اوریکل نے سیکیورٹی بگ کے بارے میں خبردار کیا ہے کہ ہیکرز نے 100+ کمپنیوں کی خلاف ورزی کرنے کے لیے غلط استعمال کیا۔

اوریکل نے اپنے کارپوریٹ صارفین کو متنبہ کیا کہ اس کے PeopleSoft سافٹ ویئر میں ایک اہم درجہ بندی کی کمزوری ہے، جسے بڑی کمپنیاں پے رول اور انسانی وسائل کے انتظام کے لیے استعمال کرتی ہیں، ایک دن بعد سائبر کرائم گروپ نے بڑے پیمانے پر ہیکنگ مہم کے حصے کے طور پر اس خامی کو غلط استعمال کرنے کا کریڈٹ لیا۔

کمپنی نے جُمِرات کو سیکیورٹی ایڈوائزری شائع کی جب ہیکنگ گروپ شائنی ہنٹرز نے 100 سے زائد تنظیموں کی خلاف ورزی کا دعویٰ کیا جو پیپل سوفٹ سرورز استعمال کرتے ہیں۔

سائبر حملوں کی تحقیقات کرنے والے گوگل کی ملکیتی سیکیورٹی یونٹ مینڈینٹ نے ایک بلاگ پوسٹ میں خبردار کیا ہے کہ اوریکل کی نئی خامی وہی بگ ہے جس کا شائنی ہنٹرز گروپ اپنی ہیکنگ مہم میں پیپل سوفٹ کے صارفین کو نشانہ بنا رہا ہے۔

اوریکل، جس نے لکھنے کے وقت کمزوری کے لیے کوئی پیچ جاری نہیں کیا ہے، نے ایڈوائزری میں کہا ہے کہ انٹرنیٹ پر بغیر کسی توثیق، جیسے پاس ورڈ کی ضرورت کے بگ کا فائدہ اٹھایا جا سکتا ہے۔

ٹیک دیو نے سفارش کی ہے کہ پیپل سوفٹ سافٹ ویئر استعمال کرنے والے صارفین استحصال کو روکنے کے لیے اس کی تخفیف کا اطلاق کریں۔

بُدھ کو، ShinyHunters کے ایک رکن نے TechCrunch کو بتایا کہ گینگ نے PeopleSoft سرورز میں ایک غیر واضح خامی کا غلط استعمال کرکے کمپنیوں سے سمجھوتہ کیا۔ اس بگ کو صفر دن کے نام سے جانا جاتا ہے کیونکہ متاثرہ کمپنی، اس معاملے میں اوریکل کے پاس اسے دریافت کرنے اور اس کا فائدہ اٹھانے سے پہلے اسے ٹھیک کرنے کا وقت نہیں تھا۔

مینڈینٹ نے تصدیق کی کہ اس نے "100 سے زیادہ عالمی تنظیموں" کو بھی مطلع کیا ہے، جن میں سے زیادہ تر ریاستہائے متحدہ میں ہیں، تاکہ ان کے ممکنہ طور پر کمزور نظاموں تک رسائی کو محدود کیا جا سکے۔ سائبرسیکیوریٹی گروپ نے کہا کہ ان تنظیموں میں سے تقریباً دو تہائی اعلیٰ تعلیم میں ہیں، جو شائنی ہنٹرز کے پہلے دعویٰ کے مطابق ہے۔

"جبکہ متعدد تنظیموں نے کامیابی کے ساتھ سرگرمی کو روک دیا یا کمزوریوں کا ازالہ کیا، دوسروں نے سمجھوتہ کیا، جس کے نتیجے میں شائنی ہنٹرز [ڈیٹا لیک ویب سائٹ] پر چوری شدہ ڈیٹا شائع ہوا،" مینڈینٹ نے لکھا۔

اوریکل نے ٹیک کرنچ کی تبصرے کی درخواست کا جواب نہیں دیا۔

ہم سے رابطہ کریں کیا آپ کے پاس اس ہیکنگ مہم کے بارے میں مزید معلومات ہیں؟ یا دیگر ڈیٹا کی خلاف ورزیاں؟ ہم آپ سے سننا پسند کریں گے۔ غیر کام کے آلے اور نیٹ ورک سے، آپ Lorenzo Franceschi-Bicchierai سے محفوظ طریقے سے سگنل پر +1 917 257 1382 پر، یا ٹیلیگرام اور Keybase @lorenzofb، یا ای میل کے ذریعے رابطہ کر سکتے ہیں۔

شائنی ہنٹرز کے ممبر نے اس ہفتے ٹیک کرنچ کو بتایا کہ ہیک کی گئی کچھ تنظیمیں یونیورسٹیاں اور کالج ہیں۔

ہیکر نے ایک پیغام شیئر کیا جس کے بارے میں ان کا کہنا تھا کہ متاثرہ اسکولوں میں سے ایک کو بھیجا گیا تھا، جس میں ہیکرز نے دوسرے ڈیٹا کے ساتھ ساتھ "مکمل نام، گھر کا پتہ، فون، ای میل، تاریخ پیدائش، جنس، نسل، اندراج کی حیثیت، جی پی اے، میجر، اور تمام کیمپسز میں طالب علم کی شناخت" پر مشتمل لاکھوں طلبہ کے ریکارڈز چوری کرنے کا دعویٰ کیا۔

PeopleSoft، اور اس کے صارفین، ہیکنگ مہموں کی ایک طویل سیریز میں تازہ ترین متاثرین ہیں جہاں ShinyHunters گینگ نے ان تنظیموں کو نشانہ بنایا جو سب ایک جیسے کمزور سافٹ ویئر کا اشتراک کرتے ہیں۔

پچھلے سال میں، گروپ نے کئی کمپنیوں کو نشانہ بنایا جو Salesforce اور Gainsight کا استعمال کرتی ہیں، نیز تعلیمی کمپنی Instructure کی طرف سے فراہم کردہ سافٹ ویئر، اور دیگر کے درمیان۔

ایک بار جب ہیکرز کمزور سافٹ ویئر اور کمپنیوں کی شناخت کر لیتے ہیں جو اسے استعمال کرتے ہیں، وہ کارپوریٹ یا کسٹمر ڈیٹا چوری کرنے کی کوشش کرتے ہیں اور پھر اسے چھوڑنے کی دھمکی دیتے ہیں جب تک کہ متاثرین تاوان ادا نہ کریں۔

اس سال کے شروع میں، ایجوکیشن ٹیک کمپنی انسٹرکچر نے کہا کہ اس نے ہیکرز کو کمپنی کے سسٹمز کی دو بار خلاف ورزی کے بعد ادائیگی کی۔ ہیکنگ مہم کے ایک حصے کے طور پر، ShinyHunters نے کئی اسکولوں کے لاگ ان صفحات کو خراب کیا جو Instructure کے مشہور اسکول انفارمیشن پورٹل Canvas کا استعمال کرتے ہیں۔