پاس ورڈ مینیجر بنانے والی کمپنی ڈیشلین کا کہنا ہے کہ ہیکرز نے ہفتے کے آخر میں سائبر حملے کے دوران کم از کم ایک درجن انکرپٹڈ والٹس حاصل کیے ہیں جو صارفین کے پاس ورڈز کو محفوظ کرنے کے لیے استعمال ہوتے ہیں۔
کمپنی نے اپنی ویب سائٹ پر کہا کہ ہیکرز نے کمپنی کے ٹو فیکٹر تصدیقی نظام کو زبردستی مجبور کیا، جس سے ہیکرز کو 20 کے قریب صارفین کے اکاؤنٹس تک رسائی دی گئی۔ اس کے دو فیکٹر میکانزم کو شکست دے کر، ہیکرز کچھ صارفین کے انکرپٹڈ والٹس کی ایک کاپی ڈاؤن لوڈ کرنے میں کامیاب ہو گئے، جو ان کے پاس ورڈز اور دیگر حساس اسناد کو محفوظ کرتے ہیں۔
Dashlane نے اپنے واقعہ کے صفحے پر کہا کہ اس کے اپنے سسٹمز سے سمجھوتہ کرنے کا کوئی ثبوت نہیں ملا، لیکن اس نے ابھی تک یہ نہیں بتایا کہ ہیکرز کسٹمر اکاؤنٹس تک رسائی کے لیے اس کے دو عنصر کے تحفظات کو کیسے شکست دینے میں کامیاب ہوئے۔ ٹو فیکٹر ایک حفاظتی خصوصیت ہے جو اکاؤنٹس کو صرف چوری شدہ صارف نام اور پاس ورڈ کے ساتھ رسائی سے بچاتی ہے، عام طور پر اکاؤنٹ ہولڈر کے فون پر ایک اضافی پاس کوڈ بھیجنے کی ضرورت ہوتی ہے۔
ڈیشلین نے کہا، "حملے کا مقصد دو عنصر کی توثیق (2FA) تحفظات کو زبردستی کرنا تھا تاکہ حملہ آور کو موجودہ صارف اکاؤنٹس پر نئے آلات رجسٹر کرنے کی اجازت دی جا سکے۔" کمپنی نے کہا کہ حملہ آور "سسٹم میں ہر ممکنہ عددی مجموعہ کو تیزی سے جمع کرانے کے لیے خودکار سافٹ ویئر استعمال کر سکتے ہیں، اس امید میں کہ مختصر مدت کے [دو فیکٹر] سیکیورٹی کوڈ کی میعاد ختم ہونے سے پہلے درست ترتیب کا اندازہ لگا لیں"۔
کمپنی نے کہا کہ اس نے "مستقبل کے واقعات کے خطرے کو کم کرنے کے لیے اقدامات کیے ہیں،" یہ بتائے بغیر کہ وہ کیا تھے۔
ڈیشلین نے کہا کہ اس نے 20 یا اس سے زیادہ صارفین کو مطلع کیا ہے جن کے انکرپٹڈ والٹس چوری ہو گئے تھے۔ یہ ابھی تک واضح نہیں ہے کہ آیا مخصوص صارفین کو کسی وجہ سے نشانہ بنایا گیا تھا، جیسے کہ وہ کون ہیں یا وہ روزی کے لیے کیا کرتے ہیں۔
Dashlane کے ترجمان نے تبصرہ کی درخواست کا جواب نہیں دیا۔ کمپنی نے یہ نہیں بتایا کہ آیا اسے معلوم ہے کہ اس کے صارفین کو کس نے نشانہ بنایا، یا اگر ہیکرز نے ڈیشلین سے تاوان جیسے مطالبات کے ساتھ رابطہ کیا۔
کمپنی کی ویب سائٹ کا کہنا ہے کہ چوری شدہ والٹس کو اسکرمبل کیا جاتا ہے اور اسے گاہک کے ماسٹر پاس ورڈ کے بغیر نہیں پڑھا جا سکتا، جو صرف گاہک کو معلوم ہوتا ہے اور اسے سادہ متن میں Dashlane پر اپ لوڈ نہیں کیا جاتا ہے۔ لیکن ڈیشلین نے کہا کہ آسانی سے اندازہ لگانے والے ماسٹر پاس ورڈ والے صارفین کو اس کا اندازہ لگانے اور ان کے پاس ورڈ والٹ کو ڈکرپٹ کرنے کا زیادہ خطرہ ہو سکتا ہے۔
پاس ورڈ مینیجر کمپنیوں کو متاثر کرنے والے ڈیٹا کی خلاف ورزیاں نایاب ہیں، لیکن اس کے دیرپا نتائج ہو سکتے ہیں۔
2022 میں، LastPass نے تصدیق کی کہ سائبر حملے کے دوران کسٹمر کے پاس ورڈ والٹ بیک اپ چوری ہو گئے تھے۔ جب کہ والٹس کو پاس ورڈز کے ساتھ محفوظ کیا گیا تھا جو صرف صارف کو معلوم تھا، ابتدائی صارفین کے لیے پاس ورڈ کے تقاضے بعد کے معیار سے کہیں زیادہ کمزور تھے، جس کی وجہ سے ہیکرز کو طاقت کا استعمال کرنے اور کچھ صارفین کے والٹس کے پاس ورڈز کا آسانی سے اندازہ لگانے کا موقع ملا۔ ہیکرز کی جانب سے صارفین کے کریپٹو کی بڑی مقدار چوری کرنے کی متعدد رپورٹس موصول ہوئی ہیں، ممکنہ طور پر چوری شدہ LastPass والٹس میں محفوظ کردہ پرائیویٹ کیز استعمال کر کے جن کے ماسٹر پاس ورڈز کی خلاف ورزی کے بعد کریک ہو گئے تھے۔
ایک سال پہلے، آسٹریلوی سافٹ ویئر ہاؤس کلک اسٹوڈیوز نے اپنے تمام صارفین کو خبردار کیا تھا جو اس کے فلیگ شپ پاس ورڈ مینیجر، پاس ورڈ اسٹیٹ کا استعمال کرتے ہیں، ہیکرز کی جانب سے کسٹمر سسٹم پر میلویئر لگانے کے لیے اس کے سافٹ ویئر اپ ڈیٹ کے طریقہ کار سے سمجھوتہ کرنے کے بعد "تمام اسناد کو دوبارہ ترتیب دینے" کے لیے۔
