گھر سیکیورٹی واچ دو عنصر کی توثیق سے پی پی ٹویٹر ہیک نہیں روکا تھا

دو عنصر کی توثیق سے پی پی ٹویٹر ہیک نہیں روکا تھا

2024

ویڈیو: Ø¢ÛŒØª Ø§Ù„Ú©Ø±Ø³ÛŒ Ú©ÛŒ Ø§ÛŒØ³ÛŒ ØªÙ„Ø§ÙˆØª Ø¢Ù¾ Ù†Û’ Ø´Ø§ÛŒØ¯ Ù¾ÛÙ„Û’@ Ú©Ø¨Ù‡ÛŒ Ù†Û Ø³Ù†ÛŒ Ù‡ÙˆU (اکتوبر 2024)

ویڈیو: Ø¢ÛŒØª Ø§Ù„Ú©Ø±Ø³ÛŒ Ú©ÛŒ Ø§ÛŒØ³ÛŒ ØªÙ„Ø§ÙˆØª Ø¢Ù¾ Ù†Û’ Ø´Ø§ÛŒØ¯ Ù¾ÛÙ„Û’@ Ú©Ø¨Ù‡ÛŒ Ù†Û Ø³Ù†ÛŒ Ù‡ÙˆU (اکتوبر 2024)

اگر " اگر صرف… " کی سرزمین سے ، اگر ایسوسی ایٹ پریس نے اپنے ٹویٹر اکاؤنٹ سے دو عنصر کی توثیق کی ہے ، تو شام کے حامی ہیکرز اس اکاؤنٹ کو ہائی جیک کرنے اور تباہی مچا دینے کے قابل نہیں ہوتے۔

اچھا اور صاف خیال ، لیکن حقیقت میں ، نہیں۔ اگرچہ صارف کے اکاؤنٹس کو محفوظ بنانے کے لئے دو عنصر کی توثیق ایک طاقتور ٹول ہے ، لیکن اس سے تمام مسائل حل نہیں ہوسکتے ہیں۔ دو عنصر رکھنے سے آپ کو اے پی پی کی مدد نہیں ہوگی کیونکہ ہیکرز فشینگ اٹیک کے ذریعہ توڑ پڑے۔ فشمی کے سی ٹی او آرون ہیگبی نے کہا کہ مخالفین سیکیورٹی پرت کو نظرانداز کرنے میں صارفین کو دھوکہ دینے کا ایک اور راستہ تلاش کریں گے۔

منگل کے روز ، شام کے حامی ہیکرز نے اے پی ٹویٹر اکاؤنٹ کو اغوا کر لیا اور ایک جعلی نیوز الرٹ شائع کیا جس میں دعوی کیا گیا تھا کہ وہائٹ ہاؤس میں دھماکے کے نتیجے میں ہے اور صدر زخمی ہوگئے ہیں۔ اس سے پہلے تین یا چار منٹ میں اے پی کے عملے نے پتہ لگا کہ کیا ہوا ہے اور کہانی غلط ہے ، سرمایہ کار گھبرا گئے اور ڈاؤ جونز انڈسٹریل اوسط کو 148 پوائنٹس سے زیادہ گھبرادیا۔ بلومبرگ نیوز نے اندازہ لگایا کہ ایس اینڈ پی 500 انڈیکس سے 136 بلین ڈالر کی کمی

پیش گوئی کرتے ہوئے ، سیکیورٹی کے متعدد ماہرین نے ٹوئیٹر پر توثیق کی پیش کش نہ کرنے پر فوری طور پر ٹویٹر پر تنقید کی۔ این سرکل کے سیکیورٹی آپریشنز کے ڈائریکٹر ، اینڈریو طوفان نے ایک ای میل میں کہا ، "ٹویٹر کو واقعی دو عنصر کی توثیق کو جلدی سے پھیلانے کی ضرورت ہے۔ وہ اس پر مارکیٹ سے پیچھے ہیں۔"

گروپس بمقابلہ انفرادی اکاؤنٹس

دو عنصر کی توثیق سے حملہ آوروں کے لئے بریٹ فورس کے طریقوں کا استعمال کرتے ہوئے صارف کے اکاؤنٹ کو ہائی جیک کرنا ، یا سوشل انجینئرنگ کے طریقوں سے پاس ورڈ چوری کرنا مشکل تر ہوتا ہے۔ یہ بھی فرض کرتا ہے کہ فی اکاؤنٹ میں صرف ایک صارف ہے۔

ایف سیکور سے متعلق سیکیورٹی کے ایک محقق شان سلیوان نے سیکیورٹی واچ کو بتایا ، "دو عنصر کی تصدیق اور دوسرے اقدامات سے انفرادی اکاؤنٹس کے خلاف ہیکس کو کم کرنے میں مدد ملے گی۔ لیکن گروپ اکاؤنٹس نہیں۔"

اے پی ، بہت ساری دوسری تنظیموں کی طرح ، شاید ایک دن میں ایک سے زیادہ ملازمینAP پر پوسٹ کرتے تھے۔ جب کبھی کوئی ٹویٹر پر پوسٹ کرنے کی کوشش کرتا ہے تو پھر کیا ہوگا؟ لاگ ان کی ہر کوشش میں اس شخص کے پاس رجسٹرڈ ڈیوائس کی ضرورت ہوتی ہے ، چاہے وہ اسمارٹ فون ہو یا ہارڈ ویئر ٹوکن ، دوسرا عنصر کا کوڈ فراہم کرے۔ جگہ پر موجود میکانزم پر منحصر ہے ، یہ ہر دن ، ہر چند دن ، یا جب بھی کوئی نیا آلہ شامل کیا جاسکتا ہے۔

"یہ پیداوری کی راہ میں ایک بہت اہم رکاوٹ بن گیا ہے ،" ونڈ کے سی ایس او ، جم فینٹن نے سیکیورٹی واچ کو بتایا۔

کہتے ہیں کہ میں @ سیوریٹی واچ پر پوسٹ کرنا چاہتا ہوں۔ مجھے یا تو آئی ایم کرنا پڑے گا یا اپنے ساتھی کو فون کرنا پڑے گا جس نے دو فیکٹر کوڈ حاصل کرنے کے لئے اکاؤنٹ کی "ملکیت" کی تھی۔ یا مجھے 30 دن لاگ ان نہیں ہونا پڑا کیونکہ میرا لیپ ٹاپ ایک مجاز آلہ تھا ، لیکن اب یہ 31 واں دن ہے۔ اور اختتام ہفتہ۔ ممکنہ سوشل انجینئرنگ مائن فیلڈز کا تصور کریں۔

سلیوان نے کہا ، "آسان الفاظ میں ، لوگوں کی حفاظت کے لئے دو عنصر کی توثیق کافی نہیں ہوگی۔

دو فیکٹر کی توثیق ٹھیک نہیں

فینٹن نے کہا کہ دو عنصر کی توثیق ایک اچھی چیز ، ایک طاقتور ٹول ہے ، لیکن یہ فشینگ حملوں کو روکنے جیسے ہر کام نہیں کرسکتا ہے۔ فینٹن نے کہا کہ حقیقت میں ، عام دو عنصر کی توثیق کے حل کے تحت ، صارفین کو آسانی سے اس کا احساس کیے بغیر رسائی کو مستند کرنے میں دھوکہ دیا جاسکتا ہے۔

ذرا سوچیں اگر میں نے اپنے مالک کو ٹیکسٹ کیا ہے: @ سیکیورٹی واچ میں لاگ ان نہیں ہوسکتا ہے۔ مجھے ایک کوڈ بھیجیں؟

فشمی کی ہیبی نے کہا کہ دو عنصر کی تصدیق سے اکاؤنٹ کو فش کرنا زیادہ مشکل ہوتا ہے ، لیکن حملے کو کامیاب ہونے سے نہیں روکتا ہے۔ کمپنی کے بلاگ پر ، فش مے نے یہ بیان کیا کہ کس طرح دو فیکٹر کو نظرانداز کرتے ہوئے فشینگ حملے کے دریچے کو تنگ کرتی ہے۔

سب سے پہلے ، صارف فشینگ ای میل کے ایک لنک پر کلیک کرتا ہے ، لاگ ان پیج پر آتا ہے ، اور جعلی ویب سائٹ پر صحیح پاس ورڈ اور درست دو عنصر کوڈ میں داخل ہوتا ہے۔ اس مقام پر ، حملہ آور کو لاگ ان کی درست دستاویزات کی میعاد ختم ہونے سے پہلے ہی لاگ ان کرنا پڑتا ہے۔ آر ایس اے ٹوکن کا استعمال کرنے والی تنظیمیں ہر 30 سیکنڈ میں ایک کوڈ کو دوبارہ تخلیق کرسکتی ہیں ، لیکن ایک سوشل میڈیا سائٹ کے لئے ، میعاد ختم ہونے کی مدت کئی گھنٹے یا دن دور رہ سکتی ہے۔

"اس کا مطلب یہ نہیں کہ ٹویٹر کو توثیق کی ایک زیادہ مضبوط پرت کو نافذ نہیں کرنا چاہئے ، بلکہ اس سے یہ سوال بھی اٹھتا ہے کہ اس کی دوری تک کس حد تک جانا چاہئے؟" ہیگی نے کہا ، ٹویٹر اصل میں گروپ استعمال کے لئے نہیں بنایا گیا تھا۔

دوبارہ آباد کرنا ایک بڑا مسئلہ ہے

اگلے دروازے پر دو عنصر کی توثیق کو نافذ کرنے کا مطلب یہ نہیں ہے کہ اگر پیچھے کے دروازے میں ایک چھوٹا سا لاک ہو - پاس ورڈ کو دوبارہ ترتیب دینے کا ایک کمزور عمل۔ فینٹن نے کہا ، "اکاؤنٹ تک رسائی بنانے اور بازیافت کرنے کے لئے آپ کی والدہ کا پہلا نام جیسے مشترکہ راز کا استعمال ،" آج کے توثیق کے طریقوں کی اچیلس ہیل ہے۔

جب حملہ آور صارف نام جانتا ہے تو ، پاس ورڈ دوبارہ ترتیب دینا صرف ری سیٹ ای میل کو روکنے کی بات ہوتی ہے۔ اس کا مطلب ای میل اکاؤنٹ کو توڑنا ہے ، جو بہت اچھی طرح سے ہوسکتا ہے۔

اگرچہ پاس ورڈ اشارے والے سوالات کی اپنی پریشانی ہوتی ہے ، لیکن ٹویٹر ان کو دوبارہ ترتیب دینے کے عمل کے ایک حصے کے طور پر بھی پیش نہیں کرتا ہے۔ ہر ایک کی ضرورت صارف نام ہے۔ اگرچہ "میرے پاس ورڈ کو دوبارہ ترتیب دینے کے لئے ذاتی معلومات کی ضرورت ہوتی ہے" کا ایک آپشن موجود ہے ، لیکن صرف اضافی معلومات کی ضرورت ہی آسانی سے حاصل کرنے والے ای میل پتوں اور فون نمبر کی ہے۔

سلیوان نے کہا ، "ٹویٹر اکاؤنٹس ہیک ہونے کا سلسلہ جاری ہے ، اور ٹویٹر کو اپنے صارفین کی حفاظت کے لئے متعدد چیزیں کرنے کی ضرورت ہے - صرف دو عنصر نہیں ،" سلیوان نے کہا۔