ایک سنگین خطرہ ہیکرز کو فیس بک اکاؤنٹس پر حملہ کرنے کی اجازت دیتا ہے۔

سائبرسیکیوریٹی کے ماہر سمیپ آریال - جو فیس بک کی "باؤنٹی ہنٹر" کی فہرست میں سرفہرست ہیں، نے ابھی اس سوشل نیٹ ورک پر سیکیورٹی کے خطرے کے بارے میں معلومات کا اعلان کیا ہے، جس سے ہیکرز کو متاثرین کے اکاؤنٹس کا استحصال کرنے کی اجازت ملتی ہے۔ یہ مسئلہ 2 فروری کو دریافت کیا گیا تھا اور اس کا پیچھا کیا گیا تھا، لیکن اس کا اعلان ایک ماہ بعد ہی کیا گیا تھا (سیکیورٹی ضوابط کی وجہ سے)۔

آریال کے مطابق، کمزوری کا تعلق فیس بک کے پاس ورڈ ری سیٹ کے عمل سے ہے اس اختیاری فیچر کے ذریعے جو 6 ہندسوں کا تصدیقی کوڈ کسی دوسرے ڈیوائس کو بھیجتا ہے جس کے ساتھ صارف لاگ ان یا رجسٹرڈ ہے۔ یہ کوڈ صارف کی توثیق کرنے اور نئے ڈیوائس پر پاس ورڈ دوبارہ ترتیب دینے کے عمل کو مکمل کرنے کے لیے استعمال کیا جاتا ہے (جو پہلے لاگ ان نہیں ہوا ہے)۔

استفسار کے تجزیے کے دوران، اس نے دریافت کیا کہ فیس بک ایک مقررہ تصدیقی کوڈ بھیجتا ہے (جو نمبر کی ترتیب کو تبدیل نہیں کرتا)، جو 2 گھنٹے کے لیے درست ہوتا ہے اور اس میں بروٹ فورس حملوں کو روکنے کے لیے کوئی حفاظتی اقدامات نہیں ہوتے، یہ ایک قسم کی غیر مجاز مداخلت ہے جو درست کردار کی تلاش کے لیے پاس ورڈ کے تمام ممکنہ تاروں کو آزمانے کا طریقہ استعمال کرتی ہے۔

Tài khoản Facebook bị chiếm quyền chỉ bằng phương thức dò mật khẩu — فیس بک اکاؤنٹ سے صرف لاگ ان کی اسناد کا اندازہ لگا کر سمجھوتہ کیا گیا۔

اس کا مطلب یہ ہے کہ کوڈ موصول ہونے کے دو گھنٹے کے اندر، ہیکر فیس بک کے سسٹم سے کسی بھی روک تھام کے اقدامات کا سامنا کیے بغیر ان گنت بار غلط طریقے سے ایکٹیویشن کوڈ داخل کر سکتا ہے۔ عام طور پر، اگر کوڈ یا پاس ورڈ کئی بار غلط طریقے سے درج کیا جاتا ہے، تو سیکیورٹی سسٹم مشکوک اکاؤنٹ کے لیے لاگ ان رسائی کو عارضی طور پر معطل کر دے گا۔

عام لوگوں کے لیے شاید 2 گھنٹے زیادہ نہ ہوں، لیکن سپورٹ ٹولز استعمال کرنے والے ہیکرز کے لیے یہ مکمل طور پر ممکن ہے۔

حملہ آور کو توثیقی کوڈ کی درخواست بھیجنے کے لیے صرف ٹارگٹ اکاؤنٹ کا لاگ ان نام جاننے کی ضرورت ہوتی ہے، پھر 2 گھنٹے کے لیے مسلسل بروٹ فورس اٹیک کا اطلاق ہوتا ہے، جب تک کہ وہ آسانی سے پاس ورڈ کو دوبارہ ترتیب نہ دے، کنٹرول حاصل کر لے، اور حقیقی اکاؤنٹ کے مالک کے سیشنز کو "کک آؤٹ" کرنے سے پہلے وہ کچھ بھی کر سکے۔

NCS کے چیف ٹیکنالوجی آفیسر مسٹر Vu Ngoc Son کے مطابق، اس قسم کا حملہ صارف کے خلاف دفاع کرنے کی صلاحیت سے باہر ہے اور اسے صفر کلک حملے کے نام سے جانا جاتا ہے۔ اس طریقہ کار سے ہیکرز کسی بھی کارروائی کے بغیر متاثرہ کا اکاؤنٹ چوری کر سکتے ہیں۔

"جب اس کمزوری کا فائدہ اٹھایا جائے گا، تو متاثرہ شخص کو فیس بک کی طرف سے ایک اطلاع موصول ہوگی۔ اس لیے، اگر آپ کو فیس بک کی طرف سے اچانک پاس ورڈ کی بازیابی کے بارے میں کوئی اطلاع موصول ہوتی ہے، تو اس بات کا قوی امکان ہے کہ آپ کے اکاؤنٹ پر حملہ کیا جائے اور اسے لے لیا جائے،" مسٹر سون نے شیئر کیا۔ ماہر نے کہا کہ ذکر کردہ جیسی کمزوریوں کے ساتھ، صارفین صرف فراہم کنندہ کی جانب سے بگ کو پیچ کرنے کا انتظار کر سکتے ہیں۔

فیس بک ویت نام سمیت دنیا کے کئی ممالک میں ایک مقبول سوشل نیٹ ورک ہے اور صارفین اس کے استعمال کے دوران بہت سا ذاتی ڈیٹا اپ لوڈ اور اسٹور کرتے ہیں۔ لہذا، ہیکرز اکثر دھوکہ دہی کی اسکیموں کو انجام دینے کے لیے پلیٹ فارم پر اکاؤنٹس کو نشانہ بناتے ہیں اور ان کا کنٹرول حاصل کرتے ہیں۔

ان میں، سب سے نمایاں طور پر شکار کی نقالی کرنا اور ان کی فرینڈ لسٹ میں موجود رشتہ داروں سے رابطہ کرنا ہے تاکہ رقم کی فراڈ کرنے کے لیے رقم کی منتقلی کا مطالبہ کیا جا سکے۔ ڈیپ فیک ٹیکنالوجی کی مدد سے جعلی ویڈیو کال کرنے کے اس طریقے نے بہت سے لوگوں کو پھنسایا ہے۔ مزید اعتماد پیدا کرنے کے لیے، اسکیمرز آسانی سے اپنے اسکینڈل کو انجام دینے کے لیے فیس بک اکاؤنٹ کے مالک کے نام سے بینک اکاؤنٹس خریدتے اور بیچتے ہیں۔

حملے کی ایک اور شکل میں اکاؤنٹس کو ہائی جیک کرنا اور انہیں میلویئر پر مشتمل لنکس یا فائلز بھیجنے کے لیے استعمال کرنا، انہیں سوشل میڈیا پر پھیلانا شامل ہے۔ یہ میلویئر ٹارگٹ ڈیوائس (متاثرہ کے آلے) پر ایکٹیویٹ ہونے کے بعد ذاتی معلومات (جیسے بینک اکاؤنٹ نمبر، تصاویر، رابطے، پیغامات، اور ڈیوائس کی میموری میں ذخیرہ کردہ دیگر ڈیٹا) پر حملہ کرتا ہے اور چوری کرتا ہے۔

ماخذ لنک