کی طرف سے قیادت انوراگ سین، سیفٹی ڈیٹیکٹوز سائبرسیکیوریٹی ٹیم نے امریکی ادائیگی سافٹ ویئر فراہم کرنے والے ٹرانزیکٹ کیمپس کو متاثر کرنے والے ڈیٹا کی نمائش کی نشاندہی کی۔
کمپنی کی ویب سائٹ کے مطابق، ٹرانزیکٹ کیمپس کی ٹیکنالوجی اعلیٰ تعلیمی اداروں میں طلباء کی خریداری کو طاقت دینے کے لیے متعدد ادائیگی کے افعال کو ایک ہی موبائل پلیٹ فارم میں ضم کرتی ہے۔
Transact Campus سے متعلق ڈیٹا پر مشتمل Elasticsearch سرور کو بغیر کسی پاس ورڈ کے تحفظ کے غیر محفوظ چھوڑ دیا گیا تھا، اور اس وجہ سے 1 ملین سے زیادہ طلباء کے ریکارڈ کو بے نقاب کیا گیا ہے۔
ٹرانزیکٹ کیمپس کون ہے؟
ٹرانزیکٹ کیمپس امریکی اعلیٰ تعلیمی اداروں کو کیمپس ادائیگیوں کی ٹیکنالوجی فروخت کرتا ہے جو موبائل ادائیگیوں اور صارف کی شناخت ("کیمپس آئی ڈی" کے ساتھ) طلباء کے لیے ایک ہی ایپ میں ضم کرتا ہے۔
طلباء اپنے منفرد ذاتی اکاؤنٹ ("کیمپس ID") کے ساتھ ٹیوشن فیس اور سائٹ پر موجود دیگر مراعات پر بغیر نقد ادائیگی کر سکتے ہیں، بشمول ایونٹ کے ٹکٹس اور کنسیشن اسٹینڈز، وینڈنگ مشینوں، اور فریق ثالث فروشوں کی مصنوعات۔
کیمپس IDs کا استعمال طالب علم کو کیمپس کے مختلف فنکشنز، جیسے پرنٹر تک رسائی، دروازے تک رسائی، ایونٹ تک رسائی، اور کلاس میں حاضری کی نگرانی کے لیے اجازت دینے کے لیے بھی کیا جا سکتا ہے۔
ٹرانزیکٹ کیمپس کا صدر دفتر فینکس، ایریزونا میں ہے۔ جب سے کمپنی 1984 میں قائم ہوئی تھی، ٹرانزیکٹ کیمپس نے 12 کلائنٹ اداروں میں 1,300 ملین طلباء کی خدمت کی ہے، جس سے $45 بلین مالیت کے لین دین کی سہولت فراہم کی گئی ہے۔ ٹرانزیکٹ کیمپس اس وقت تقریباً 400 افراد کو ملازمت دیتا ہے اور اس کی تخمینہ سالانہ آمدنی US$100 ملین ہے۔
بے نقاب کیا تھا؟
کھلے Elasticsearch سرور نے 1 ملین سے زیادہ ریکارڈز کو بے نقاب کیا، جس میں کل 5 GB سے زیادہ ڈیٹا ہے۔ سرور کو قابل رسائی چھوڑ دیا گیا تھا اور اس کا ڈیٹا غیر خفیہ تھا۔
Elasticsearch کے لاگز میں مختلف کالجوں کا ڈیٹا موجود تھا جو Transact Campus کی خدمات استعمال کرتے ہیں۔ یہ ڈیٹا ان بے نقاب اداروں کے طلباء کا ہے۔
اوپن سرور پر طالب علم PII کی کئی شکلیں سامنے آئیں، بشمول:
- مکمل نام
- ای میل ایڈریس
- فون نمبر
- سادہ متن میں لاگ ان اسنادسمیت صارف نام اور پاس ورڈ
- لین دین کی تفصیلات، بشمول رقم اور خریداری کا وقت
- کریڈٹ کارڈ کی تفصیلات (نامکمل)سمیت 6 پہلے ہندسے (BIN*) اور کریڈٹ کارڈ نمبرز کے آخری 4 ہندسے، میعاد ختم ہونے کی تاریخیں، اور بینک کی تفصیلات
- کھانے کے منصوبے خریدے۔ اور کھانے کا منصوبہ بیلنس
*نوٹ: بینک شناختی نمبر (BIN) ادائیگی کارڈ نمبر کے پہلے چھ ہندسے ہوتے ہیں۔ یہ نمبر کارڈ جاری کرنے والے کی شناخت کرتے ہیں۔
SafetyDetectives cybersecurity ٹیم کو ایک مخصوص پورٹ پر IP پتوں کی جانچ کے دوران کھلا Elasticsearch سرور ملا۔ دریافت کے وقت سرور لائیو تھا اور اپ ڈیٹ کیا جا رہا تھا۔
آپ مندرجہ ذیل اسکرین شاٹس میں سرور لاگز کے ثبوت دیکھ سکتے ہیں جنہوں نے طلباء کے ڈیٹا کو بے نقاب کیا۔
ڈیٹا کی نمائش ان طلباء کو متاثر کرتی ہے جو ٹرانزیکٹ کیمپس اکاؤنٹ ہولڈر ہیں۔ خاندان بھی متاثر ہو سکتے ہیں۔ مثال کے طور پر، والدین کی ادائیگی کی تفصیلات سامنے آسکتی ہیں اگر وہ طالب علم کی ٹیوشن فیس کو فنڈ دیتے ہیں یا ٹرانزیکٹ کیمپس اکاؤنٹ کے ذریعے طالب علم کی مالی مدد کرتے ہیں۔ بے نقاب کالجوں میں سے کسی ایک کے اکاؤنٹ سے منسلک اکاؤنٹ اور/یا ادائیگی کی تفصیلات والا کوئی بھی شخص متاثر ہو سکتا ہے۔
یہ جاننا ناممکن ہے کہ اس واقعے میں کتنے لوگ بے نقاب ہوئے۔ تاہم، سرور پر ظاہر ہونے والے ای میل پتوں اور فون نمبروں کا حجم بتاتا ہے کہ ایک اندازے کے مطابق 30,000-40,000 طلباء متاثر ہوئے ہیں۔
ٹرانزیکٹ کیمپس امریکی اعلیٰ تعلیمی اداروں کے ساتھ معاملات کرتا ہے اور اس طرح، بے نقاب Elasticsearch بنیادی طور پر امریکی شہریوں کو متاثر کرتا ہے۔
آپ نیچے دیے گئے جدول میں اس ڈیٹا کی نمائش کی مکمل خرابی دیکھ سکتے ہیں۔
بے نقاب ریکارڈز کی تعداد | 1 ملین سے زائد |
متاثرہ صارفین کی تعداد | 30,000-40,000 لوگ (مؤثر اندازے کے مطابق) |
نمائش کا سائز | تقریباً 5 جی بی |
سرور کا مقام | ریاست ہائے متحدہ امریکہ |
کمپنی کا مقام | فینکس، ایریزونا، ریاستہائے متحدہ |
ہم نے 6 دسمبر 2021 کو اوپن سرور دریافت کیا، اور اس کے بعد 8 دسمبر 2021 کو ٹرانزیکٹ کیمپس تک پہنچ گئے۔
ہم نے 9 اور 14 دسمبر 2021 کو ٹرانزیکٹ کیمپس کے ساتھ اپنے ابتدائی رابطے کی پیروی کی، لیکن جواب موصول نہیں ہوا۔ ہم نے 9 جنوری 2022 کو US-CERT کو ای میل کیا، اور 13 جنوری 2022 کو کچھ اہم رابطوں کو فالو اپ پیغامات بھیجے — Transact Campus نے اسی دن جواب دیا۔ 14 جنوری 2022 کو، ہم نے ذمہ داری سے ٹرانسیکٹ کیمپس میں لیک ہونے کا انکشاف کیا اور 16 جنوری 2022 کو ڈیٹا کی خلاف ورزی کو محفوظ کر لیا گیا۔
Transact Campus نے بعد میں ہمارے پیغامات کا جواب دیا، اور ہمیں بتایا کہ Elasticsearch سرور ان کے کنٹرول میں نہیں تھا:
"بظاہر یہ ایک تیسرے فریق کے ذریعہ ڈیمو کے لئے ترتیب دیا گیا تھا اور اسے کبھی نہیں ہٹایا گیا تھا۔ ہم نے تصدیق کی کہ ڈیٹا سیٹ جعلی ڈیٹا سیٹ سے بھرا ہوا تھا اور کوئی پروڈکشن ڈیٹا استعمال نہیں کر رہا تھا۔
نوٹ: ہم نے کھلی Elasticsearch پر صارفین کا نمونہ چیک کیا اور ایسا لگتا ہے کہ یہ ڈیٹا حقیقی لوگوں کا ہے۔
فاؤنڈری کا بیان:
"اس واقعے نے ٹرانزیکٹ پر کسی بھی نظام کو متاثر نہیں کیا؛ یہ ایک سنگل فاؤنڈری گیٹ وے سرور سے الگ تھلگ تھا۔ ممکنہ نمائش ایک فریق ثالث سیکیورٹی کمپنی کے ذریعہ دریافت کی گئی جو کمزور Elasticsearch کلسٹرز کے لیے فعال طور پر اسکین کرتی ہے۔ بجائے ٹیسٹ کے اعداد و شمار کے جیسا کہ ارادہ کیا گیا ہے Elasticsearch سرور نے پروڈکشن لاگز میں کھینچ لیا جس میں 700 سے کم طلباء کے واضح ٹیکسٹ یوزر نیم اور پاس ورڈ موجود تھے جنہوں نے 10 اکتوبر 2021 اور 14 جنوری 2022 کے درمیان کھانے کی منصوبہ بندی اکاؤنٹ تک رسائی کے لیے اندراج کرنے کی کوشش کی۔ صرف اندراج کی کوششیں لاگ ان ہوئیں۔ وہ ٹائم فریم ان اکاؤنٹس کے لیے ہے جو متاثر ہوئے تھے۔"
لین دین سے بیان:
"اس کے علاوہ کوئی بھی پروڈکشن لاگز تک رسائی حاصل کرنے والا صرف صارف نام اور واضح ٹیکسٹ پاس ورڈ کا استعمال کرتے ہوئے Transact پلیٹ فارم پر لین دین میں مشغول نہیں ہو سکتا تھا۔ ٹرانزیکٹ نے احتیاط کی کثرت سے پاس ورڈ تبدیل کرنے پر مجبور کیا۔ SafetyDetectives کی طرف سے نوٹس موصول ہونے کے بعد ٹرانزیکٹ بھی ایک اہم مستعد کوشش میں مصروف ہے۔ ٹرانزیکٹ کلائنٹ اور طالب علم کے ڈیٹا اور اس ڈیٹا کو جمع کرنے، اس پر کارروائی کرنے اور برقرار رکھنے والے سسٹمز کی حفاظت انتہائی اہمیت کی حامل ہے۔ لہذا، سسٹمز، ایپلیکیشنز اور سروسز کی سیکیورٹی میں ممکنہ خطرات کو دور کرنے کے لیے کنٹرولز اور حفاظتی اقدامات شامل ہیں۔ ٹرانزیکٹ کے معلوماتی تحفظ اور رازداری کے اقدامات ڈیٹا اور سسٹمز تک غیر مجاز رسائی، تبدیلی، انکشاف یا تباہی سے بچانے کے لیے لاگو کیے جاتے ہیں۔ ٹرانزیکٹ اپنے کلائنٹس کے لیے اعلیٰ ترین سطح کی سیکیورٹی فراہم کرنے کے لیے پرعزم ہے اور موجودہ صورتحال اور اس کے سسٹمز کی سیکیورٹی کو درپیش دیگر ممکنہ خطرات کی نگرانی کرتا رہے گا۔
ڈیٹا کی نمائش کا اثر
ہم یہ نہیں جان سکتے اور نہیں جانتے کہ کیا نقصان دہ اداکاروں نے ڈیٹا بیس تک رسائی حاصل کی جب کہ یہ غیر محفوظ تھا۔ اگر برے اداکاروں نے سرور کا ڈیٹا پڑھا یا ڈاؤن لوڈ کیا ہے تو سرور کا مواد بے نقاب طلباء کو سائبر کرائمز کے خطرے میں ڈال سکتا ہے۔
سپیم مارکیٹنگ، فشنگ حملے، اور گھوٹالے ٹرانزیکٹ کیمپس کے صارفین کے لیے رابطے کی تفصیلات، مکمل ناموں اور دیگر حساس تفصیلات کے ساتھ ممکن ہے۔ حملہ آور بہت سارے لیک شدہ ای میل پتوں کے ساتھ اسپام مارکیٹنگ مہم چلا سکتے ہیں، ہزاروں لوگوں کو فریب دہی کے پیغامات، مالویئر، اور گھوٹالے بھیج سکتے ہیں۔
ایک فشنگ حملے میں، ایک سائبر کرائمین ایک قابل اعتماد فرد (جیسے کالج کے ملازم) کے طور پر نقاب پوش کر سکتا ہے تاکہ طلباء کو ذاتی ڈیٹا کی اضافی شکلیں، جیسے کہ کریڈٹ کارڈ کے پیچھے CVV نمبر فراہم کرنے پر راضی کر سکے۔ فشرز کسی طالب علم کو نقصان دہ لنک پر کلک کرنے کے لیے بھی قائل کر سکتے ہیں۔ ایک بار کلک کرنے کے بعد، بدنیتی پر مبنی لنکس متاثرہ کے آلے پر مالویئر ڈاؤن لوڈ کر سکتے ہیں، جو ڈیٹا اکٹھا کرنے اور سائبر کرائم کی دیگر اقسام کی تکمیل کر سکتے ہیں۔
اگر سائبر کرائمینز سرور تک رسائی حاصل کرتے ہیں تو بے نقاب طلباء کو بھی گھوٹالوں کا نشانہ بنایا جا سکتا ہے۔ ایک گھوٹالے میں، ایک سائبر کرائمین شکار کو دھوکہ دہی سے رقم ادا کرنے کی کوشش کرتا ہے۔ فشنگ حملوں کی طرح، سائبر جرائم پیشہ افراد کو نشانہ بنانے کے لیے بے نقاب ڈیٹا کی دوسری شکلیں استعمال کر سکتے ہیں۔ مثال کے طور پر، ایک سائبر کرائمین ایک بے نقاب طالب علم کو براہ راست حملہ آور کو بقایا ٹیوشن فیس ادا کرنے پر راضی کر سکتا ہے۔
بے نقاب اکاؤنٹ کی اسناد سادہ متن میں محفوظ کیا گیا تھا اور یہ متاثرہ طلباء کے لیے مزید خطرات پیش کرتا ہے۔ اگر کسی بھی ہیکر نے سرور تک رسائی حاصل کی، تو وہ آسانی سے غیر خفیہ کردہ صارف نام اور پاس ورڈ پڑھ سکتے تھے۔ سائبر کرائمین اس معلومات کے ساتھ طلباء کے اکاؤنٹس تک رسائی حاصل کر سکتا ہے، اور وہ ممکنہ طور پر تفصیلات میں ردوبدل کر سکتا ہے اور فیس کی ادائیگی کے بغیر بڑے چارجز وصول کرنے کی دھمکی دے سکتا ہے۔
ڈیٹا کی نمائش کو روکنا
ہم اپنے ڈیٹا کی حفاظت اور سائبر کرائم کے خطرے کو کم کرنے کے لیے کیا کر سکتے ہیں؟
ڈیٹا کی نمائش کو روکنے کے لیے چند تجاویز یہ ہیں:
- اپنی ذاتی معلومات کسی کمپنی، تنظیم یا شخص کو فراہم نہ کریں جب تک کہ آپ کو اس ادارے پر 100% بھروسہ نہ ہو۔
- صرف ان ویب سائٹس کو دیکھیں جن کا ڈومین نام محفوظ ہے (شروع میں "https" اور/یا بند لاک علامت والے ڈومینز)۔
- ڈیٹا کی اپنی انتہائی حساس شکلیں فراہم کرتے وقت زیادہ محتاط رہیں، جیسے کہ آپ کا سوشل سیکیورٹی نمبر۔
- راک سے ٹھوس پاس ورڈ بنائیں جس میں حروف، اعداد اور علامتوں کا مرکب ہو۔ اپنے پاس ورڈز کو باقاعدگی سے اپ ڈیٹ کریں۔
- آن لائن کسی لنک پر کلک نہ کریں جب تک کہ آپ کو مکمل یقین نہ ہو کہ یہ کسی جائز ذریعہ سے ہے۔ لنکس ای میلز، پیغامات، یا فشنگ ویب سائٹس پر ہوسکتے ہیں جو جائز ڈومینز کے طور پر چھپے ہوئے ہیں۔
- سوشل میڈیا پر اپنی پرائیویسی سیٹنگز میں ترمیم کریں تاکہ آپ کا مواد اور معلومات صرف دوستوں اور قابل اعتماد صارفین کو دکھائی دیں۔
- جب آپ عوامی یا غیر محفوظ وائی فائی نیٹ ورک استعمال کر رہے ہوں تو انتہائی حساس ڈیٹا (جیسے کریڈٹ کارڈ نمبر یا پاس ورڈ) کو ظاہر کرنے یا ٹائپ کرنے سے گریز کریں۔
- سائبر کرائم کے خطرات، ڈیٹا کے تحفظ کی اہمیت، اور ان طریقوں کے بارے میں خود کو آگاہ کریں جو آپ کے فشنگ حملوں اور مالویئر کا شکار ہونے کے امکانات کو کم کرتے ہیں۔
ہمارے متعلق
SafetyDetectives.com دنیا کی سب سے بڑی اینٹی وائرس ریویو ویب سائٹ ہے۔
سیفٹی ڈیٹیکٹیوز ریسرچ لیب ایک بونیو سروس ہے جس کا مقصد آن لائن کمیونٹی کو سائبر خطرات کے خلاف اپنے دفاع میں مدد کرنا ہے جبکہ تنظیموں کو اپنے صارفین کے ڈیٹا کی حفاظت کے بارے میں تعلیم دینا ہے۔ ہمارے ویب میپنگ پروجیکٹ کا بنیادی مقصد انٹرنیٹ کو تمام صارفین کے لیے محفوظ جگہ بنانے میں مدد کرنا ہے۔
ہماری پچھلی رپورٹس نے متعدد ہائی پروفائل خطرات اور ڈیٹا لیکس کو سامنے لایا ہے، بشمول 2.6 ملین صارفین امریکی سماجی تجزیاتی پلیٹ فارم IGBlade, اس کے ساتھ ساتھ a میں خلاف ورزی برازیلین مارکیٹ پلیس انٹیگریٹر پلیٹ فارم Hariexpress.com.br جس نے 610 جی بی سے زیادہ ڈیٹا لیک کیا۔
پچھلے 3 سالوں میں SafetyDetectives سائبر سیکیورٹی رپورٹنگ کے مکمل جائزے کے لیے، پیروی کریں سیفٹی ڈیٹیکٹیو سائبر سیکیورٹی ٹیم.
- "
- 000
- 10
- 2021
- 2022
- a
- ہمارے بارے میں
- کثرت
- تک رسائی حاصل
- قابل رسائی
- تک رسائی حاصل
- اکاؤنٹ
- ایڈیشنل
- پتے
- پر اثر انداز
- کو متاثر
- ملحق
- کے خلاف
- تمام
- رقم
- تجزیاتی
- سالانہ
- ینٹیوائرس
- کسی
- اپلی کیشن
- ایپلی کیشنز
- ایریزونا
- ارد گرد
- حاضری
- توازن
- بینک
- شروع
- کیا جا رہا ہے
- نیچے
- کے درمیان
- ارب
- خلاف ورزی
- خرابی
- مہمات
- کیمپس
- کارڈ
- ہوشیار
- کیشلیس
- مشکلات
- تبدیل
- بوجھ
- جانچ پڑتال
- طبقے
- کلائنٹس
- بند
- جمع
- مجموعہ
- کالج
- انجام دیا
- کمیونٹی
- کمپنی کے
- کمپنی کی
- مکمل طور پر
- سلوک
- رابطہ کریں
- مواد
- جاری
- کنٹرول
- کنٹرول
- سکتا ہے
- اسناد
- کریڈٹ
- کریڈٹ کارڈ
- کریڈٹ کارڈ
- اہم
- موجودہ
- اس وقت
- سائبر
- سائبر جرائم
- cybercriminals
- سائبر سیکیورٹی
- اعداد و شمار
- ڈیٹا کی خلاف ورزی
- ڈیٹا کے تحفظ
- ڈیٹا سیٹ
- ڈیٹا بیس
- تواریخ
- دن
- ڈیلز
- تفصیلات
- آلہ
- DID
- ہندسے
- محتاج
- براہ راست
- دریافت
- دریافت
- ڈومین
- ڈومین نام
- ڈومینز
- نیچے
- ڈاؤن لوڈ، اتارنا
- آسانی سے
- کی تعلیم
- تعلیم
- کوشش
- ای میل
- ملازمت کرتا ہے
- مشغول
- ہستی
- تخمینہ
- اندازے کے مطابق
- واقعہ
- بالکل
- مثال کے طور پر
- ظاہر
- جعلی
- خاندانوں
- فیس
- پہلا
- پر عمل کریں
- کے بعد
- فارم
- ملا
- قائم
- سے
- مکمل
- افعال
- فنڈ
- مزید
- گیٹ وے
- ہیکر
- ہیڈکوارٹر
- مدد
- اعلی
- اعلی تعلیم
- انتہائی
- ہولڈرز
- کس طرح
- کیسے
- تاہم
- HTTPS
- شناخت
- شناخت
- عملدرآمد
- اہمیت
- ناممکن
- شامل
- سمیت
- انفرادی
- معلومات
- انفارمیشن سیکورٹی
- اداروں
- انٹرنیٹ
- IP
- آئی پی پتے
- IT
- خود
- جنوری
- کلیدی
- جان
- لیب
- سب سے بڑا
- لیک
- لیک
- سطح
- روشنی
- LINK
- لنکس
- رہتے ہیں
- مشینیں
- برقرار رکھنے کے
- بنا
- میلویئر
- تعریفیں
- مارکیٹنگ
- بازار
- بہانا
- اقدامات
- میڈیا
- طریقوں
- دس لاکھ
- موبائل
- موبائل کی ادائیگی
- قیمت
- کی نگرانی
- نگرانی
- زیادہ
- سب سے زیادہ
- ایک سے زیادہ
- نام
- نیٹ ورک
- تعداد
- تعداد
- آفسیٹ
- آن لائن
- کھول
- تنظیم
- تنظیمیں
- دیگر
- ادا
- خاص طور پر
- پارٹی
- پاس ورڈ
- پاس ورڈز
- ادا
- ادائیگی
- ادائیگی کارڈ
- ادائیگی
- لوگ
- انسان
- ذاتی
- ذاتی مواد
- فشنگ
- فشنگ اٹیک
- فشنگ حملوں
- فونکس
- پلیٹ فارم
- ممکن
- ممکنہ
- طاقت
- پچھلا
- کی رازداری
- فی
- عمل
- عمل
- پیداوار
- حاصل
- منصوبے
- حفاظت
- تحفظ
- فراہم
- فراہم کنندہ
- فراہم کرنے
- عوامی
- خریداریوں
- مقصد
- وصول
- ریکارڈ
- کو کم
- رجسٹر
- رجسٹریشن
- رپورٹیں
- تحقیق
- آمدنی
- کا جائزہ لینے کے
- رسک
- خطرات
- محفوظ
- اسی
- دھوکہ
- گھوٹالے
- محفوظ بنانے
- محفوظ
- سیکورٹی
- سروس
- سروسز
- مقرر
- کئی
- اہم
- بعد
- ایک
- چھ
- بڑا
- So
- سماجی
- سوشل میڈیا
- سافٹ ویئر کی
- کچھ
- سپیم سے
- کھڑا ہے
- کارگر
- طالب علم
- بعد میں
- حمایت
- سسٹمز
- ہدف
- ھدف بنائے گئے
- ٹیم
- ٹیکنالوجی
- ٹیسٹ
- ۔
- لہذا
- تیسری پارٹی
- ہزاروں
- خطرات
- کے ذریعے
- ٹکٹ
- وقت
- ٹائم فریم
- تجاویز
- ٹرانزیکشن
- معاملات
- بھروسہ رکھو
- کے تحت
- منفرد
- متحدہ
- غیر محفوظ
- اپ ڈیٹ کریں
- us
- US 100 $ ملین
- استعمال کی شرائط
- صارفین
- مختلف
- دکانداروں
- نظر
- حجم
- نقصان دہ
- قابل اطلاق
- بٹوے
- ویب
- ویب سائٹ
- ویب سائٹ
- چاہے
- جبکہ
- ڈبلیو
- وائی فائی
- کے اندر
- بغیر
- دنیا کی
- قابل
- گا
- سال
- اور