پاس ورڈ دوبارہ ترتیب دینے کے باوجود ٹویٹر ایپس ٹویٹ کرسکتی ہیں

ٹویٹر نے تیزی سے گذشتہ ہفتے کی خلاف ورزی کے بعد صارف کے کھاتوں کو تالا لگانے اور سیشن ٹوکن منسوخ کرنے کے لئے تیزی سے آگے بڑھا ، لیکن ایسا لگتا ہے کہ کچھ ٹوکن فعال رہ گئے ہیں ، جس سے تیسرے فریق کی درخواستوں کو پرانی اسناد کا استعمال کرتے ہوئے ٹویٹر تک رسائی جاری رکھنے کی اجازت مل جاتی ہے۔

اگر آپ جمعہ کو ان 250،000 ٹویٹر صارفین میں سے ہیں جن کو پاس ورڈ ری سیٹ کرنے کا ای میل موصول ہوا ہے ، امید ہے کہ آپ نے اپنا پاس ورڈ پہلے ہی تبدیل کردیا ہے۔ اگر آپ ٹویٹر پر پوسٹ کرنے کے لئے تھرڈ پارٹی ایپس کا استعمال کرتے ہیں تو ، ممکن ہے وہ ایپس اب بھی آپ کے پرانے اسناد استعمال کر رہی ہوں۔ سیف سائیڈ پر رہنے کیلئے ایپس کو ان انسٹال کریں اور انسٹال کریں۔

جیسا کہ ہم نے ہفتے کے آخر میں سیکیورٹی واچ پر اطلاع دی ہے ، حملہ آوروں نے صارف نام ، ای میل پتے ، سیشن ٹوکن ، اور نمکین اور حشیش پاس ورڈ چوری کر لئے۔ سیشن ٹوکن خاص قسم کے کریپٹوگرافک کوکیز ہیں جو مائیکرو بلاگنگ سائٹ کو یہ اطلاع دیتے ہیں کہ صارف پہلے ہی لاگ اِن ہے۔ ہر وقت میں

جیسا کہ ٹویٹر نے کہا ہے کہ اس سیشن ٹوکن کو منسوخ کرنا ، اس بات کو یقینی بناتا ہے کہ حملہ آور جو ٹوکن کو روکنے میں کامیاب ہوگئے ہیں وہ آپ کے اکاؤنٹ تک رسائی حاصل نہیں کرسکتے ہیں۔ متاثرہ کمپیوٹرز سے کوکیز کی کٹائی کرنے والے اعداد و شمار کی چوری کرنے والے مالویئر کی مقدار پر غور کرتے ہوئے ، ٹوکن کو دوبارہ ترتیب دینا صارفین کو تکلیف دیتا ہے (دوبارہ لاگ ان کرنا پڑتا ہے) لیکن حملہ آوروں کو باہر رکھنے میں مؤثر ہے۔

ایپس لاگ ان ہوسکتی ہیں

تاہم ، یہ اطلاعات ہیں کہ تیسرا فریق ایپس کے زیر استعمال کچھ ٹوکن متاثر نہیں ہوئے تھے۔ ری سیٹ کی اطلاع موصول ہونے کے بعد نیا پاس ورڈ بنانا ٹویٹر کے اپنے موبائل ایپس یا ڈیسک ٹاپ کلائنٹ جیسے ٹویٹ ڈیک کو نئی پوسٹس پیش کرنے سے نہیں روک سکا۔ ہمارے اپنے ہی میکس ایڈی نے بتایا کہ انہیں ہفتے کے آخر میں اپنے ٹویٹر اکاؤنٹس میں پاس ورڈ تبدیل کرنا پڑتے ہیں ، لیکن تیسری پارٹی کے ایپس میں سے کسی نے بھی اسے نئے سے پاس ورڈ اپ ڈیٹ کرنے کا اشارہ نہیں کیا۔

ٹویٹر API استعمال کرنے والے ایپس عام طور پر OAuth پر انحصار کرتے ہیں ، جو متعدد سائٹوں میں توثیق کے ل open کھلا معیار ہے۔ سیشن ٹوکن ٹوئیٹر نے مسترد کر دیا ہے ایسا نہیں لگتا ہے کہ متاثر شدہ ایپس متاثر ہوئیں جنہوں نے توثیق کو سنبھالنے کے لئے OAuth کا استعمال کیا۔ ایک شخص نے دی رجسٹر کو بتایا کہ ایپس نے نیا پاس ورڈ اس وقت تک نہیں پوچھا جب تک کہ اسے حذف نہ ہوجائے اور دوبارہ انسٹال نہ کیا جائے۔

"جب ایک آلہ پر پاس ورڈ تبدیل ہوجاتا ہے اور آپ کے پاس پرانے پاس ورڈ (مثال کے طور پر) کے ساتھ دو دیگر آلات لاگ ان ہوجاتے ہیں تو ، فروش کو دیئے گئے اکاؤنٹ کے لئے تمام اوپن سیشن ختم کردینا چاہیں گے ،" میکافی کی شان ڈکا نے رجسٹر کو بتایا۔

IOActive لیبز کے CTO ، سیزر سیروڈو ، نے سیکیورٹی واچ کو بتایا کہ او اےتھ کو استعمال کرنے والے ایپس کو پہلی بار ویب سروس کے ساتھ تصدیق شدہ ایک کرپٹوگرافک سیشن کلید موصول ہوتی ہے ، اور اس کے بعد کے دوروں کی چابیاں بھیجتی ہیں۔ اس سے تھرڈ پارٹی ایپس کو بغیر کسی پاس ورڈ کی معلومات بار بار بھیجے بنا سوال کے زیربحث سروس کے ساتھ کام کرنے کا موقع ملتا ہے۔

سیرروڈو نے ابھی تک اس خاص صورتحال پر نگاہ نہیں کی تھی ، لہذا اس کے بارے میں کوئی اندازہ پیش نہیں کیا۔ سیکیورٹی واچ نے ٹویٹر تک اس بارے میں بات کی ہے کہ وہ اوAت سیشن کے ساتھ کس طرح سلوک کرتا ہے اور دوبارہ سننے کے منتظر ہے۔

پالیسی کے مطابق ، ٹویٹر "فی الحال رسائی کے ٹوکن کی میعاد ختم نہیں کرتا ہے" ، OAuth کے استعمال پر ڈویلپرز کو کمپنی کی ہدایت کے مطابق۔ ہدایت کے مطابق ، "اگر آپ کا صارف واضح طور پر ان کی ترتیبات سے آپ کے درخواست کو مسترد کرتا ہے یا ٹویٹر کے منتظم نے آپ کی درخواست معطل کردی ہے تو ، آپ تک رسائی کا ٹوکن غلط ہوگا۔"

پچھلے چند ہفتوں میں یہ ٹویٹر کے ساتھ OAuth سے متعلق دوسرا واقعہ ہوگا۔ سرروڈو نے حال ہی میں صارفین کو کسی اجازت نامے کے بارے میں مطلع نہ کرنے پر ٹوٹ پکارا جس نے خاموشی سے طے کی تھی۔

فہمیدہ سے مزید معلومات کے لئے ، ٹویٹرzdFYRashid پر اس کی پیروی کریں۔