سیکورٹی ماہرین 2 فیکٹر سکیورٹی کوڈز کے لیے ایس ایم ایس پیغامات کے استعمال کے خلاف مشورہ دیتے ہیں کیونکہ ان میں مداخلت یا سمجھوتہ ہونے کا خطرہ ہے۔
حال ہی میں، ایک سیکیورٹی محقق نے انٹرنیٹ پر ایک غیر محفوظ ڈیٹا بیس دریافت کیا جس میں اس طرح کے لاکھوں کوڈز ہیں، جن تک کوئی بھی آسانی سے رسائی حاصل کرسکتا ہے۔
حساس SMS ڈیٹا بیس کو غیر محفوظ آن لائن چھوڑ دیا گیا تھا۔
سیکیورٹی محقق انوراگ سین کے ذریعہ دریافت کردہ اندرونی ڈیٹا بیس کو انٹرنیٹ کا سامنا ہونے کے باوجود پاس ورڈ کے بغیر غیر محفوظ چھوڑ دیا گیا تھا۔ کوئی بھی جو ڈیٹا بیس کے IP ایڈریس کو جانتا ہے وہ بوگ اسٹینڈرڈ ویب براؤزر سے زیادہ نفیس کچھ نہیں استعمال کرتے ہوئے اس تک رسائی حاصل کر سکے گا۔
اگرچہ بے نقاب ڈیٹا بیس کی ملکیت کے بارے میں فوری طور پر واضح نہیں ہوسکا، لیکن TechCrunch کے نامہ نگاروں تک پہنچنے کے بعد قصوروار فریق کو YX انٹرنیشنل پایا گیا، ایک ایشیائی کمپنی جو دیگر خدمات کے علاوہ SMS ٹیکسٹ میسج روٹنگ فراہم کرتی ہے۔ ٹیک کرنچ کے کمپنی سے رابطہ کرنے کے بعد YX انٹرنیشنل نے ڈیٹا بیس کو محفوظ کر لیا۔
روزانہ 5 ملین ایس ایم ایس پیغامات کے بہاؤ کے ساتھ، YX انٹرنیشنل ڈیٹا بیس حساس معلومات کا خزانہ تھا۔ گوگل، واٹس ایپ، فیس بک اور ٹک ٹاک جیسی کمپنیوں کے لیے پاس ورڈ ری سیٹ لنکس اور 2FA کوڈز سمیت معلومات۔
میں تبصرے کے لیے YX International، Google، Meta اور TikTok سے رابطہ کر چکا ہوں۔
میں نے ڈیٹا بیس تلاش کرنے والے محقق انوراگ سین سے بات کی، جس نے مجھے بتایا کہ وہ "معمول کی جانچ پڑتال کے دوران ڈیٹا بیس میں آئے۔”سین کا کہنا ہے کہ وہ گزشتہ پانچ سالوں سے کلاؤڈ بیسڈ ڈیٹا بیس کو چیک کرنے کے لیے ایسا کر رہے ہیں۔ انوراگ کا کہنا ہے کہ "بہت ساری کمپنیاں اپنے پروڈکشن سرورز کو کلاؤڈ پر منتقل کر رہی ہیں لیکن بنیادی توثیق اور خفیہ کاری نہیں رکھی گئی ہے،”انوراگ سین کہتے ہیں۔ سین کا کہنا ہے کہ بے نقاب ڈیٹا بیس سے پتہ چلتا ہے کہ "2FA کو ذخیرہ کرنے اور اس پر کارروائی کرنے کا طریقہ زیادہ مضبوط اور محفوظ ہونا چاہیے۔”
کیا گوگل، واٹس ایپ اور ٹِک ٹِک صارفین کے لیے تشویش ہے؟
جولائی 2023 تک کے لاگز کے ساتھ، اس ڈیٹا بیس کی حفاظت کے لیے پاس ورڈ کی کمی حیران کن ہے، لیکن کیا یہ سیکیورٹی رسک ہے؟ 2FA کوڈز کے نقطہ نظر سے مجھے بہت زیادہ نہیں کہنا پڑے گا۔ بہر حال، اس طرح کے کوڈز بہت جلد ختم ہو جاتے ہیں اور دھمکی دینے والے کو ڈیٹا بیس میں اضافے اور ہدف کے اعمال دونوں کی نگرانی کرنی ہوگی۔ چیزوں کی منصوبہ بندی میں، یہ واقعی بہت کم امکان ہے.
کیا اس کا مطلب یہ ہے کہ آپ کو 2FA سیکیورٹی کوڈز کے لیے SMS استعمال نہیں کرنا چاہیے؟
ESET کے عالمی سائبر سیکیورٹی ایڈوائزر، جیک مور نے مجھے بتایا کہ "ایس ایم ایس کے ذریعے ایک بار پاس ورڈز صرف پاس ورڈ پر انحصار کرنے سے کہیں زیادہ محفوظ آپشن ہیں لیکن جب خطرات اب خود کثیر پرت والے ہیں، اکاؤنٹس کو محفوظ رہنے کے لیے خود کو مضبوط ترین ملٹی لیئر تحفظ کی ضرورت ہے۔ ” پاس کیز، تصدیق کنندہ ایپس اور فزیکل سیکیورٹی کیز سبھی مزید محفوظ تحفظ فراہم کرتے ہیں۔ "لہٰذا، جب سیکورٹی کو ترتیب دینا اب پہلے سے کہیں زیادہ آسان ہو گیا ہے،” مور نے جاری رکھا "جو بھی شخص اکیلے پاس ورڈز پر انحصار کرنا چھوڑ دیتا ہے یا SMS 2FA کوڈز استعمال کرتا ہے وہ اپنے اصل انتخاب پر دوبارہ غور کرنا چاہتا ہے۔”
اگرچہ صارفین کو زیادہ فکر مند ہونے کی ضرورت نہیں ہے کہ 2FA کوڈز کو غلط کنفیگرڈ اور غیر محفوظ شدہ ڈیٹا بیس میں شامل کیا گیا تھا، اس کا مطلب یہ نہیں ہے کہ یہ کوئی سبق نہیں ہے۔ اگر کچھ بھی ہے تو، یہ صرف SMS کے استعمال کے خلاف دلیل میں وزن بڑھاتا ہے اگر دیگر آپشنز دستیاب ہیں، جیسا کہ یہ واضح کرتا ہے کہ اس طرح کے ٹیکسٹ میسج کوڈز سے کس طرح سمجھوتہ کیا جا سکتا ہے۔ "متنی پیغامات پرانی ٹیکنالوجی کا استعمال کرتے ہیں اور پیش کش پر اکاؤنٹ کے تازہ ترین تحفظ کو برقرار رکھنا اچھا عمل ہے،” مور نے نتیجہ اخذ کیا، "لیکن جب سہولت اور سیکورٹی بالکل مساوی اقدامات میں ایک دوسرے سے میل کھاتی ہے، تو یہ حقیقت میں کوئی دوسرا آپشن منتخب کرنے میں کوئی حرج نہیں ہے۔ SMS کے علاوہ۔
