آسٹریلوی ٹیلی کمیونیکیشن کمپنی Optus مبینہ طور پر ایف بی آئی سے اس بات کی تحقیقات میں مدد حاصل کر رہی ہے کہ ایسا لگتا ہے کہ ایک آسانی سے روکا جا سکتا خلاف ورزی تھی جس نے تقریباً 10 ملین صارفین کے حساس ڈیٹا کو بے نقاب کیا۔
دریں اثنا، منگل کو اس خلاف ورزی کے پیچھے ظاہر ہیکر یا ہیکرز نے تاوان کی ادائیگی تک چوری شدہ ڈیٹا کے بیچز جاری کرنے کی دھمکی کے ساتھ 1 ملین ڈالر کے تاوان کا مطالبہ واپس لے لیا۔ دھمکی آمیز اداکار نے یہ بھی دعویٰ کیا کہ اس نے Optus سے چوری کیا گیا تمام ڈیٹا ڈیلیٹ کر دیا ہے۔ تاہم، دل کی بظاہر تبدیلی اس وقت آئی جب حملہ آور نے پہلے ہی 10,200 صارفین کے ریکارڈ کا نمونہ جاری کیا تھا، بظاہر ارادے کے ثبوت کے طور پر۔
دوسرے خیالات
حملہ آور کی جانب سے تاوان کا مطالبہ واپس لینے کی وجہ اور ڈیٹا لیک ہونے کا خطرہ ابھی تک واضح نہیں ہے۔ لیکن ایک ڈارک ویب فورم پر پوسٹ کردہ ایک بیان میں - اور databreaches.net پر دوبارہ پوسٹ کیا گیا۔ - مبینہ حملہ آور نے اعداد و شمار کو ایک وجہ کے طور پر دیکھتے ہوئے "بہت زیادہ آنکھیں" کی طرف اشارہ کیا۔ "ہم کسی کو ڈیٹا فروخت نہیں کریں گے،" نوٹ میں لکھا گیا ہے۔ "اگر ہم چاہیں تو بھی نہیں کر سکتے: ڈرائیو سے ذاتی طور پر حذف شدہ ڈیٹا (صرف کاپی)۔"
حملہ آور نے Optus اور 10,200 صارفین سے بھی معافی مانگی جن کا ڈیٹا لیک ہوا تھا: "آسٹریلیا کو دھوکہ دہی سے کوئی فائدہ نہیں ملے گا، اس کی نگرانی کی جا سکتی ہے۔ شاید 10,200 آسٹریلوی لیکن باقی آبادی کے لیے نمبر۔ آپ سے بہت معذرت۔"
معافی اور چوری شدہ ڈیٹا کو حذف کرنے کے حملہ آور کے دعووں سے حملے سے متعلق خدشات کو دور کرنے کا امکان نہیں ہے، جسے آسٹریلیا کی اب تک کی سب سے بڑی خلاف ورزی قرار دیا گیا ہے۔
آپٹیوس سب سے پہلے 21 ستمبر کو خلاف ورزی کا انکشاف کیا۔، اور اس کے بعد سے اپ ڈیٹس کی ایک سیریز میں اسے 2017 کے بعد سے کمپنی کے براڈ بینڈ، موبائل اور کاروباری صارفین کے موجودہ اور پچھلے صارفین کو متاثر کرنے کے طور پر بیان کیا ہے۔ کمپنی کے مطابق، خلاف ورزی میں ممکنہ طور پر صارفین کے نام، تاریخ پیدائش، فون نمبرز، ای میل ایڈریسز، اور صارفین کے ذیلی سیٹ کے لیے ان کے مکمل پتے، ڈرائیور کے لائسنس کی معلومات، یا پاسپورٹ نمبرز ظاہر ہو سکتے ہیں۔
مائیکروسکوپ کے تحت آپٹس سیکیورٹی پریکٹسز
اس خلاف ورزی نے بڑے پیمانے پر شناختی دھوکہ دہی کے خدشات کو جنم دیا ہے اور Optus کو دوسرے اقدامات کے علاوہ آسٹریلیا کی مختلف ریاستی حکومتوں کے ساتھ مل کر کمپنی کی قیمت پر متاثرہ افراد کے ڈرائیور کے لائسنس کی تفصیلات کو تبدیل کرنے کے امکانات پر تبادلہ خیال کرنے کی طرف دھکیل دیا ہے۔ "جب ہم رابطہ کریں گے، تو ہم آپ کے اکاؤنٹ میں کسی بھی متعلقہ متبادل لاگت کو پورا کرنے کے لیے کریڈٹ دیں گے۔ ہم یہ خود بخود کریں گے، لہذا آپ کو ہم سے رابطہ کرنے کی ضرورت نہیں ہے،" Optus نے صارفین کو آگاہ کیا۔ "اگر آپ ہماری طرف سے نہیں سنتے ہیں، تو اس کا مطلب ہے کہ آپ کے ڈرائیونگ لائسنس کو تبدیل کرنے کی ضرورت نہیں ہے۔"
ڈیٹا سمجھوتہ نے Optus سیکیورٹی کے طریقوں کو پوری طرح سے اسپاٹ لائٹ کے نیچے رکھا ہے خاص طور پر کیونکہ ایسا لگتا ہے کہ یہ ایک بنیادی غلطی کے نتیجے میں ہوا ہے۔ آسٹریلین براڈکاسٹنگ کارپوریشن (ABC) 22 ستمبر کو ایک نامعلوم "سینئر شخصیت کا حوالہ دیا۔Optus کے اندر یہ کہتے ہوئے کہ حملہ آور بنیادی طور پر ایک غیر تصدیق شدہ ایپلیکیشن پروگرامنگ انٹرفیس (API) کے ذریعے ڈیٹا بیس تک رسائی حاصل کرنے کے قابل تھا۔
اندرونی نے مبینہ طور پر اے بی سی کو بتایا کہ حملہ آور نے جس لائیو کسٹمر شناختی ڈیٹا بیس تک رسائی حاصل کی وہ ایک غیر محفوظ API کے ذریعے انٹرنیٹ سے منسلک تھا۔ مفروضہ یہ تھا کہ صرف مجاز Optus سسٹم API استعمال کریں گے۔ لیکن یہ کسی نہ کسی طرح ایک ٹیسٹ نیٹ ورک کے سامنے آ گیا، جو براہ راست انٹرنیٹ سے جڑا ہوا تھا، اے بی سی نے اندرونی کے حوالے سے بتایا۔
ABC اور دیگر میڈیا آؤٹ لیٹس نے Optus کی CEO Kelly Bayer Rosmarin کو اس بات پر اصرار کرتے ہوئے بیان کیا کہ کمپنی ایک نفیس حملے کا شکار تھی اور حملہ آور نے جس ڈیٹا تک رسائی کا دعویٰ کیا تھا اسے خفیہ کیا گیا تھا۔
اگر بے نقاب API کے بارے میں رپورٹ درست ہے تو، Optus ایک حفاظتی غلطی کا شکار تھا جو بہت سے دوسرے کرتے ہیں۔ سالٹ سیکیورٹی کے حل کے معمار، ایڈم فشر کہتے ہیں، "بروکن یوزر کی توثیق سب سے عام API کے خطرات میں سے ایک ہے۔" "حملہ آور پہلے انہیں تلاش کرتے ہیں کیونکہ غیر تصدیق شدہ APIs کی خلاف ورزی کرنے میں کوئی کسر اٹھا نہیں رہتی۔"
وہ کہتے ہیں کہ کھلے یا غیر تصدیق شدہ APIs اکثر بنیادی ڈھانچے کی ٹیم، یا اس ٹیم کا نتیجہ ہوتے ہیں جو تصدیق کا انتظام کرتی ہے، کسی چیز کی غلط تشکیل کرتی ہے۔ فشر کا کہنا ہے کہ "چونکہ ایک ایپلی کیشن کو چلانے میں ایک سے زیادہ ٹیمیں لگتی ہیں، اس لیے اکثر غلط بات چیت ہوتی ہے۔" وہ نوٹ کرتا ہے کہ غیر تصدیق شدہ APIs OWASP کی ٹاپ 10 API سیکیورٹی کمزوریوں کی فہرست میں دوسرے نمبر پر ہیں۔
اس سال کے شروع میں ایک Imperva-کمشنڈ رپورٹ نے امریکی کاروباروں کی نشاندہی کی ہے کہ ان کے درمیان خرچ ہو رہا ہے۔ API سے منسلک سمجھوتوں سے $12 بلین اور $23 بلین کا نقصان صرف 2022 میں۔ ایک اور سروے پر مبنی مطالعہ جو Cloudentity نے پچھلے سال کیا تھا۔ 44% جواب دہندگان نے کہا کہ ان کی تنظیم کو ڈیٹا لیک ہونے کا تجربہ ہوا ہے۔ اور API سیکورٹی لیپس سے پیدا ہونے والے دیگر مسائل۔
"خوف زدہ" حملہ آور؟
ایف بی آئی نے اپنے قومی پریس آفس ای میل ایڈریس کے ذریعے تبصرہ کے لیے ڈارک ریڈنگ کی درخواست کا فوری جواب نہیں دیا، لیکن گارڈین
اور دوسروں نے رپورٹ کیا کہ امریکی قانون نافذ کرنے والے ادارے کو تحقیقات میں مدد کے لیے بلایا گیا ہے۔ دی آسٹریلیائی فیڈرل پولیس، جو Optus کی خلاف ورزی کی تحقیقات کر رہی ہے، نے کہا کہ وہ اس کے ذمہ دار فرد یا گروہ کا پتہ لگانے کے لیے بیرون ملک قانون نافذ کرنے والے اداروں کے ساتھ مل کر کام کر رہا ہے۔
بگ باؤنٹی فرم بگ کراؤڈ کے بانی اور سی ٹی او کیسی ایلس کا کہنا ہے کہ آسٹریلوی حکومت، عوام اور قانون نافذ کرنے والے اداروں کی جانب سے خلاف ورزی کی شدید جانچ نے حملہ آور کو خوف زدہ کر دیا ہے۔ "اس قسم کے تعامل کا اتنا ہی شاندار ہونا کافی نایاب ہے جتنا کہ یہ رہا ہے،" وہ کہتے ہیں۔ "کسی ملک کی تقریباً نصف آبادی کے ساتھ سمجھوتہ کرنے سے بہت زیادہ شدید اور بہت طاقتور توجہ حاصل ہو گی، اور یہاں ملوث حملہ آوروں نے واضح طور پر اس کا اندازہ لگایا۔"
ان کے ردعمل سے پتہ چلتا ہے کہ دھمکی دینے والے اداکار بہت کم عمر ہیں اور مجرمانہ طرز عمل کے لیے بہت نئے ہیں، کم از کم اس پیمانے پر، وہ نوٹ کرتے ہیں۔
"واضح طور پر، آسٹریلوی حکومت نے اس خلاف ورزی کو بہت سنجیدگی سے لیا ہے اور وہ حملہ آور کا سختی سے پیچھا کر رہی ہے،" فشر نے مزید کہا۔ "ہو سکتا ہے کہ اس سخت ردعمل نے حملہ آور کو چوکس کر دیا ہو،" اور ممکنہ طور پر دوسرے خیالات کو جنم دیا۔ "تاہم، بدقسمتی سے، ڈیٹا پہلے ہی کھلے میں ہے۔ ایک بار جب کوئی کمپنی خود کو اس طرح کی خبروں میں پاتی ہے تو ہر ہیکر توجہ دیتا ہے۔
