"+400 ملین منفرد صارفین" کا ٹویٹر ڈیٹا فروخت کے لیے ہے - کیا کرنا ہے؟

کی ایڑیوں پر گرم لاسٹ پاس ڈیٹا کی خلاف ورزی کی کہانی، جو اگست 2022 میں پہلی بار منظر عام پر آیا تھا ، ٹویٹر کی خلاف ورزی کی خبر آتی ہے ، بظاہر ایک ٹویٹر بگ پر مبنی ہے جس نے پہلی بار اسی مہینے میں سرخیاں بنائیں۔

اسکرین شاٹ کے مطابق پوسٹ کیا گیا نیوز سائٹ بلیپنگ کمپیوٹر کے ذریعہ، ایک سائبر کرائمین نے اشتہار دیا ہے:

میں +400 ملین منفرد ٹویٹر صارفین کا ڈیٹا فروخت کر رہا ہوں جو ایک کمزوری کے ذریعے ختم کر دیا گیا تھا، یہ ڈیٹا مکمل طور پر نجی ہے۔

اور اس میں مشہور شخصیات، سیاست دانوں، کمپنیوں، عام صارفین، اور بہت سارے OG اور خصوصی صارف ناموں کے ای میلز اور فون نمبر شامل ہیں۔

OG، اگر آپ سوشل میڈیا اکاؤنٹس کے تناظر میں اس اصطلاح سے واقف نہیں ہیں، تو مختصر ہے اصل گینگسٹا۔.,

کسی بھی سوشل میڈیا اکاؤنٹ یا آن لائن شناخت کنندہ کے لیے اتنے مختصر اور فنکی نام کے ساتھ یہ ایک استعارہ ہے (یہ مرکزی دھارے میں شامل ہو گیا ہے، جس کے لیے یہ کچھ حد تک ناگوار ہے) کہ اسے جلد ہی ختم کر دیا گیا ہو گا، جب اس سے متعلق سروس بالکل نئی تھی۔ اور hoi polloi ابھی تک شامل ہونے کے لیے نہیں آیا تھا۔

بٹ کوائن بلاک 0 کے لیے پرائیویٹ کلید ہونا، نام نہاد جینیسس بلاک (کیونکہ یہ تخلیق کیا گیا تھا، کان کنی نہیں کی گئی)، شاید سائبر لینڈ میں سب سے زیادہ OG چیز ہوگی۔ ٹویٹر ہینڈل کا مالک ہونا جیسے @jack یا کوئی بھی مختصر، معروف نام یا جملہ، اتنا اچھا نہیں ہے، لیکن یقینی طور پر مطلوب اور ممکنہ طور پر کافی قیمتی ہے۔

فروخت کے لیے کیا ہے؟

LastPass کی خلاف ورزی کے برعکس، پاس ورڈ سے متعلق کوئی ڈیٹا نہیں، آپ جو ویب سائٹ استعمال کرتے ہیں ان کی فہرستیں یا گھر کے پتے اس وقت خطرے میں دکھائی دیتے ہیں۔

اگرچہ اس ڈیٹا کی فروخت کے پیچھے بدمعاشوں نے لکھا کہ معلومات "ای میلز اور فون نمبرز پر مشتمل ہے"، ایسا لگتا ہے کہ ڈمپ میں یہ واحد واقعی نجی ڈیٹا ہے، اس لیے کہ ایسا لگتا ہے کہ اسے 2021 میں واپس حاصل کیا گیا تھا، خطرے کا سامنا ٹویٹر کا کہنا ہے کہ یہ جنوری 2022 میں ٹھیک ہو گیا تھا۔

یہ خامی ٹویٹر API (درخواست پروگرامنگ انٹرفیس, "مخصوص ڈیٹا تک رسائی حاصل کرنے یا مخصوص حکموں کو انجام دینے کے لیے دور دراز کے سوالات کرنے کا ایک آفیشل، منظم طریقہ") کے لیے لفظ جو آپ کو ایک ای میل پتہ یا فون نمبر تلاش کرنے، اور جواب واپس حاصل کرنے کی اجازت دیتا ہے جس سے نہ صرف یہ ظاہر ہوتا ہے کہ آیا یہ تھا استعمال میں، بلکہ، اگر یہ تھا، تو اس کے ساتھ منسلک اکاؤنٹ کا ہینڈل۔

اس طرح کی غلطی کا فوری طور پر واضح خطرہ یہ ہے کہ ایک اسٹاکر، کسی کے فون نمبر یا ای میل ایڈریس سے لیس - ڈیٹا پوائنٹس جو اکثر جان بوجھ کر عام کیے جاتے ہیں - ممکنہ طور پر اس فرد کو دوبارہ گمنام ٹویٹر ہینڈل سے جوڑ سکتا ہے، اس کا نتیجہ یقینی طور پر ممکن نہیں تھا.

اگرچہ اس خامی کو جنوری 2022 میں ٹھیک کیا گیا تھا، ٹویٹر نے صرف اگست 2022 میں عوامی طور پر اس کا اعلان کیا، یہ دعویٰ کیا کہ ابتدائی بگ رپورٹ اس کے بگ باؤنٹی سسٹم کے ذریعے پیش کردہ ایک ذمہ دارانہ انکشاف تھا۔

اس کا مطلب ہے (یہ فرض کرتے ہوئے کہ باؤنٹی شکاری جنہوں نے اسے جمع کرایا وہ واقعی سب سے پہلے اسے تلاش کرنے والے تھے، اور انہوں نے کبھی کسی اور کو نہیں بتایا) کہ اسے صفر دن کے طور پر نہیں سمجھا جاتا ہے، اور اس طرح اس کو پیچ کرنے سے اس خطرے کو فعال طور پر روکا جائے گا۔ استحصال کیا جا رہا ہے.

2022 کے وسط میں، تاہم، ٹویٹر معلوم ہوا ورنہ:

جولائی 2022 میں، [Twitter] کو ایک پریس رپورٹ کے ذریعے معلوم ہوا کہ کسی نے ممکنہ طور پر اس کا فائدہ اٹھایا ہے اور وہ اپنی مرتب کردہ معلومات کو فروخت کرنے کی پیشکش کر رہا ہے۔ فروخت کے لیے دستیاب ڈیٹا کے نمونے کا جائزہ لینے کے بعد، ہم نے تصدیق کی کہ ایک برے اداکار نے مسئلے کو حل کرنے سے پہلے اس کا فائدہ اٹھایا تھا۔

ایک وسیع پیمانے پر استحصال شدہ بگ

ٹھیک ہے، اب ایسا لگتا ہے کہ اس مسئلے کا پہلے سے زیادہ وسیع پیمانے پر استحصال کیا گیا ہو گا، اگر واقعی موجودہ ڈیٹا بیچنے والے بدمعاش 400 ملین سے زیادہ سکریپ شدہ ٹویٹر ہینڈلز تک رسائی کے بارے میں سچ کہہ رہے ہیں۔

جیسا کہ آپ تصور کر سکتے ہیں، ایک کمزوری جو مجرموں کو مخصوص افراد کے معلوم فون نمبرز کو مذموم مقاصد کے لیے تلاش کرنے دیتی ہے، جیسے کہ ہراساں کرنا یا تعاقب کرنا، ممکنہ طور پر حملہ آوروں کو نامعلوم فون نمبرز تلاش کرنے کی اجازت دیتا ہے، شاید صرف وسیع لیکن ممکنہ فہرستیں بنا کر۔ استعمال میں جانے والی تعداد کی حدود کی بنیاد پر، چاہے وہ نمبرز حقیقت میں کبھی جاری کیے گئے ہوں یا نہیں۔

آپ شاید کسی ایسے API کی توقع کریں گے جیسے کہ مبینہ طور پر کسی قسم کو شامل کرنے کے لیے یہاں استعمال کیا گیا تھا۔ شرح محدود، مثال کے طور پر کسی بھی مقررہ مدت میں ایک کمپیوٹر سے استفسارات کی تعداد کو کم کرنا ہے، تاکہ API کے معقول استعمال میں رکاوٹ نہ آئے، لیکن ضرورت سے زیادہ اور اس وجہ سے ممکنہ طور پر بدسلوکی کے استعمال کو روکا جائے گا۔

تاہم، اس مفروضے کے ساتھ دو مسائل ہیں۔

سب سے پہلے، API کو ان معلومات کو ظاہر نہیں کرنا چاہیے تھا جو اس نے پہلی جگہ کی تھی۔

اس لیے یہ سوچنا مناسب ہے کہ شرح کو محدود کرنا، اگر واقعی کوئی ہوتا، تو درست طریقے سے کام نہیں کرتا، کیونکہ حملہ آوروں کو پہلے ہی ڈیٹا تک رسائی کا ایک راستہ مل گیا تھا جس کی ٹھیک طرح سے جانچ نہیں کی جا رہی تھی۔

دوم، بوٹ نیٹ تک رسائی والے حملہ آور، یا زومبی نیٹ ورک, میلویئر سے متاثرہ کمپیوٹرز کے ہزاروں، شاید لاکھوں، دوسرے لوگوں کے معصوم نظر آنے والے کمپیوٹرز، جو پوری دنیا میں پھیلے ہوئے ہیں، اپنا گندا کام کرنے کے لیے استعمال کر سکتے تھے۔

اس سے انہیں بیچوں میں ڈیٹا اکٹھا کرنے کا موقع ملے گا، اس طرح بہت سے مختلف کمپیوٹرز سے ہر ایک کی معمولی تعداد میں درخواستیں کر کے، ہر ایک کی ضرورت سے زیادہ تعداد میں کمپیوٹرز رکھنے کی بجائے، کسی بھی شرح کو محدود کر کے

بدمعاشوں نے کیا پکڑا؟

خلاصہ طور پر: ہم نہیں جانتے کہ ان "+400 ملین" ٹویٹر ہینڈلز میں سے کتنے ہیں:

• حقیقی طور پر استعمال میں۔ ہم فرض کر سکتے ہیں کہ فہرست میں بہت سارے بند اکاؤنٹس ہیں، اور شاید ایسے اکاؤنٹس جو کبھی موجود بھی نہیں تھے، لیکن سائبر کرائمینلز کے غیر قانونی سروے میں غلطی سے شامل کیے گئے تھے۔ (جب آپ ڈیٹا بیس میں غیر مجاز راستہ استعمال کر رہے ہیں، تو آپ کبھی بھی اس بات کا یقین نہیں کر سکتے کہ آپ کے نتائج کتنے درست ہوں گے، یا آپ کتنے قابل اعتماد طریقے سے پتہ لگا سکتے ہیں کہ تلاش ناکام ہو گئی ہے۔)
• پہلے سے ہی عوامی طور پر ای میلز اور فون نمبرز سے منسلک نہیں ہیں۔ کچھ ٹویٹر صارفین، خاص طور پر وہ لوگ جو اپنی خدمات یا اپنے کاروبار کو فروغ دیتے ہیں، خوشی سے دوسرے لوگوں کو اپنے ای میل ایڈریس، فون نمبر اور ٹویٹر ہینڈل کو جوڑنے کی اجازت دیتے ہیں۔
• غیر فعال اکاؤنٹس۔ اس سے ان ٹویٹر ہینڈلز کو ای میلز اور فون نمبرز کے ساتھ جوڑنے کا خطرہ ختم نہیں ہوتا، لیکن اس فہرست میں ایسے اکاؤنٹس کا ایک گروپ ہونے کا امکان ہے جو دوسرے سائبر جرائم پیشہ افراد کے لیے بہت زیادہ، یا اس سے بھی زیادہ اہمیت کے حامل نہیں ہوں گے۔ ٹارگٹڈ فشنگ اسکینڈل کی قسم۔
• پہلے ہی دوسرے ذرائع سے سمجھوتہ کر لیا گیا ہے۔ ہم باقاعدگی سے ڈارک ویب پر فروخت کے لیے "X سے چوری کیے گئے" ڈیٹا کی بڑی فہرستیں دیکھتے ہیں، یہاں تک کہ جب سروس X میں کوئی حالیہ خلاف ورزی یا خطرہ نہیں ہے، کیونکہ یہ ڈیٹا پہلے کہیں اور سے چوری کیا گیا تھا۔

اس کے باوجود برطانیہ کے اخبار گارڈین کی رپورٹ کہ ڈیٹا کا ایک نمونہ، جو پہلے ہی بدمعاشوں کے ذریعہ ایک طرح کے "ٹیسٹر" کے طور پر لیک ہو چکا ہے، اس بات کی سختی سے تجویز کرتا ہے کہ فروخت پر ملٹی ملین ریکارڈ ڈیٹا بیس کا کم از کم کچھ حصہ درست ڈیٹا پر مشتمل ہے، جو اس سے پہلے لیک نہیں ہوا تھا۔ 'عوامی نہیں ہونا چاہئے، اور تقریبا یقینی طور پر ٹویٹر سے نکالا گیا تھا۔

سیدھے الفاظ میں، ٹویٹر کے پاس بہت ساری وضاحتیں ہیں، اور ٹویٹر کے صارفین ہر جگہ یہ پوچھ رہے ہیں، "اس کا کیا مطلب ہے، اور مجھے کیا کرنا چاہیے؟"

اس کی کیا قیمت ہے؟

بظاہر، ایسا لگتا ہے کہ بدمعاشوں نے خود اپنے صاف شدہ ڈیٹا بیس میں اندراجات کا اندازہ لگایا ہے کہ ان کی انفرادی قدر بہت کم ہے، جس سے پتہ چلتا ہے کہ وہ آپ کے ڈیٹا کے اس طرح سے لیک ہونے کا ذاتی خطرہ اتنا زیادہ نہیں دیکھتے ہیں۔

وہ بظاہر ایک خریدار کو ایک بار فروخت کرنے کے لیے لاٹ کے لیے $200,000 مانگ رہے ہیں، جو کہ فی صارف یو ایس سینٹ کے 1/20ویں حصے پر آتا ہے۔

یا وہ ایک یا زیادہ خریداروں سے $60,000 لیں گے (فی ڈالر کے قریب 7000 اکاؤنٹس) اگر کوئی بھی "خصوصی" قیمت ادا نہیں کرتا ہے۔

ستم ظریفی یہ ہے کہ بدمعاشوں کا بنیادی مقصد ٹویٹر کو بلیک میل کرنا، یا کم از کم کمپنی کو شرمندہ کرنا ہے، یہ دعویٰ کرتے ہوئے کہ:

ٹویٹر اور ایلون مسک… جی ڈی پی آر کی خلاف ورزی کے جرمانے میں $276 ملین USD ادا کرنے سے بچنے کے لیے آپ کا بہترین آپشن… یہ ڈیٹا خصوصی طور پر خریدنا ہے۔

لیکن اب جب کہ بلی تھیلے سے باہر ہے، یہ دیکھتے ہوئے کہ خلاف ورزی کا اعلان کیا گیا ہے اور بہرحال اس کی تشہیر کی گئی ہے، یہ تصور کرنا مشکل ہے کہ اس مقام پر ادائیگی کیسے ٹویٹر جی ڈی پی آر کے مطابق ہوگی۔

بہر حال، بدمعاشوں کے پاس بظاہر یہ ڈیٹا کچھ عرصے سے موجود ہے، ہو سکتا ہے کہ وہ بہرحال ایک یا زیادہ فریقین سے حاصل کر چکے ہوں، اور پہلے ہی یہ ثابت کرنے کے لیے اپنے راستے سے ہٹ چکے ہوں کہ خلاف ورزی حقیقی ہے، اور بڑے پیمانے پر دعوی کیا.

درحقیقت، پیغام کا اسکرین شاٹ جو ہم نے دیکھا اس میں ڈیٹا کو حذف کرنے کا ذکر تک نہیں تھا اگر ٹویٹر کو ادائیگی کرنی پڑتی ہے (کیونکہ آپ بدمعاشوں پر بھروسہ کر سکتے ہیں کہ وہ اسے حذف کر دیں)۔

پوسٹر میں صرف اس کا وعدہ کیا گیا تھا۔ "میں اس تھریڈ کو [ویب فورم پر] حذف کردوں گا اور اس ڈیٹا کو دوبارہ فروخت نہیں کروں گا۔"

کیا کیا جائے؟

ٹویٹر ادائیگی کرنے والا نہیں ہے، کم از کم اس وجہ سے کہ اس میں کوئی خاص بات نہیں ہے، یہ دیکھتے ہوئے کہ کوئی بھی خلاف ورزی شدہ ڈیٹا بظاہر ایک سال یا اس سے زیادہ پہلے چوری ہوا تھا، لہذا یہ اب تک متعدد مختلف سائبر اسکیمرز کے ہاتھ میں (اور شاید ہے)۔

لہذا، ہمارا فوری مشورہ ہے:

• ان ای میلز کے بارے میں آگاہ رہیں جن کے بارے میں آپ نے پہلے سوچا بھی نہ ہو گا کہ وہ اسکام ہیں۔ اگر آپ اس تاثر میں تھے کہ آپ کے ٹویٹر ہینڈل اور آپ کے ای میل ایڈریس کے درمیان تعلق وسیع پیمانے پر معلوم نہیں ہے، اور اس وجہ سے وہ ای میلز جو آپ کے ٹویٹر کے نام کی قطعی طور پر شناخت کرتی ہیں، غیر معتبر ذرائع سے آنے کا امکان نہیں ہے… مزید ایسا نہ کریں!
• اگر آپ ٹویٹر پر 2FA کے لیے اپنا فون نمبر استعمال کرتے ہیں، تو آگاہ رہیں کہ آپ سم کی تبدیلی کا نشانہ بن سکتے ہیں۔ یہ وہ جگہ ہے جہاں ایک بدمعاش جو پہلے سے ہی آپ کا ٹویٹر پاس ورڈ جانتا ہے اسے مل جاتا ہے۔ نیا سم کارڈ جاری اس پر آپ کے نمبر کے ساتھ، اس طرح آپ کے 2FA کوڈز تک فوری رسائی حاصل کریں۔ اپنے ٹویٹر اکاؤنٹ کو 2FA سسٹم میں تبدیل کرنے پر غور کریں جو آپ کے فون نمبر پر منحصر نہیں ہے، جیسے کہ اس کے بجائے ایک مستند ایپ استعمال کرنا۔
• فون پر مبنی 2FA کو مکمل طور پر ختم کرنے پر غور کریں۔ اس طرح کی خلاف ورزیاں - یہاں تک کہ اگر حقیقی ٹوٹل 400 ملین صارفین سے بھی کم ہے - ایک اچھی یاد دہانی ہے کہ اگر آپ کے پاس ایک نجی فون نمبر ہے جو آپ 2FA کے لیے استعمال کرتے ہیں، تو یہ حیرت انگیز طور پر عام ہے کہ سائبر کروک آپ کے فون نمبر کو مخصوص سے جوڑ سکتے ہیں۔ اس نمبر سے محفوظ آن لائن اکاؤنٹس۔

---