Optus کی خلاف ورزی - Aussie telco نے بتایا کہ اسے IDs کو تبدیل کرنے کے لیے ادائیگی کرنا ہوگی۔

آسٹریلوی ٹیلکو آپٹس میں گزشتہ ہفتے سائبر مداخلت، جس کے تقریباً 10 ملین صارفین ہیں، نے ملک کی حکومت کو اس بات پر برہم کر دیا ہے کہ خلاف ورزی کرنے والی کمپنی کو چوری شدہ ID کی تفصیلات سے کیسے نمٹنا چاہیے۔

ڈارکویب اسکرین شاٹس ایک زیر زمین کے ساتھ، حملے کے بعد تیزی سے منظر عام پر آیا بریچ فورمز کے سادہ بولنے والے نام سے جانے والا صارف optusdata ڈیٹا کی دو قسطیں پیش کرتے ہوئے، یہ الزام لگاتے ہوئے کہ ان کے پاس دو ڈیٹا بیس تھے:

  11,200,000 صارف کے ریکارڈ جن میں نام، تاریخ پیدائش، موبائل نمبر اور ID 4,232,652 ریکارڈز شامل تھے جن میں کسی قسم کی شناختی دستاویز نمبر 3,664,598 IDs کے ڈرائیونگ لائسنس سے تھے 10,000,000 ایڈریس کے ریکارڈ کے ساتھ ای میل، تاریخ پیدائش، ID اور مزید 3,817,197، ID نمبر 3,238,014، XNUMX دستاویز تھے۔ آئی ڈیز ڈرائیونگ لائسنسوں سے تھیں۔

بیچنے والے نے لکھا، "اگر آپ پڑھ رہے ہیں تو آپٹس! ہمارے لیے ڈیٹا فروخت نہ کرنے کی قیمت 1,000,000 امریکی ڈالر ہے! ہم آپ کو فیصلہ کرنے کے لیے 1 ہفتہ دیتے ہیں۔

بیچنے والے نے کہا کہ باقاعدہ خریداروں کے پاس جاب لاٹ کے طور پر $300,000 کا ڈیٹا بیس ہوسکتا ہے، اگر Optus نے ہفتے کے اندر اپنی $1m "خصوصی رسائی" کی پیشکش قبول نہیں کی۔

بیچنے والے نے کہا کہ وہ Monero کی شکل میں ادائیگی کی توقع رکھتے ہیں، ایک مقبول کریپٹو کرنسی جس کا پتہ لگانا Bitcoin سے زیادہ مشکل ہے۔

Monero لین دین ہیں ایک ساتھ ملا ہوا ادائیگی کے پروٹوکول کے حصے کے طور پر، Monero ماحولیاتی نظام کو اپنے طور پر ایک قسم کے کرپٹو کوائن ٹمبلر یا گمنام بنانے والا۔

کیا ہوا؟

اعداد و شمار کی خلاف ورزی بظاہر اس پر سیکیورٹی کی کمی تھی جسے جرگون میں ایک کے طور پر جانا جاتا ہے۔ API کا اختتام نقطہ. (API کے لیے مختصر ہے۔ ایپلیکیشن پروگرامنگ انٹرفیس، کسی ایپ کے ایک حصے کے لیے، یا ایپس کے مجموعے کے لیے، کسی قسم کی خدمت کی درخواست کرنے، یا دوسرے سے ڈیٹا بازیافت کرنے کا ایک پہلے سے طے شدہ طریقہ۔)

ویب پر، API کے اختتامی پوائنٹس عام طور پر مخصوص URLs کی شکل اختیار کرتے ہیں جو مخصوص رویے کو متحرک کرتے ہیں، یا صرف ویب صفحہ کو پیش کرنے کے بجائے، درخواست کردہ ڈیٹا واپس کرتے ہیں۔

مثال کے طور پر، یو آر ایل کی طرح https://www.example.com/about HTML فارم میں ایک جامد ویب صفحہ کو صرف فیڈ بیک کر سکتا ہے، جیسے:

  
    
       
About this site
       
This site is just an example, as the URL implies.
    
   

براؤزر کے ساتھ یو آر ایل کو دیکھنے کے نتیجے میں ایک ویب صفحہ ہوگا جو آپ کی توقع کے مطابق نظر آئے گا:

لیکن ایک URL جیسے https://api.example.com/userdata?id=23de­6731­e9a7 مخصوص صارف کے لیے مخصوص ڈیٹا بیس کا ریکارڈ واپس کر سکتا ہے، گویا آپ نے سی پروگرام میں فنکشن کال ان خطوط پر کی ہے:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

یہ فرض کرتے ہوئے کہ درخواست کردہ صارف ID ڈیٹا بیس میں موجود ہے، HTTP درخواست کے ذریعے مساوی فنکشن کو اختتامی نقطہ پر کال کرنے سے JSON فارمیٹ میں جواب مل سکتا ہے، اس طرح:

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

اس قسم کے API میں، آپ شاید سائبرسیکیوریٹی کے متعدد احتیاطی تدابیر کی توقع کریں گے، جیسے:

• توثیق ہر ویب درخواست میں HTTP ہیڈر شامل کرنے کی ضرورت ہو سکتی ہے جس میں ایک بے ترتیب (ناقابل اندازہ) سیشن کوکی کی وضاحت کی گئی ہو جو کسی ایسے صارف کو جاری کی گئی ہو جس نے حال ہی میں اپنی شناخت ثابت کی ہو، مثال کے طور پر صارف نام، پاس ورڈ اور 2FA کوڈ کے ساتھ۔ اس قسم کی سیشن کوکی، عام طور پر صرف ایک محدود وقت کے لیے درست ہوتی ہے، بعد میں پہلے سے تصدیق شدہ صارف کے ذریعے کی جانے والی تلاش کی درخواستوں کے لیے ایک عارضی رسائی پاس کے طور پر کام کرتی ہے۔ لہذا غیر تصدیق شدہ یا نامعلوم صارفین کی API کی درخواستیں فوری طور پر مسترد کی جا سکتی ہیں۔
• رسائی کی پابندیاں۔ ڈیٹا بیس کی تلاش کے لیے جو ذاتی طور پر قابل شناخت ڈیٹا (PII) جیسے کہ شناختی نمبر، گھر کے پتے یا ادائیگی کارڈ کی تفصیلات حاصل کر سکتے ہیں، API اینڈ پوائنٹ کی درخواستوں کو قبول کرنے والا سرور براہ راست انٹرنیٹ سے آنے والی درخواستوں کو فلٹر کرنے کے لیے نیٹ ورک کی سطح کا تحفظ نافذ کر سکتا ہے۔ اس لیے حملہ آور کو پہلے اندرونی سرور سے سمجھوتہ کرنے کی ضرورت ہوگی، اور وہ انٹرنیٹ پر براہ راست ڈیٹا کی چھان بین نہیں کر سکے گا۔
• ڈیٹا بیس شناخت کنندگان کا اندازہ لگانا مشکل ہے۔ اگرچہ غیر واضح کے ذریعے سیکیورٹی (جسے "وہ کبھی اندازہ نہیں لگائیں گے" کے نام سے بھی جانا جاتا ہے) سائبرسیکیوریٹی کے لیے ایک ناقص بنیادی بنیاد ہے، بدمعاشوں کے لیے چیزوں کو آسان بنانے کا کوئی فائدہ نہیں ہے۔ اگر آپ کا اپنا یوزر آئی ڈی ہے۔ 00000145اور آپ جانتے ہیں کہ ایک دوست جس نے آپ کے ملنے کے فوراً بعد سائن اپ کیا تھا۔ 00000148، پھر یہ ایک اچھا اندازہ ہے کہ درست userid اقدار شروع ہوتی ہیں۔ 00000001 اور وہاں سے اوپر جاؤ. تصادفی طور پر تیار کردہ اقدار ان حملہ آوروں کے لیے مشکل بنا دیتی ہیں جنہوں نے پہلے ہی آپ کے رسائی کنٹرول میں ایک لوپ ڈھونڈ لیا ہے تاکہ ایک لوپ کو چلایا جا سکے جو ممکنہ یوزرائڈز کو بازیافت کرنے کی بار بار کوشش کرتا ہے۔
• شرح کو محدود کرنا۔ اسی طرح کی درخواستوں کی کوئی بھی تکراری ترتیب aa ممکنہ IoC استعمال کی جا سکتی ہے، یا سمجھوتہ کا اشارہ. سائبر کرائمین جو 11,000,000 ڈیٹا بیس آئٹمز کو ڈاؤن لوڈ کرنا چاہتے ہیں عام طور پر پورے کام کو کرنے کے لیے ایک ہی IP نمبر والے ایک کمپیوٹر کا استعمال نہیں کرتے ہیں، لہذا بلک ڈاؤن لوڈ حملے ہمیشہ روایتی نیٹ ورک کے بہاؤ سے فوری طور پر واضح نہیں ہوتے ہیں۔ لیکن وہ اکثر سرگرمی کے پیٹرن اور شرحیں پیدا کریں گے جو صرف اس سے میل نہیں کھاتے ہیں جو آپ حقیقی زندگی میں دیکھنے کی توقع کرتے ہیں۔

بظاہر، آپٹس حملے کے دوران ان میں سے کچھ یا کوئی بھی تحفظات موجود نہیں تھے، خاص طور پر پہلا سمیت…

…مطلب یہ ہے کہ حملہ آور PII تک رسائی حاصل کرنے میں کامیاب ہو گیا تھا اور اسے خود کو شناخت کرنے کی ضرورت نہیں تھی، اس میں داخل ہونے کے لیے کسی جائز صارف کا لاگ ان کوڈ یا توثیق کی کوکی چوری کرنے کو چھوڑ دیں۔

کسی نہ کسی طرح، ایسا لگتا ہے کہ، حساس ڈیٹا تک رسائی کے ساتھ ایک API اینڈ پوائنٹ بڑے پیمانے پر انٹرنیٹ پر کھول دیا گیا تھا، جہاں اسے ایک سائبر کرائمین نے دریافت کیا تھا اور ایسی معلومات نکالنے کے لیے اس کا غلط استعمال کیا گیا تھا جو کسی قسم کی سائبر سیکیورٹی پورٹکلس کے پیچھے ہونی چاہیے تھی۔

اس کے علاوہ، اگر حملہ آور کے دو ڈیٹا بیس سے کل 20,000,000 سے زیادہ ڈیٹا بیس ریکارڈز کو بازیافت کرنے کے دعوے پر یقین کیا جائے، تو ہم یہ فرض کر رہے ہیں کہ Optus userid کوڈز کی آسانی سے گنتی کی گئی یا اندازہ لگایا گیا، اور [b] کہ "ڈیٹا بیس تک رسائی غیر معمولی سطح تک نہیں پہنچی" انتباہات ختم ہوگئے۔

بدقسمتی سے، Optus اس بارے میں بہت واضح نہیں ہے کہ کس طرح حملہ سامنے آیا، صرف یہ کہتے ہوئے:

سوال یہ کیسے ہوا؟

A. Optus ایک سائبر حملے کا شکار تھا۔ […]

سوال کیا حملہ روک دیا گیا ہے؟

A. ہاں۔ یہ دریافت کرنے پر، Optus نے فوری طور پر حملہ بند کر دیا۔

دوسرے لفظوں میں، ایسا لگتا ہے کہ "حملے کو بند کرنا" میں مزید دخل اندازی کے خلاف خامی کو بند کرنا شامل ہے (مثلاً غیر مستند API اینڈ پوائنٹ تک رسائی کو روک کر) بجائے اس کے کہ صرف ایک محدود تعداد میں ریکارڈز چوری ہونے کے بعد ابتدائی حملے کو روکا جائے۔ .

ہمیں شبہ ہے کہ اگر Optus کو حملے کا پتہ چل جاتا جبکہ یہ ابھی جاری تھا، تو کمپنی اپنے اکثر پوچھے گئے سوالات میں بتا دیتی کہ بدمعاش اپنی رسائی کو بند کرنے سے پہلے کس حد تک پہنچ چکے تھے۔

کیا اگلا؟

ان صارفین کے بارے میں کیا خیال ہے جن کے پاسپورٹ یا ڈرائیونگ لائسنس نمبر سامنے آئے تھے؟

دستاویز کی مزید مکمل تفصیلات (جیسے کہ ہائی ریزولوشن اسکین یا سرٹیفائیڈ کاپی) کے بجائے کسی ID دستاویز نمبر کے لیک ہونے سے ڈیٹا کی خلاف ورزی کا شکار ہونے والے کو کتنا خطرہ لاحق ہوتا ہے؟

ان دنوں ہم ان کو کتنی وسیع پیمانے پر اور کثرت سے شیئر کرتے ہیں، ہمیں صرف شناختی نمبروں کو کتنی اہمیت دینی چاہیے؟

آسٹریلوی حکومت کے مطابق یہ خطرہ کافی اہم ہے کہ خلاف ورزی کے متاثرین کو متاثرہ دستاویزات کو تبدیل کرنے کا مشورہ دیا جا رہا ہے۔

اور ممکنہ طور پر لاکھوں متاثرہ صارفین کے ساتھ، صرف دستاویز کی تجدید کے چارجز لاکھوں ڈالر تک پہنچ سکتے ہیں، اور ملک کے ڈرائیونگ لائسنسوں کے ایک اہم تناسب کو منسوخ کرنے اور دوبارہ جاری کرنے کی ضرورت پڑ سکتی ہے۔

ہمارا اندازہ ہے کہ تقریباً 16 ملین سے زیادہ آسٹریلیا کے پاس لائسنس ہیں، اور وہ اپنے پاسپورٹ لے جانے کے بجائے آسٹریلیا کے اندر ID کے طور پر استعمال کرنے پر مائل ہیں۔ لہذا، اگر optusdata بریچفورم کا پوسٹر سچ کہہ رہا تھا، اور تقریباً 4 ملین لائسنس نمبرز چوری ہو گئے تھے، تمام آسٹریلوی لائسنسوں میں سے تقریباً 25 فیصد کو تبدیل کرنے کی ضرورت پڑ سکتی ہے۔ ہم نہیں جانتے کہ یہ اصل میں آسٹریلیائی ڈرائیونگ لائسنسوں کے معاملے میں کتنا مفید ہو سکتا ہے، جو انفرادی ریاستوں اور خطوں کے ذریعے جاری کیے جاتے ہیں۔ مثال کے طور پر، UK میں، آپ کا ڈرائیونگ لائسنس نمبر بالکل واضح طور پر آپ کے نام اور تاریخ پیدائش سے الگورتھم سے اخذ کیا گیا ہے، جس میں بہت معمولی مقدار میں تبدیلی اور صرف چند بے ترتیب حروف داخل کیے گئے ہیں۔ لہذا ایک نئے لائسنس کو ایک نیا نمبر ملتا ہے جو پچھلے ایک سے بہت ملتا جلتا ہے۔

وہ لوگ جن کے پاس لائسنس نہیں ہے، یا ایسے زائرین جنہوں نے غیر ملکی پاسپورٹ کی بنیاد پر Optus سے سم کارڈ خریدے ہیں، انہیں اس کے بجائے اپنے پاسپورٹ تبدیل کرنے کی ضرورت ہوگی - آسٹریلیا کے پاسپورٹ کی تبدیلی کی قیمت AU$193 کے قریب ہے، برطانیہ کا پاسپورٹ £75 سے £85 ہے، اور امریکی تجدید $130 سے ​​$160 ہے۔

(انتظار کے اوقات کا بھی سوال ہے: آسٹریلیا فی الحال مشورہ دیتا ہے کہ پاسپورٹ کو تبدیل کرنے میں کم از کم 6 ہفتے لگیں گے [2022-09-28T13:50Z]، اور یہ خلاف ورزی سے متعلق کارروائی کی وجہ سے اچانک اضافے کے بغیر ہے؛ برطانیہ میں، موجودہ بیک لاگ، ہز میجسٹی کی حکومت اس وقت درخواست دہندگان سے کہہ رہی ہے کہ پاسپورٹ کی تجدید کے لیے 10 ہفتوں کی اجازت دیں۔)

اخراجات کون اٹھاتا ہے؟

بلاشبہ، اگر تمام ممکنہ طور پر سمجھوتہ شدہ IDs کو تبدیل کرنا ضروری سمجھا جاتا ہے، تو سوالیہ نشان یہ ہے کہ، "کون ادا کرے گا؟"

آسٹریلوی وزیر اعظم، انتھونی البانی کے مطابق، اس میں کوئی شک نہیں کہ پاسپورٹ بدلنے کے لیے رقم کہاں سے آنی چاہیے:

اس دوپہر @albomp نے پارلیمنٹ کو Optus سیکورٹی کی خلاف ورزی پر ایک اہم اپ ڈیٹ دیا۔

ہم نہ صرف خلاف ورزی سے متاثر ہونے والوں کے لیے متبادل پاسپورٹ کے لیے Optus کی ادائیگی کا مطالبہ کر رہے ہیں، بلکہ ہم پرائیویسی ایکٹ کے جائزے کے ذریعے اپنے رازداری کے قوانین کو مضبوط بنانے کے لیے بھی پرعزم ہیں۔ pic.twitter.com/JyoRJxyM3p

— Clare O'Neil MP (@ClareONEilMP) ستمبر 28، 2022

ڈرائیونگ لائسنس کو تبدیل کرنے کے بارے میں وفاقی مقننہ کی طرف سے کوئی لفظ نہیں ہے، یہ معاملہ ریاستی اور علاقائی حکومتوں کے زیر انتظام ہے…

…اور اس بارے میں کوئی لفظ نہیں کہ آیا "تمام دستاویزات کو تبدیل کریں" ایک معمول کا ردعمل بن جائے گا جب بھی شناختی دستاویز میں شامل کسی خلاف ورزی کی اطلاع دی جائے گی، ایسی چیز جو عوامی خدمات کو آسانی سے دلدل میں ڈال سکتی ہے، بشرطیکہ لائسنس اور پاسپورٹ ہر ایک کے 10 سال تک رہنے کی توقع کی جاتی ہے۔

اس جگہ کو دیکھیں - یہ دلچسپ ہونے کے لیے سیٹ لگ رہا ہے!

---