GoTo ایک معروف برانڈ ہے جو ٹیلی کانفرنسنگ اور ویبینرز، ریموٹ رسائی، اور پاس ورڈ کے انتظام کے لیے ٹیکنالوجی سمیت مصنوعات کی ایک رینج کا مالک ہے۔
اگر آپ نے کبھی GoTo Webinar (آن لائن میٹنگز اور سیمینارز)، GoToMyPC (منیجمنٹ اور سپورٹ کے لیے کسی اور کے کمپیوٹر کو جوڑیں اور کنٹرول کریں) یا LastPass (ایک پاس ورڈ مینیجمنٹ سروس) استعمال کیا ہے، تو آپ نے GoTo اسٹیبل سے کوئی پروڈکٹ استعمال کیا ہے۔
آپ شاید 2022 کے کرسمس کی چھٹیوں کے موسم میں سائبر سیکیورٹی کی بڑی کہانی کو نہیں بھولے ہوں گے، جب LastPass نے اعتراف کیا۔ کہ اسے ایک ایسی خلاف ورزی کا سامنا کرنا پڑا جو اس سے کہیں زیادہ سنگین تھا جتنا اس نے پہلے سوچا تھا۔
کمپنی کے پہلی رپورٹ، اگست 2022 میں، کہ بدمعاشوں نے LastPass ڈویلپمنٹ نیٹ ورک میں وقفے کے بعد، ملکیتی سورس کوڈ چرا لیا تھا، لیکن کسٹمر ڈیٹا نہیں۔
لیکن اس سورس کوڈ ڈکیتی میں پکڑے گئے ڈیٹا میں حملہ آوروں کے لیے کافی معلومات شامل تھیں۔ اپ کی پیروی LastPass کلاؤڈ اسٹوریج سروس میں بریک ان کے ساتھ، جہاں کسٹمر کا ڈیٹا واقعی چوری ہو گیا تھا، ستم ظریفی یہ ہے کہ انکرپٹڈ پاس ورڈ والٹس بھی شامل ہیں۔
اب، بدقسمتی سے، یہ پیرنٹ کمپنی GoTo کی باری ہے۔ ایک خلاف ورزی کا اعتراف اس کا اپنا - اور اس میں ایک ترقیاتی نیٹ ورک کی بریک ان بھی شامل ہے۔
سیکیورٹی کا واقعہ
2022-11-30 کو، GoTo مطلع گاہکوں کہ اس کا سامنا کرنا پڑا "ایک سیکورٹی واقعہ"مندرجہ ذیل صورت حال کا خلاصہ:
آج تک کی تحقیقات کی بنیاد پر، ہم نے اپنے ترقیاتی ماحول اور تیسرے فریق کلاؤڈ اسٹوریج سروس میں غیر معمولی سرگرمی کا پتہ لگایا ہے۔ فریق ثالث کلاؤڈ سٹوریج سروس فی الحال GoTo اور اس سے ملحق، LastPass دونوں کے ذریعے مشترکہ ہے۔
یہ کہانی، اس وقت مختصراً بتائی گئی، دلچسپ انداز میں اس کہانی سے ملتی جلتی ہے جو اگست 2022 سے دسمبر 2022 تک LastPass پر سامنے آئی: ترقیاتی نیٹ ورک کی خلاف ورزی؛ کسٹمر اسٹوریج کی خلاف ورزی؛ تحقیقات جاری.
بہر حال، ہمیں یہ فرض کرنا ہوگا کہ بیان میں واضح طور پر نوٹ کیا گیا ہے کہ کلاؤڈ سروس LastPass اور GoTo کے درمیان مشترک تھی، جبکہ اس بات کا مطلب یہ ہے کہ یہاں ذکر کردہ ترقیاتی نیٹ ورک نہیں تھا، کہ LastPass کے ترقیاتی نظام میں یہ خلاف ورزی مہینوں پہلے شروع نہیں ہوئی تھی۔
تجویز ایسا لگتا ہے کہ، GoTo کی خلاف ورزی میں، ترقیاتی نیٹ ورک اور کلاؤڈ سروس کی مداخلت ایک ہی وقت میں ہوئی، گویا یہ ایک ہی وقفہ تھا جس نے فوراً دو اہداف حاصل کیے، LastPass منظر نامے کے برعکس، جہاں بادل کی خلاف ورزی ہوتی ہے۔ پہلے کے بعد کا نتیجہ تھا.
واقعہ کی تازہ کاری
دو ماہ بعد، GoTo کے پاس ہے۔ واپس آنا ایک اپ ڈیٹ کے ساتھ، اور خبر اچھی نہیں ہے:
[A] دھمکی آمیز اداکار نے درج ذیل پروڈکٹس سے متعلق تھرڈ پارٹی کلاؤڈ سٹوریج سروس سے انکرپٹڈ بیک اپس کو نکالا: Central, Pro, join.me, Hamachi, اور RemotelyAnywhere۔ ہمارے پاس اس بات کا بھی ثبوت ہے کہ دھمکی آمیز اداکار نے خفیہ کردہ بیک اپس کے ایک حصے کے لیے ایک انکرپشن کلید کو بڑھاوا دیا۔ متاثرہ معلومات، جو پروڈکٹ کے لحاظ سے مختلف ہوتی ہے، میں اکاؤنٹ کے صارف نام، نمکین اور ہیشڈ پاس ورڈز، ملٹی فیکٹر توثیق (MFA) کی ترتیبات کا ایک حصہ، نیز کچھ پروڈکٹ کی ترتیبات اور لائسنسنگ کی معلومات شامل ہو سکتی ہیں۔
کمپنی نے یہ بھی نوٹ کیا کہ اگرچہ کچھ ریسکیو اور GoToMyPC صارفین کے لیے MFA سیٹنگز چوری ہو گئی تھیں، لیکن ان کے انکرپٹڈ ڈیٹا بیس نہیں تھے۔
یہاں دو چیزیں مبہم طور پر واضح نہیں ہیں: اول، MFA سیٹنگز کو صارفین کے ایک سیٹ کے لیے خفیہ کیوں رکھا گیا تھا، لیکن دوسروں کے لیے نہیں۔ اور دوسری بات، "MFA سیٹنگز" کے الفاظ ویسے بھی کیا شامل ہیں؟
کئی ممکنہ اہم "MFA ترتیبات" ذہن میں آتی ہیں، بشمول ایک یا زیادہ:
- فون نمبر 2FA کوڈ بھیجنے کے لیے استعمال کیا جاتا ہے۔
- شروع کرنے والے بیج ایپ پر مبنی 2FA کوڈ کی ترتیب کے لیے۔
- ذخیرہ شدہ ریکوری کوڈز ہنگامی حالات میں استعمال کے لیے۔
سم بدلنا اور بیج شروع کرنا
واضح طور پر، لیک ہونے والے ٹیلی فون نمبر جو براہ راست 2FA کے عمل سے منسلک ہوتے ہیں، ان بدمعاشوں کے لیے آسان اہداف کی نمائندگی کرتے ہیں جو آپ کا صارف نام اور پاس ورڈ پہلے سے جانتے ہیں، لیکن وہ آپ کے 2FA تحفظ کو حاصل نہیں کر سکتے۔
اگر بدمعاشوں کو اس نمبر کے بارے میں یقین ہے جس پر آپ کے 2FA کوڈز بھیجے جا رہے ہیں، تو وہ کوشش کرنے کے لیے مائل ہو سکتے ہیں۔ سم تبادلہجہاں وہ موبائل فون کمپنی کے عملے کو "متبادل" سم کارڈ جاری کرنے کے لیے دھوکہ دیتے ہیں یا رشوت دیتے ہیں جس پر آپ کا نمبر تفویض ہوتا ہے۔
اگر ایسا ہوتا ہے، تو نہ صرف وہ اپنے فون پر آپ کے اکاؤنٹ کے لیے اگلا 2FA کوڈ وصول کریں گے، بلکہ آپ کا فون بند ہو جائے گا (کیونکہ ایک نمبر ایک وقت میں صرف ایک سم کو تفویض کیا جا سکتا ہے)، اس لیے امکان ہے کہ آپ کسی بھی سم کو کھو دیں گے۔ انتباہات یا بتانے والی باتیں جو شاید آپ کو حملے میں ملوث کر سکتی ہوں۔
ایپ پر مبنی 2FA کوڈ جنریٹرز کے لیے شروع کرنے والے بیج حملہ آوروں کے لیے اور بھی زیادہ کارآمد ہیں، کیونکہ یہ صرف بیج ہی ہے جو آپ کے فون پر ظاہر ہونے والے نمبر کی ترتیب کا تعین کرتا ہے۔
وہ جادوئی چھ ہندسوں والے نمبر (وہ لمبے ہو سکتے ہیں، لیکن چھ معمول کے مطابق ہیں) موجودہ یونکس-ایپوک ٹائم کو ہیش کر کے شمار کیے جاتے ہیں، جو کہ بیج کی قدر کا استعمال کرتے ہوئے، حالیہ 30 سیکنڈ کی ونڈو کے آغاز تک گول کر دیا جاتا ہے، عام طور پر تصادفی طور پر۔ -ایک خفیہ کلید کے طور پر، 160 بٹ (20 بائٹ) نمبر کا انتخاب کیا۔
کوئی بھی شخص جس کے پاس موبائل فون یا GPS ریسیور ہے وہ چند ملی سیکنڈز کے اندر موجودہ وقت کا معتبر طریقے سے تعین کر سکتا ہے، قریب ترین 30 سیکنڈ تک چھوڑ دیں، اس لیے ابتدائی بیج صرف ایک بدمعاش اور آپ کے اپنے ذاتی کوڈ سٹریم کے درمیان کھڑا ہے۔
اسی طرح، ذخیرہ شدہ ریکوری کوڈز (زیادہ تر سروسز آپ کو ایک وقت میں صرف چند درست رکھنے دیتی ہیں، عام طور پر پانچ یا دس، لیکن ایک کافی ہو سکتا ہے) بھی تقریباً یقینی طور پر آپ کے 2FA دفاع سے حملہ آور ہونے والے ہیں۔
بلاشبہ، ہم اس بات کا یقین نہیں کر سکتے کہ اس میں سے کوئی بھی ڈیٹا ان گمشدہ "MFA ترتیبات" میں شامل تھا جسے بدمعاشوں نے چرایا تھا، لیکن ہماری خواہش ہے کہ اس خلاف ورزی کے اس حصے میں کیا ملوث تھا اس کے بارے میں GoTo مزید سامنے آتا۔
کتنا نمکین اور کھینچنا؟
ایک اور تفصیل جس کا ہم آپ کو مشورہ دیتے ہیں کہ اگر آپ کبھی بھی اس طرح کے ڈیٹا کی خلاف ورزی میں پکڑے گئے ہیں تو اس میں شامل کریں بالکل وہی ہے کہ کوئی نمکین اور ہیشڈ پاس ورڈ حقیقت میں کیسے بنائے گئے تھے۔
اس سے آپ کے صارفین کو یہ فیصلہ کرنے میں مدد ملے گی کہ انہیں پاس ورڈ کی تمام ناگزیر تبدیلیوں کو کتنی جلدی حاصل کرنے کی ضرورت ہے، کیونکہ ہیش اور نمک کے عمل کی طاقت (زیادہ واضح طور پر، ہم امید کرتے ہیں کہ، نمک ہیش اور اسٹریچ عمل) اس بات کا تعین کرتا ہے کہ حملہ آور چوری شدہ ڈیٹا سے آپ کے پاس ورڈز پر کتنی جلدی کام کر سکتے ہیں۔
تکنیکی طور پر، ہیشڈ پاس ورڈز کو عام طور پر کسی بھی قسم کی کرپٹوگرافک چالوں سے کریک نہیں کیا جاتا ہے جو ہیش کو "الٹ" دیتا ہے۔ اچھے طریقے سے منتخب کردہ ہیشنگ الگورتھم کو اس کے ان پٹ کے بارے میں کچھ ظاہر کرنے کے لیے پیچھے کی طرف نہیں چلایا جا سکتا۔ عملی طور پر، حملہ آور ممکنہ پاس ورڈز کی ایک بڑی لمبی فہرست آزماتے ہیں، جس کا مقصد سامنے آنے والے ممکنہ پاس ورڈز کو آزمانا ہوتا ہے (مثلاً pa55word
)، اگلے اعتدال پسند کو منتخب کرنے کے لیے (مثال کے طور پر strAT0spher1C
)، اور جب تک ممکن ہو کم سے کم امکان چھوڑنا (مثال کے طور پر 44y3VL7C5%TJCF-KGJP3qLL5
)۔ پاس ورڈ ہیشنگ سسٹم کا انتخاب کرتے وقت، اپنا ایجاد نہ کریں۔ PBKDF2، bcrypt، scrypt اور Argon2 جیسے معروف الگورتھم کو دیکھیں۔ پیرامیٹرز کو نمکین کرنے اور پھیلانے کے لیے الگورتھم کی اپنی ہدایات پر عمل کریں جو پاس ورڈ کی فہرست کے حملوں کے خلاف اچھی لچک فراہم کرتے ہیں۔ سے مشورہ کریں۔ سنگین تحفظ ماہر مشورہ کے لئے اوپر مضمون.
کیا کیا جائے؟
GoTo نے اعتراف کیا ہے کہ بدمعاشوں کے پاس کم از کم دو ماہ قبل نومبر 2022 کے آخر سے کم از کم کچھ صارفین کے اکاؤنٹ کے نام، پاس ورڈ ہیشز اور "MFA سیٹنگز" کا ایک نامعلوم سیٹ موجود ہے۔
اس بات کا امکان بھی موجود ہے، اس کے باوجود کہ یہ ایک مکمل طور پر نئی خلاف ورزی تھی، کہ یہ حملہ اگست 2022 میں اصل LastPass مداخلت کی طرف واپس جانے کا ایک عام سابقہ ثابت ہو سکتا ہے، تاکہ حملہ آور اس نیٹ ورک میں شامل ہوں۔ اس حالیہ خلاف ورزی کا نوٹیفکیشن شائع ہونے سے دو ماہ سے بھی زیادہ عرصہ پہلے۔
لہذا، ہم تجویز کرتے ہیں:
- اپنی کمپنی کے تمام پاس ورڈز کو تبدیل کریں جو اوپر درج خدمات سے متعلق ہیں۔ اگر آپ اس سے پہلے پاس ورڈ کے خطرات مول لے رہے تھے، جیسے کہ مختصر اور قابل قیاس الفاظ کا انتخاب، یا اکاؤنٹس کے درمیان پاس ورڈ شیئر کرنا، تو ایسا کرنا بند کر دیں۔
- کسی بھی ایپ پر مبنی 2FA کوڈ کی ترتیب کو دوبارہ ترتیب دیں جو آپ اپنے اکاؤنٹس پر استعمال کر رہے ہیں۔ ایسا کرنے کا مطلب یہ ہے کہ اگر آپ کا کوئی 2FA بیج چوری ہو گیا ہے تو وہ بدمعاشوں کے لیے بیکار ہو جائے گا۔
- نئے بیک اپ کوڈز دوبارہ بنائیں، اگر آپ کے پاس کوئی ہے۔ پہلے سے جاری کردہ کوڈز کو ایک ہی وقت میں خود بخود باطل کر دیا جانا چاہیے۔
- اگر آپ کر سکتے ہیں تو ایپ پر مبنی 2FA کوڈز پر سوئچ کرنے پر غور کریں، فرض کریں کہ آپ فی الحال ٹیکسٹ میسج (SMS) کی توثیق کا استعمال کر رہے ہیں۔ کوڈ پر مبنی 2FA ترتیب کو دوبارہ سیڈ کرنا، اگر ضرورت ہو تو، نیا فون نمبر حاصل کرنے کے مقابلے میں آسان ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- قابلیت
- ہمارے بارے میں
- اوپر
- مطلق
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹس
- سرگرمی
- اصل میں
- اعتراف کیا
- مشورہ
- ملحق
- کے خلاف
- مقصد
- یلگورتم
- یلگوردمز
- تمام
- اکیلے
- پہلے ہی
- اگرچہ
- اور
- مضمون
- تفویض
- مفروضہ
- حملہ
- حملے
- اگست
- کی توثیق
- مصنف
- آٹو
- خود کار طریقے سے
- واپس
- پس منظر کی تصویر
- بیک اپ
- بیک اپ
- کی بنیاد پر
- کیونکہ
- بن
- اس سے پہلے
- کیا جا رہا ہے
- کے درمیان
- بگ
- سرحد
- پایان
- برانڈ
- خلاف ورزی
- مختصر
- کارڈ
- پکڑے
- سینٹر
- مرکزی
- کچھ
- یقینی طور پر
- تبدیلیاں
- منتخب کریں
- کرسمس
- کلوز
- بادل
- بادل سٹوریج
- کوڈ
- رنگ
- کس طرح
- کامن
- کمپنی کے
- کمپیوٹر
- رابطہ قائم کریں
- کنٹرول
- کورس
- احاطہ
- پھٹے
- بنائی
- cryptographic
- موجودہ
- اس وقت
- گاہک
- کسٹمر کا ڈیٹا
- گاہکوں
- سائبر سیکیورٹی
- اعداد و شمار
- ڈیٹا کی خلاف ورزی
- ڈیٹا بیس
- تاریخ
- مردہ
- دسمبر
- کے باوجود
- تفصیل
- پتہ چلا
- اس بات کا تعین
- یہ تعین
- ترقی
- براہ راست
- دکھائیں
- کر
- نہیں
- نیچے
- اس سے قبل
- آسان
- ورنہ
- خفیہ کردہ
- خفیہ کاری
- کافی
- مکمل
- ماحولیات
- بھی
- کبھی نہیں
- ثبوت
- بالکل
- ماہر
- چند
- پہلا
- پر عمل کریں
- کے بعد
- مندرجہ ذیل ہے
- آئندہ
- سے
- سامنے
- عام طور پر
- پیدا
- جنریٹر
- حاصل
- دی
- Go
- جا
- اچھا
- کے پاس جاؤ
- GPS
- عظیم
- ہدایات
- موبائل
- ہوا
- ہوتا ہے
- ہیش
- ہیشڈ
- ہیشنگ
- اونچائی
- مدد
- یہاں
- چھٹیوں
- امید ہے کہ
- ہور
- کس طرح
- HTTPS
- بھاری
- اہم
- in
- مائل
- شامل
- شامل
- سمیت
- معلومات
- ان پٹ
- تحقیقات
- ملوث
- ستم ظریفی یہ ہے کہ
- جاری
- IT
- میں شامل
- جج
- رکھیں
- کلیدی
- جان
- LastPass
- چھوڑ دو
- لائسنسنگ
- امکان
- منسلک
- لسٹ
- فہرست
- لانگ
- اب
- دیکھو
- ماجک
- بنا
- انتظام
- مارجن
- زیادہ سے زیادہ چوڑائی
- کا مطلب ہے کہ
- اجلاسوں میں
- ذکر کیا
- پیغام
- MFA
- شاید
- برا
- لاپتہ
- موبائل
- موبائل فون
- ماہ
- زیادہ
- سب سے زیادہ
- نام
- ضرورت ہے
- نیٹ ورک
- نئی
- خبر
- اگلے
- عام
- کا کہنا
- نوٹس
- نوٹیفیکیشن
- نومبر
- تعداد
- تعداد
- ایک
- جاری
- آن لائن
- آن لائن ملاقاتیں
- اصل
- دیگر
- دوسری صورت میں
- خود
- مالک ہے
- پیرامیٹرز
- بنیادی کمپنی
- حصہ
- پاس ورڈ
- پاس ورڈ کا انتظام
- پاس ورڈز
- گزشتہ
- پال
- پی بی کے ڈی ایف 2۔
- ذاتی
- فون
- لینے
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوزیشن
- امکان
- ممکن
- مراسلات
- پریکٹس
- ٹھیک ہے
- فی
- شاید
- عمل
- مصنوعات
- حاصل
- ملکیت
- تحفظ
- فراہم
- شائع
- جلدی سے
- رینج
- وصول
- حال ہی میں
- سفارش
- وصولی
- متعلقہ
- ریموٹ
- دور دراز تک رسائی
- کی نمائندگی
- بچانے
- لچک
- ظاہر
- خطرات
- رن
- اسی
- سکریپٹ
- موسم
- سیکنڈ
- سیکورٹی
- بیج
- بیج
- لگتا ہے
- بھیجنا
- تسلسل
- سنگین
- سروس
- سروسز
- مقرر
- ترتیبات
- مشترکہ
- اشتراک
- مختصر
- ہونا چاہئے
- YES
- سم کارڈ
- اسی طرح
- صرف
- بعد
- ایک
- صورتحال
- چھ
- SMS
- So
- ٹھوس
- کچھ
- کسی
- ماخذ
- ماخذ کوڈ
- مستحکم
- شروع کریں
- شروع
- بیان
- چرا لیا
- چوری
- بند کرو
- ذخیرہ
- ذخیرہ
- کہانی
- سٹریم
- طاقت
- اس طرح
- حمایت
- SVG
- سوپ
- کے نظام
- لینے
- اہداف
- ٹیکنالوجی
- دس
- ۔
- ان
- بات
- چیزیں
- تیسری پارٹی
- سوچا
- خطرہ
- کے ذریعے
- وقت
- کرنے کے لئے
- مل کر
- سب سے اوپر
- ٹی او ٹی پی
- منتقلی
- شفاف
- ٹرن
- تبدیل کر دیا
- عام طور پر
- اپ ڈیٹ کریں
- URL
- استعمال کی شرائط
- قیمت
- والٹس
- webinar
- Webinars
- اچھی طرح سے جانا جاتا ہے
- کیا
- جس
- جبکہ
- ڈبلیو
- گے
- کے اندر
- الفاظ
- کام
- مشقت
- تم
- اور
- زیفیرنیٹ