یو ایس پیٹنٹ آفس ہیک، ٹریڈ مارک ایپس تک رسائی

یو ایس پیٹنٹ اینڈ ٹریڈ مارک آفس (یو ایس پی ٹی او) نے 60,000 سے زیادہ ٹریڈ مارک ایپلی کیشن فائلرز کو مطلع کیا کہ اس نے غلطی سے ان کے جسمانی پتوں کو تین سال تک عوامی انٹرنیٹ کے سامنے چھوڑ دیا۔

A leaky API کے مطابق، مجرم تھا کی رپورٹ، اور بائیں ڈیٹا سیٹوں کو بے نقاب کیا گیا، بشمول درخواست دہندگان سے جمع کیے گئے پتے، جو USPTO کے پاس ٹریڈ مارک کے لیے فائل کرتے وقت لازمی ہوتے ہیں۔

"جب ہمیں اس مسئلے کا پتہ چلا، تو ہم نے تمام USPTO غیر اہم APIs تک رسائی کو مسدود کر دیا اور متاثرہ بلک ڈیٹا پروڈکٹس کو اس وقت تک ہٹا دیا جب تک کہ مستقل حل پر عمل درآمد نہ ہو،" نوٹس متاثرہ فائلرز کو بھیجا گیا اور TechCrunch کے ساتھ پڑھا گیا۔

ایک ترجمان نے مزید کہا کہ لیک نے تین سال کی مدت کے دوران دائر کی گئی درخواستوں میں سے تقریباً 3 فیصد کو متاثر کیا۔

"ہم افسوس کے ساتھ کچھ مزید تکنیکی ایگزٹ پوائنٹس کا پتہ لگانے میں ناکام رہے اور ان پوائنٹس سے برآمد ہونے والے ڈیٹا کو مناسب طریقے سے نقاب پوش کر دیا۔ یو ایس پی ٹی او کے ترجمان نے مزید کہا۔ "ہم اپنی غلطی کے لیے معذرت خواہ ہیں اور اس طرح کے واقعے کو دوبارہ رونما ہونے سے روکنے کے لیے بہتر کریں گے، ساتھ ہی ساتھ فائلنگ فراڈ کی تاریخی رقم کو روکنے کی اپنی صلاحیت کو بھی محفوظ رکھیں گے جو ہم بیرون ملک ہوتے دیکھ رہے ہیں۔"

سیکوینس سیکیورٹی کے ساتھ رہائش پذیر ہیکر جیسن کینٹ نے ڈارک ریڈنگ کو فراہم کردہ ایک بیان میں کہا کہ اس قسم کی API غلط کنفیگریشن بالکل وہی ہے جس کے لیے سائبر حملہ آور انٹرنیٹ پر ٹرول کر رہے ہیں۔

کینٹ نے کہا کہ "زیادہ تکنیکی ایگزٹ پوائنٹس وہی ہیں جنہیں حملہ آور ترجیح دیتے ہیں۔" "2023 API سیکیورٹی پارلنس میں، ان کے پاس API9:2023 نامناسب انوینٹری مینجمنٹ تھا جس نے ایک حملہ آور کو اختتامی نقطہ تلاش کرنے کی اجازت دی، جانیں کہ اس کی توثیق API2:2023 ٹوٹی ہوئی صارف کی توثیق نہیں کی گئی تھی جس کی وجہ سے ایک خودکار حملہ آور کو تمام متاثرہ افراد کو کھینچنے کی اجازت مل سکتی تھی۔ بہت کم وقت میں ڈیٹا، API6:2023 حساس کاروباری بہاؤ تک غیر محدود رسائی۔