سنگین خطرے سے ہیکرز کو Facebook اکاؤنٹس پر حملہ کرنے میں مدد ملتی ہے۔

سائبرسیکیوریٹی کے ماہر سمیپ آریال - جو فیس بک کی "باؤنٹی ہنٹر" کی فہرست میں سرفہرست ہیں، نے ابھی اس سوشل نیٹ ورک پر سیکیورٹی کے خطرے کے بارے میں معلومات کا اعلان کیا ہے، جس سے ہیکرز کو متاثرین کے اکاؤنٹس کا استحصال کرنے کی اجازت ملتی ہے۔ یہ مسئلہ 2 فروری کو دریافت کیا گیا تھا اور اس کا پیچھا کیا گیا تھا، لیکن اس کا اعلان ایک ماہ بعد ہی کیا گیا تھا (سیکیورٹی ضوابط کی وجہ سے)۔

آریال کے مطابق، کمزوری کا تعلق فیس بک کے پاس ورڈ ری سیٹ کے عمل سے ہے اس اختیاری فیچر کے ذریعے جو 6 ہندسوں کا تصدیقی کوڈ کسی دوسرے ڈیوائس کو بھیجتا ہے جس کے ساتھ صارف لاگ ان یا رجسٹرڈ ہے۔ یہ کوڈ صارف کی توثیق کرنے اور نئے ڈیوائس پر پاس ورڈ دوبارہ ترتیب دینے کے عمل کو مکمل کرنے کے لیے استعمال کیا جاتا ہے (جو پہلے لاگ ان نہیں ہوا ہے)۔

استفسار کے تجزیے کے دوران، اس نے دریافت کیا کہ فیس بک ایک مقررہ تصدیقی کوڈ (جو نمبروں کی ترتیب کو تبدیل نہیں کرتا) بھیجتا ہے، جو 2 گھنٹے کے لیے کارآمد ہوتا ہے، اور اس میں بروٹ فورس حملوں کو روکنے کے لیے کوئی حفاظتی اقدامات نہیں ہوتے، یہ ایک قسم کی غیر مجاز مداخلت ہے جو کریکٹرز کے درست کریکٹرز تلاش کرنے کے لیے تمام ممکنہ پاس ورڈ سٹرنگز کو آزمانے کا طریقہ استعمال کرتی ہے۔

Tài khoản Facebook bị chiếm quyền chỉ bằng phương thức dò mật khẩu — فیس بک اکاؤنٹ صرف لاگ ان کوڈ اسکین کرکے ہیک کیا گیا تھا۔

اس کا مطلب یہ ہے کہ کوڈ بھیجنے کے 2 گھنٹے کے اندر، حملہ آور فیس بک کے سسٹم سے کسی بھی روک تھام کے اقدامات کا سامنا کیے بغیر ان گنت بار غلط ایکٹیویشن کوڈ داخل کر سکتا ہے۔ عام طور پر، اگر غلط کوڈ یا پاس ورڈ متعین تعداد سے زیادہ درج کیا جاتا ہے، تو سیکیورٹی سسٹم مشکوک اکاؤنٹ کے لیے لاگ ان رسائی کو عارضی طور پر معطل کر دے گا۔

عام لوگوں کے لیے شاید 2 گھنٹے زیادہ نہ ہوں، لیکن سپورٹ ٹولز استعمال کرنے والے ہیکرز کے لیے یہ مکمل طور پر ممکن ہے۔

ایک حملہ آور کو تصدیقی کوڈ کی درخواست بھیجنے کے قابل ہونے کے لیے صرف ٹارگٹ اکاؤنٹ کا لاگ ان نام جاننے کی ضرورت ہوتی ہے، پھر 2 گھنٹے تک مسلسل بروٹ فورس کا طریقہ استعمال کریں، جب تک کہ نتیجہ یہ نہ ہو کہ نیا پاس ورڈ دوبارہ ترتیب دینا، کنٹرول حاصل کرنا اور حقیقی مالک کے رسائی کے سیشنز کو "کک آؤٹ" کرنا آسان ہو جائے اس سے پہلے کہ وہ کچھ کر سکے۔

NCS کے ٹیکنالوجی ڈائریکٹر مسٹر Vu Ngoc Son نے کہا کہ اس قسم کے حملے کو روکنے کی صارف کی صلاحیت سے باہر ہے اور اسے 0-کلک حملہ کہا جاتا ہے۔ اس قسم کے ساتھ، ہیکرز بغیر کسی کارروائی کے متاثرہ کا اکاؤنٹ چوری کر سکتے ہیں۔

"جب اس کمزوری کا فائدہ اٹھایا جائے گا، تو متاثرہ شخص کو فیس بک کی طرف سے ایک اطلاع موصول ہوگی۔ اس لیے، اگر آپ کو فیس بک کی طرف سے اچانک پاس ورڈ کی بازیابی کے بارے میں کوئی اطلاع موصول ہوتی ہے، تو اس بات کا قوی امکان ہے کہ آپ کے اکاؤنٹ پر حملہ کیا جائے اور اسے لے لیا جائے،" مسٹر سون نے شیئر کیا۔ ماہر نے کہا کہ مذکورہ بالا جیسی کمزوریوں کے ساتھ، صارفین صرف سپلائر کی غلطی کو ٹھیک کرنے کا انتظار کر سکتے ہیں۔

فیس بک ویت نام سمیت دنیا کے بہت سے ممالک میں ایک مقبول سوشل نیٹ ورک ہے، اور استعمال کنندہ استعمال کے دوران بہت سا ذاتی ڈیٹا پوسٹ اور اسٹور کرتے ہیں۔ اس لیے، ہیکرز کا مقصد اکثر جعلی منظرناموں کو انجام دینے کے لیے پلیٹ فارم پر موجود اکاؤنٹس پر حملہ کرنا اور ان کا کنٹرول حاصل کرنا ہوتا ہے۔

ان میں، سب سے نمایاں طور پر شکار کی نقالی کرنا اور ان کی فرینڈ لسٹ میں موجود رشتہ داروں سے رابطہ کرنا ہے تاکہ رقم کی فراڈ کرنے کے لیے رقم کی منتقلی کا مطالبہ کیا جا سکے۔ جعلی ویڈیو کالز کے لیے ڈیپ فیک ٹیکنالوجی کی مدد سے اس طریقے نے بہت سے لوگوں کو پھنسایا ہے۔ مزید اعتماد پیدا کرنے کے لیے، اسکیمرز آسانی سے اپنے اسکینڈل کو انجام دینے کے لیے فیس بک اکاؤنٹ کے مالک کے نام سے بینک اکاؤنٹس خریدتے اور بیچتے ہیں۔

ایک اور شکل ہے ہائی جیک کرنا اور پھر اکاؤنٹ کو سوشل نیٹ ورکس پر پھیلانے والے نقصان دہ کوڈ پر مشتمل لنکس یا فائلیں بھیجنے کے لیے استعمال کرنا ہے۔ ان بدنیتی پر مبنی کوڈز کا ہدف آلہ (متاثر کے ذریعہ استعمال کردہ آلہ) پر ایکٹیویٹ ہونے کے بعد ذاتی معلومات (جیسے بینک اکاؤنٹ نمبرز، تصاویر، رابطے، پیغامات اور ڈیوائس کی میموری میں محفوظ کئی دیگر قسم کے ڈیٹا) پر حملہ کرنے اور چوری کرنے کا کام ہوتا ہے۔

ماخذ لنک