks اکاؤنٹ کی ترتیب کو اپنے اکاؤنٹ سے منسلک ایک فون نمبر کی ضرورت ہوگی، تاکہ Steam جاری رکھنے سے پہلے آپ کو ایک تصدیقی کوڈ بھیج سکے،" کمپنی نے اپنے نوٹیفکیشن میں کہا. "ہم مستقبل میں سٹیم ورکس کی دیگر کارروائیوں کے لیے بھی اس ضرورت کو شامل کرنے کا ارادہ رکھتے ہیں۔"
لیکن چونکہ ایس ایم ایس پر مبنی دو عنصر کی توثیق کو مسلسل حملہ آوروں کے ذریعے مختلف طریقوں سے روکا جا سکتا ہے، اس لیے اس اقدام سے یہ سوال پیدا ہوتا ہے: کیوں صارفین کو درپیش آن لائن سروسز اب بھی ایس ایم ایس کو داخلی طور پر اور صارفین کے لیے دوسرا عنصر بنا رہی ہیں؟
SMS پر مبنی 2FA: واقعی محفوظ نہیں۔
ایس ایم ایس کے دو عنصر کی توثیق حملہ آوروں کے درمیان ایک ترجیح بن گئی ہے، اور درحقیقت، اسے مشین میں درمیانی حملوں سے لے کر سوشل انجینئرنگ تک ہر چیز کا استعمال کرتے ہوئے شکست دی گئی ہے - بشمول، بدنام زمانہ Uber کی خلاف ورزی کا معاملہ، 2FA تھکاوٹ کے حملوں کے ذریعے.
2022 میں، مثال کے طور پر، a بینکنگ ٹروجن کو Xenomorph کہا جاتا ہے۔ ڈیجیٹل سیکیورٹی فرم ESET کے چیف سیکیورٹی مبشر ٹونی انسکومب کے مطابق، میلویئر کے پیچھے سائبر کرائمینل گروپ کی جانب سے اسے کارکردگی کی افادیت کے طور پر چھپانے کے بعد 50,000 سے زائد اینڈرائیڈ ڈیوائسز سے سمجھوتہ کیا۔
"حقیقت میں، یہ بینکنگ، ادائیگی، سوشل میڈیا، cryptocurrency اور قیمتی ذاتی معلومات رکھنے والی دیگر ایپس کے لیے صارف کے لاگ ان اسناد کو چرا رہا تھا،" وہ کہتے ہیں۔ "مالویئر نے 50 سے زیادہ ایپس کا غلط استعمال کیا، بشمول PayPal اور Coinbase، اور اس میں پیغامات اور اطلاعات کو روکنے کی صلاحیت شامل ہے، جس سے سائبر کرائمین کو دو فیکٹر تصدیقی کوڈز کو نظرانداز کرنے کی صلاحیت ملتی ہے۔
لیکن یہاں تک کہ صرف سیلولر اسٹور میں چلنے کا کم ٹیک اپروچ (سم بدل رہا ہےکلاؤڈ سیکیورٹی پلیٹ فارم لک آؤٹ میں اینڈ پوائنٹ اور تھریٹ انٹیلی جنس کے نائب صدر ڈیوڈ رچرڈسن کہتے ہیں یا بدعنوان ٹیکنیشن کی تلاش اچھی طرح سے کام کرتی ہے۔ تمام حملہ آور کو کرنا ہے۔ ہدف بنائے گئے فرد کا فون نمبر جانیں۔ چینل پر حملہ کرنا۔
"پورا نظام بنیادی طور پر اعتماد کے مفروضے پر بنایا گیا ہے — میں کسی بھی اسٹور میں جا سکتا ہوں اور آسانی سے اپنا معاہدہ منسوخ کر سکتا ہوں اور اپنا فون نمبر پورٹ کر سکتا ہوں … کسی بھی کیریئر کو،" وہ کہتے ہیں۔ "بنیادی طور پر [حملہ آور] کسی بھی فون نمبر پر قبضہ کر سکتا ہے اور فون کالز وصول کرنا شروع کر سکتا ہے اور، ان معاملات میں، سب سے اہم بات یہ ہے کہ ایس ایم ایس پیغامات جو ان نمبروں پر جا رہے ہیں۔"
اور سیل فون نمبر انٹرنیٹ پر عام طور پر لیک ہونے والی معلومات میں سے کچھ ہیں۔ دی حالیہ سمجھوتے۔ مثال کے طور پر، ایم جی ایم ریزورٹس اور سیزر انٹرٹینمنٹ نے کاروباری پیشہ ور افراد اور انفرادی صارفین کے لاکھوں ریکارڈ کو بے نقاب کیا، جس میں فون نمبر بھی شامل ہیں، جنہیں حملہ آور مزید حملوں کے لیے استعمال کر سکتے ہیں۔
2FA کسی بھی چیز سے بہتر نہیں ہے۔
ایس ایم ایس پر مبنی 2FA عدم تحفظ کے باوجود اس سادہ وجہ سے برقرار رہتا ہے کہ یہ اختتامی صارفین کے لیے نسبتاً تکلیف دہ حفاظتی طریقہ کار ہے: ایک کمپنی کو صرف یہ جاننے کی ضرورت ہوتی ہے کہ تصدیق کے لیے ایک بار پاس کوڈ ٹیکسٹ کرنے کے لیے صارف کا فون نمبر کیا ہے۔ صارفین کا سامنا کرنے والی کمپنیوں کے لیے، رگڑ کو کم کرنا گیم کا نام ہے۔
ایک ہی وقت میں، حملہ آوروں کی ملازمتوں کو تھوڑا سا مشکل بنانے سے ڈویلپرز — اور ان کے گیمز کے کھلاڑیوں کی حفاظت میں مدد ملتی ہے۔
لک آؤٹ کے رچرڈسن کا کہنا ہے کہ "کوئی بھی ایم ایف اے کسی بھی ایم ایف اے سے بہتر ہے - جیسے، بہت زیادہ برتر"۔ "اگر آپ کے پاس ایس ایم ایس پر مبنی ایم ایف اے ہے تو آپ کو ہیک کرنا 10 گنا زیادہ مشکل ہے، لہذا … آپ کو ملٹی فیکٹر تصدیق کی کسی شکل کے مقابلے میں ملٹی فیکٹر توثیق کی کوئی شکل رکھنے سے بہتر ہے۔"
مثال کے طور پر، ایک SMS کوڈ Benoît Freslon، گیم NanoWar: Cells VS Virus کے پیچھے آزاد ڈویلپر کی حفاظت کر سکتا تھا۔ پر پوسٹ کیے گئے ایک بیان کے مطابق، فریسلن ایک سوشل انجینئرنگ اسکینڈل کا شکار ہو گیا، بظاہر جب سائبر کرائمینلز نے ایک اور ڈویلپر کے طور پر ظاہر کر کے اسے بدنیتی پر مبنی مواد کے ساتھ براہ راست پیغام بھیجا، بھاپ کے کمیونٹی فورمز.
"مجھے ہیک کر لیا گیا، میرے تمام سوشل نیٹ ورک اکاؤنٹس بشمول Discord اور Steam سے سمجھوتہ کیا گیا تھا ... [t]اس نے میرے اکاؤنٹ کے ساتھ ایک میلویئر اپ لوڈ کیا،" ایک ڈویلپر نے Steam کے فورمز پر بتایا۔ "جب کوئی دوست آپ سے Discord پر نجی پیغام پر اپنے گیم کی جانچ کرنے کو کہے تو محتاط رہیں۔ … یہ میری انڈی ڈویلپر کی زندگی کے سب سے زیادہ دباؤ والے دن تھے۔
والو نے گیم کو 25 اگست کو سٹیم سے ہٹا دیا، ایک دن بعد جب ہیکس کے پیچھے گروپ نے ڈویلپر کے اکاؤنٹ سے متاثرہ ورژن شائع کیا۔ گیم ڈویلپر پر زور دیا کہ گیم کا ایک محفوظ ورژن 15 ستمبر سے دستیاب ہے، جسے "مکمل طور پر صاف مشین" سے اپ لوڈ کیا گیا ہے۔
SMS: ایک اچھا پہلا قدم، لیکن…
ESET کے Anscombe کا کہنا ہے کہ کمپنیوں نے صارفین پر توجہ مرکوز کی اور فکر مند ہیں کہ 2FA سیکیورٹی سے پیدا ہونے والی اضافی رگڑ ایپ پر مبنی عوامل کو استعمال کر سکتی ہے جو پہلے ہی بڑے پیمانے پر اپنائے گئے ہیں، جیسے کہ گوگل یا مائیکروسافٹ کے مستند، ESET کے Anscombe کا کہنا ہے۔
"صارفین پر مرکوز بہت سی کمپنیاں پہلے ہی مائیکروسافٹ یا گوگل کے مستند ایپس کو استعمال کرنے کا اختیار فراہم کرتی ہیں، اس سے اختیار کرنے میں رکاوٹ کم ہو جاتی ہے کیونکہ صارفین کے پاس یہ ایپس پہلے سے ہی انسٹال ہو سکتی ہیں،" وہ کہتے ہیں۔
وہ کہتے ہیں، "ایک ایپ سم کلوننگ کے تابع نہیں ہے اور نہ ہی میلویئر جو SMS پیغامات کو پڑھنے کے لیے آپریٹنگ سسٹم کے اجازت نامے کا استعمال کرتی ہے۔" "ایپ کو خود ایک پاسکی یا بائیو میٹرکس کے ذریعہ محفوظ کیا جانا چاہئے جس میں سیکیورٹی کی ایک اضافی پرت شامل کی جائے۔"
سیکیورٹی کو بڑھانا ہے۔ گیم کمپنیوں کے لیے اہم بن جاتے ہیں۔، کیونکہ صارفین کے پاس آن لائن اکاؤنٹس میں زیادہ ڈیجیٹل ان گیم اثاثے محفوظ ہوتے ہیں جن کا مقصد سائبر کرائمینز رقم کمانا چاہتے ہیں، اور جب کہ دھوکہ باز فائدہ حاصل کرنے کے لیے دوسرے گیمرز کے اکاؤنٹس تک رسائی حاصل کرتے ہیں۔ سٹیم نہ صرف ڈویلپرز بلکہ اس کے صارفین اور ساکھ کی بہتر حفاظت کے لیے مستقبل میں مزید حفاظتی اقدامات کی توقع رکھتا ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/valve-2fa-mandate-game-developers-sms-stickiness
- : ہے
- : ہے
- : نہیں
- 000
- 10
- 15٪
- 2022
- 24
- 25
- 2FA
- 50
- 7
- a
- کی صلاحیت
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- اکاؤنٹس
- اعمال
- انہوں نے مزید کہا
- ایڈیشنل
- اپنایا
- منہ بولابیٹا بنانے
- فائدہ
- کے بعد
- مقصد
- تمام
- پہلے ہی
- بھی
- کے درمیان
- an
- اور
- لوڈ، اتارنا Android
- ایک اور
- کوئی بھی
- اپلی کیشن
- نقطہ نظر
- ایپس
- کیا
- ارد گرد
- AS
- پوچھنا
- اثاثے
- منسلک
- مفروضہ
- At
- حملہ
- حملے
- اگست
- کی توثیق
- دستیاب
- بینکنگ
- رکاوٹ
- بنیادی طور پر
- BE
- بن
- رہا
- اس سے پہلے
- پیچھے
- بہتر
- بایومیٹرکس
- بٹ
- دونوں
- برانچ
- خلاف ورزی
- بناتا ہے
- تعمیر
- کاروبار
- لیکن
- by
- قیصر۔
- کالز
- کر سکتے ہیں
- ہوشیار
- کیس
- مقدمات
- خلیات
- چینل
- چیف
- بادل
- کلاؤڈ سیکورٹی
- کوڈ
- کوڈ
- Coinbase کے
- عام طور پر
- کمیونٹی
- کمپنیاں
- کمپنی کے
- سمجھوتہ کیا
- تصدیق کے
- صارفین
- مواد
- جاری
- کنٹریکٹ
- سکتا ہے
- اسناد
- cryptocurrency
- گاہک
- گاہکوں
- سائبر کریمنل
- cybercriminals
- ڈیوڈ
- دن
- دن
- ڈیولپر
- ڈویلپرز
- کے الات
- مشکل
- ڈیجیٹل
- براہ راست
- اختلاف
- do
- آسانی سے
- یا تو
- آخر
- اختتام پوائنٹ
- انجنیئرنگ
- تفریح
- سے Evangelist
- بھی
- مثال کے طور پر
- امید ہے
- ظاہر
- چہرہ
- عنصر
- عوامل
- تھکاوٹ
- تلاش
- فرم
- پہلا
- توجہ مرکوز
- کے لئے
- فارم
- فورمز
- رگڑ
- دوست
- سے
- مزید
- مستقبل
- حاصل کرنا
- کھیل ہی کھیل میں
- محفل
- کھیل
- دے
- جا
- اچھا
- گوگل
- ملا
- گروپ
- ہیک
- ہیک
- ہیکر
- hacks
- مشکل
- ہے
- ہونے
- he
- مدد کرتا ہے
- اسے
- ان
- HTTPS
- i
- if
- اہم
- اہم بات
- in
- کھیل میں
- شامل
- سمیت
- یقینا
- آزاد
- انفرادی
- بدنام
- معلومات
- عدم تحفظ
- نصب
- انٹیلی جنس
- اندرونی طور پر
- انٹرنیٹ
- میں
- IT
- میں
- خود
- نوکریاں
- صرف
- جان
- جانا جاتا ہے
- آخری
- پرت
- زندگی
- کی طرح
- رہتے ہیں
- لاگ ان
- دیکھو
- مشین
- میکر
- بنانا
- میلویئر
- مینڈیٹ
- بہت سے
- مئی..
- اقدامات
- میکانزم
- میڈیا
- محض
- پیغام
- پیغامات
- طریقوں
- MFA
- مائیکروسافٹ
- لاکھوں
- منیٹائز کریں
- زیادہ
- سب سے زیادہ
- منتقل
- بہت
- ملفیکٹور کی توثیق
- my
- نام
- ضرورت ہے
- ضروریات
- نیٹ ورک
- نہیں
- اطلاعات
- تعداد
- تعداد
- اکتوبر
- of
- بند
- on
- آن لائن
- صرف
- کام
- آپریٹنگ سسٹم
- اختیار
- or
- دیگر
- باہر
- پر
- حصہ
- پاس کلید
- ادائیگی
- پے پال
- کارکردگی
- اجازتیں
- رہتا ہے
- ذاتی
- فون
- فون کالز
- منصوبہ
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھلاڑی
- درپیش
- پوسٹ کیا گیا
- صدر
- خوبصورت
- شکار
- ترجیح
- نجی
- پیشہ ور ماہرین
- حفاظت
- محفوظ
- فراہم
- شائع
- سوال
- اٹھاتا ہے
- RE
- پڑھیں
- حقیقت
- وجہ
- وصول
- ریکارڈ
- کم
- کو کم کرنے
- نسبتا
- جاری
- ہٹا دیا گیا
- شہرت
- کی ضرورت
- ضرورت
- ریزورٹس
- لپیٹنا
- s
- محفوظ
- کہا
- اسی
- کا کہنا ہے کہ
- دھوکہ
- دوسری
- سیکورٹی
- حفاظتی اقدامات
- بھیجا
- سات
- سروسز
- قائم کرنے
- ہونا چاہئے
- شوز
- YES
- سادہ
- بعد
- SMS
- So
- سماجی
- معاشرتی انجینرنگ
- سوشل میڈیا
- سوشل نیٹ ورک
- کچھ
- شروع کریں
- شروع
- نے کہا
- بیان
- بھاپ
- مرحلہ
- ابھی تک
- ذخیرہ
- ذخیرہ
- موضوع
- اس طرح
- اعلی
- کے نظام
- سسٹمز
- لے لو
- ھدف بنائے گئے
- ھدف بندی
- ٹیسٹ
- متن
- سے
- کہ
- ۔
- مستقبل
- ان
- یہ
- اس
- ان
- خطرہ
- کے ذریعے
- وقت
- اوقات
- کرنے کے لئے
- ٹونی
- مکمل طور پر
- ٹروجن
- بھروسہ رکھو
- اپ ڈیٹ کریں
- اپ لوڈ کردہ
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- صارفین
- استعمال
- کا استعمال کرتے ہوئے
- کی افادیت
- قیمتی
- والو
- مختلف اقسام کے
- بالکل
- Ve
- ورژن
- بنام
- وائس
- نائب صدر
- وائرس
- vs
- چلنا
- چلنا
- تھا
- راستہ..
- we
- ہفتے
- اچھا ہے
- تھے
- جب
- جس
- جبکہ
- پوری
- کیوں
- بڑے پیمانے پر
- گے
- ساتھ
- کام کرتا ہے
- فکر مند
- تم
- زیفیرنیٹ