آن لائن پائے گئے سینکڑوں Snowflake کسٹمر پاس ورڈز معلومات چوری کرنے والے میلویئر سے منسلک ہیں۔

[ad_1]

کلاؤڈ ڈیٹا تجزیہ کرنے والی کمپنی سنو فلیک مبینہ ڈیٹا چوری کی حالیہ لہر کے مرکز میں ہے، کیونکہ اس کے کارپوریٹ صارفین یہ سمجھنے کے لیے ہچکچاتے ہیں کہ آیا ان کے کلاؤڈ ڈیٹا کے اسٹورز سے سمجھوتہ کیا گیا ہے۔

بوسٹن پر مبنی ڈیٹا جائنٹ کچھ بڑے عالمی کارپوریشنز کی مدد کرتا ہے — بشمول بینک، صحت کی دیکھ بھال فراہم کرنے والے اور ٹیک کمپنیاں — اپنے ڈیٹا کی وسیع مقدار، جیسے کہ کسٹمر ڈیٹا، کو کلاؤڈ میں اسٹور اور تجزیہ کرنے میں۔

گزشتہ ہفتے، آسٹریلوی حکام الارم بجایا کمپنیوں کا نام لیے بغیر یہ کہتے ہوئے کہ وہ “Snowflake ماحول کو استعمال کرنے والی متعدد کمپنیوں کے کامیاب سمجھوتوں” سے آگاہ ہو چکے ہیں۔ ہیکرز نے ایک معروف سائبر کرائم فورم پر دعویٰ کیا تھا کہ انہوں نے سنو فلیک کے دو سب سے بڑے صارفین سینٹنڈر بینک اور ٹکٹ ماسٹر سے کروڑوں صارفین کے ریکارڈ چرا لیے ہیں۔ سانٹینڈر ڈیٹا بیس کی خلاف ورزی کی تصدیق کی۔ “تیسرے فریق کے فراہم کنندہ کے ذریعہ میزبانی کی گئی ہے،” لیکن سوال میں فراہم کنندہ کا نام نہیں لیں گے۔ جمعہ کو، لائیو نیشن نے تصدیق کی کہ اس کی ٹکٹ ماسٹر کی ذیلی کمپنی کو ہیک کر لیا گیا تھا۔ کہ چوری شدہ ڈیٹا بیس سنو فلیک پر ہوسٹ کیا گیا تھا۔.

سنو فلیک نے تسلیم کیا۔ ایک مختصر بیان میں کہ اسے کسٹمر اکاؤنٹس کی “محدود تعداد” تک “ممکنہ طور پر غیر مجاز رسائی” کا علم تھا، بغیر یہ بتائے کہ کون سے اکاؤنٹس، لیکن اسے کوئی ثبوت نہیں ملا کہ اس کے سسٹمز کی براہ راست خلاف ورزی تھی۔ بلکہ، Snowflake نے اسے “سنگل فیکٹر تصدیق کے ساتھ استعمال کرنے والوں کے لیے ٹارگٹڈ مہم” قرار دیا اور یہ کہ ہیکرز نے “پہلے خریدے گئے یا infostealing malware کے ذریعے حاصل کیے” کا استعمال کیا، جو کہ صارف کے محفوظ کردہ پاس ورڈز کو ان کے کمپیوٹر سے کھرچنے کے لیے ڈیزائن کیا گیا ہے۔

اس حساس ڈیٹا کے باوجود جو Snowflake اپنے صارفین کے لیے رکھتا ہے، Snowflake ہر گاہک کو اپنے ماحول کی حفاظت کا انتظام کرنے دیتا ہے، اور خود بخود اندراج نہیں کرتا اور نہ ہی اپنے صارفین سے کثیر عنصری تصدیق، یا MFA استعمال کرنے کا مطالبہ کرتا ہے، Snowflake کے کسٹمر دستاویزات کے مطابق. MFA کے استعمال کو نافذ نہ کرنا ایسا لگتا ہے کہ کس طرح سائبر جرائم پیشہ افراد نے Snowflake کے کچھ صارفین سے مبینہ طور پر بھاری مقدار میں ڈیٹا حاصل کیا، جن میں سے کچھ نے اضافی حفاظتی اقدام کے بغیر اپنا ماحول قائم کیا۔

سنو فلیک نے اعتراف کیا کہ اس کے اپنے “ڈیمو” اکاؤنٹس میں سے ایک سے سمجھوتہ کیا گیا تھا کیونکہ یہ صارف نام اور پاس ورڈ سے زیادہ محفوظ نہیں تھا، لیکن دعویٰ کیا کہ اکاؤنٹ “حساس ڈیٹا پر مشتمل نہیں تھا۔” یہ واضح نہیں ہے کہ آیا اس چوری شدہ ڈیمو اکاؤنٹ کا حالیہ خلاف ورزیوں میں کوئی کردار ہے۔

TechCrunch نے اس ہفتے سینکڑوں مبینہ Snowflake گاہک کی اسناد دیکھی ہیں جو سائبر جرائم پیشہ افراد کے لیے ہیکنگ مہم کے حصے کے طور پر استعمال کرنے کے لیے آن لائن دستیاب ہیں، یہ تجویز کرتی ہے کہ Snowflake کے کسٹمر اکاؤنٹ سے سمجھوتہ کرنے کا خطرہ پہلے معلوم ہونے سے کہیں زیادہ وسیع ہو سکتا ہے۔

اسناد کو میلویئر کے ذریعے چوری کیا گیا تھا جس نے ان ملازمین کے کمپیوٹرز کو متاثر کیا تھا جنہیں اپنے آجر کے سنو فلیک ماحول تک رسائی حاصل ہے۔

TechCrunch کی طرف سے دیکھے گئے کچھ اسناد کا تعلق ان کمپنیوں کے ملازمین سے ہے جو Snowflake کے صارفین کے طور پر جانا جاتا ہے، بشمول Ticketmaster اور Santander، اور دیگر۔ Snowflake تک رسائی کے حامل ملازمین میں ڈیٹا بیس انجینئرز اور ڈیٹا تجزیہ کار شامل ہیں، جن میں سے کچھ اپنے LinkedIn صفحات پر Snowflake استعمال کرنے کے اپنے تجربے کا حوالہ دیتے ہیں۔

اپنے حصے کے لیے، Snowflake نے صارفین سے کہا ہے کہ وہ اپنے اکاؤنٹس کے لیے فوری طور پر MFA آن کریں۔ اس وقت تک، Snowflake اکاؤنٹس جو لاگ ان کرنے کے لیے MFA کے استعمال کو نافذ نہیں کر رہے ہیں، اپنے ذخیرہ شدہ ڈیٹا کو پاس ورڈ کی چوری اور دوبارہ استعمال جیسے آسان حملوں سے سمجھوتہ کے خطرے میں ڈال رہے ہیں۔

ہم نے ڈیٹا کو کیسے چیک کیا۔

سائبر کرائمینل کارروائیوں کے بارے میں علم رکھنے والے ایک ذریعہ نے TechCrunch کو ایک ویب سائٹ کی طرف اشارہ کیا جہاں حملہ آور ان اسناد کی فہرستوں کے ذریعے تلاش کر سکتے ہیں جو مختلف ذرائع سے چرائی گئی ہیں، جیسے کہ کسی کے کمپیوٹر پر میلویئر کو انفوسٹیلنگ کرنا یا ڈیٹا کی سابقہ ​​خلاف ورزیوں سے جمع ہونا۔ (TechCrunch اس سائٹ سے لنک نہیں کر رہا ہے جہاں چوری شدہ اسناد دستیاب ہیں تاکہ برے اداکاروں کی مدد نہ ہو۔)

مجموعی طور پر، TechCrunch نے 500 سے زیادہ اسناد دیکھی ہیں جن میں ملازم کے صارف نام اور پاس ورڈ شامل ہیں، اس کے ساتھ متعلقہ Snowflake ماحول کے لاگ ان صفحات کے ویب ایڈریس بھی ہیں۔

ظاہر ہونے والی اسناد سینٹینڈر، ٹکٹ ماسٹر، کم از کم دو فارماسیوٹیکل کمپنیاں، فوڈ ڈیلیوری سروس، میٹھے پانی کا عوامی فراہم کنندہ، اور دیگر سے تعلق رکھنے والے سنو فلیک ماحول سے متعلق ہیں۔ ہم نے بے نقاب صارف نام اور پاس ورڈز بھی دیکھے ہیں جو مبینہ طور پر Snowflake کے ایک سابق ملازم کے ہیں۔

TechCrunch سابق ملازم کا نام نہیں لے رہا ہے کیونکہ اس بات کا کوئی ثبوت نہیں ہے کہ اس نے کچھ غلط کیا ہے۔ (بالآخر یہ Snowflake اور اس کے صارفین دونوں کی ذمہ داری ہے کہ وہ حفاظتی پالیسیوں کو نافذ کریں اور ان کو نافذ کریں جو ملازمین کی اسناد کی چوری کے نتیجے میں ہونے والی مداخلتوں کو روکتی ہیں۔)

ہم نے چوری شدہ صارف ناموں اور پاس ورڈز کی جانچ نہیں کی کیونکہ ایسا کرنے سے قانون کی خلاف ورزی ہوگی۔ اس طرح، یہ نامعلوم ہے کہ آیا اسناد فی الحال فعال استعمال میں ہیں یا اگر وہ براہ راست اکاؤنٹ میں سمجھوتہ یا ڈیٹا کی چوری کا باعث بنے۔ اس کے بجائے، ہم نے دیگر طریقوں سے بے نقاب اسناد کی صداقت کی تصدیق کرنے کے لیے کام کیا۔ اس میں Snowflake ماحول کے انفرادی لاگ ان صفحات کو چیک کرنا شامل ہے جو infostealing malware کے ذریعہ بے نقاب ہوئے تھے، جو لکھنے کے وقت ابھی تک فعال اور آن لائن تھے۔

ہم نے جو اسناد دیکھی ہیں ان میں ملازم کا ای میل پتہ (یا صارف نام)، ان کا پاس ورڈ، اور ان کی کمپنی کے سنو فلیک ماحول میں لاگ ان کرنے کے لیے منفرد ویب ایڈریس شامل ہیں۔ جب ہم نے Snowflake ماحولیات کے ویب ایڈریسز چیک کیے — جو اکثر بے ترتیب حروف اور اعداد سے بنے ہوتے ہیں — ہمیں معلوم ہوا کہ درج کردہ Snowflake کسٹمر لاگ ان صفحات عوامی طور پر قابل رسائی ہیں، چاہے آن لائن تلاش کے قابل نہ ہوں۔

TechCrunch نے تصدیق کی کہ Snowflake ماحول ان کمپنیوں سے مطابقت رکھتا ہے جن کے ملازمین کے لاگ ان سے سمجھوتہ کیا گیا تھا۔ ہم ایسا کرنے کے قابل تھے کیونکہ ہم نے چیک کیا ہر لاگ ان صفحہ میں سائن ان کرنے کے لیے دو الگ الگ اختیارات تھے۔

لاگ ان کرنے کا ایک طریقہ Okta پر انحصار کرتا ہے، ایک واحد سائن آن فراہم کنندہ جو Snowflake صارفین کو MFA کا استعمال کرتے ہوئے اپنی کمپنی کے کارپوریٹ اسناد کے ساتھ سائن ان کرنے کی اجازت دیتا ہے۔ ہماری جانچ میں، ہم نے پایا کہ یہ سنو فلیک لاگ ان صفحات لائیو نیشن (ٹکٹ ماسٹر کے لیے) اور سینٹینڈر کے سائن ان صفحات پر بھیجے گئے ہیں۔ ہمیں ایک Snowflake ملازم سے تعلق رکھنے والے اسناد کا ایک سیٹ بھی ملا، جس کا Okta لاگ ان صفحہ اب بھی ایک داخلی Snowflake لاگ ان صفحہ پر بھیجتا ہے جو اب موجود نہیں ہے۔

Snowflake کا دوسرا لاگ ان آپشن صارف کو صرف اپنے Snowflake کا صارف نام اور پاس ورڈ استعمال کرنے کی اجازت دیتا ہے، اس بات پر منحصر ہے کہ آیا کارپوریٹ صارف اکاؤنٹ پر MFA نافذ کرتا ہے، جیسا کہ تفصیل کے مطابق Snowflake کی اپنی معاون دستاویزات. یہ وہ اسناد ہیں جو بظاہر ملازمین کے کمپیوٹرز سے انفوسٹیلنگ میلویئر کے ذریعے چرائی گئی ہیں۔

یہ بالکل واضح نہیں ہے کہ ملازمین کی اسناد کب چوری ہوئیں یا وہ کتنے عرصے سے آن لائن ہیں۔

اس بات کے کچھ شواہد موجود ہیں کہ ان کی کمپنی کے Snowflake ماحول تک رسائی رکھنے والے کئی ملازمین نے اپنے کمپیوٹرز کو پہلے سے مالویئر کی انفوسٹیلنگ سے سمجھوتہ کیا تھا۔ بریک نوٹیفکیشن سروس Have I Been Pwned پر ایک چیک کے مطابق، Snowflake ماحول تک رسائی کے لیے صارف نام کے طور پر استعمال ہونے والے کارپوریٹ ای میل پتے میں سے کئی ایک حالیہ ڈیٹا ڈمپ جس میں لاکھوں چوری شدہ پاس ورڈز ہیں۔ چوری شدہ پاس ورڈ شیئر کرنے کے لیے استعمال ہونے والے مختلف ٹیلیگرام چینلز سے اسکریپ کیا گیا۔

Snowflake کی ترجمان Danica Stanczak نے TechCrunch کے مخصوص سوالات کا جواب دینے سے انکار کر دیا، بشمول یہ کہ آیا اس کے صارفین کا کوئی ڈیٹا Snowflake کے ملازم کے ڈیمو اکاؤنٹ میں پایا گیا تھا۔ ایک بیان میں، سنو فلیک نے کہا کہ وہ “کچھ ایسے صارف اکاؤنٹس کو معطل کر رہا ہے جہاں بدنیتی پر مبنی سرگرمی کے مضبوط اشارے موجود ہیں۔”

Snowflake نے مزید کہا: “Snowflake کے مشترکہ ذمہ داری کے ماڈل کے تحت، صارفین اپنے صارفین کے ساتھ MFA کو نافذ کرنے کے ذمہ دار ہیں۔” ترجمان نے کہا کہ سنو فلیک “ایم ایف اے کو فعال کرنے کے تمام آپشنز پر غور کر رہا ہے، لیکن ہم نے اس وقت کسی بھی منصوبے کو حتمی شکل نہیں دی ہے۔”

جب ای میل کے ذریعے پہنچا، لائیو نیشن کے ترجمان کیٹلن ہنریچ نے پریس ٹائم کے ذریعے کوئی تبصرہ نہیں کیا۔

سینٹینڈر نے تبصرہ کی درخواست کا جواب نہیں دیا۔

لاپتہ MFA کے نتیجے میں بڑی خلاف ورزیاں ہوئیں

Snowflake کے جواب نے اب تک بہت سارے سوالات کو جواب نہیں دیا ہے، اور ایسی کمپنیوں کا بیڑا کھڑا کر دیا ہے جو MFA سیکیورٹی فراہم کرنے والے فوائد حاصل نہیں کر رہی ہیں۔

جو بات واضح ہے وہ یہ ہے کہ Snowflake کم از کم کچھ ذمہ داری اٹھاتا ہے کہ وہ اپنے صارفین کو سیکیورٹی فیچر کو آن کرنے کی ضرورت نہ کرے، اور اب اس کا خمیازہ اپنے صارفین کے ساتھ اٹھا رہا ہے۔

آن لائن ڈیٹا کی تشہیر کرنے والے سائبر کرائمینلز کے مطابق، ٹکٹ ماسٹر پر ڈیٹا کی خلاف ورزی میں مبینہ طور پر 560 ملین سے زیادہ صارفین کے ریکارڈ شامل ہیں۔ (Live Nation اس بات پر کوئی تبصرہ نہیں کرے گا کہ اس خلاف ورزی سے کتنے صارفین متاثر ہوئے ہیں۔) اگر ثابت ہو گیا تو Ticketmaster سال کی اب تک کی سب سے بڑی امریکی ڈیٹا کی خلاف ورزی ہوگی، اور حالیہ تاریخ کی سب سے بڑی خلاف ورزی ہوگی۔

Snowflake ہائی پروفائل سیکورٹی کے واقعات اور MFA کی کمی کی وجہ سے بڑے ڈیٹا کی خلاف ورزیوں کے سلسلے میں تازہ ترین کمپنی ہے۔

پچھلے سال سائبر کرائمینلز 23andMe اکاؤنٹس سے تقریباً 6.9 ملین صارفین کے ریکارڈ کو ختم کیا۔ جو ایم ایف اے کے بغیر محفوظ نہیں تھے، جینیاتی ٹیسٹنگ کمپنی کو اشارہ کرتے ہوئے – اور اس کے حریف – صارفین کی ضرورت کے لیے ایم ایف اے کو بطور ڈیفالٹ فعال کریں۔ دوبارہ حملے کو روکنے کے لئے.

اور اس سال کے شروع میں، یونائیٹڈ ہیلتھ کی ملکیت والی ہیلتھ ٹیک کمپنی چینج ہیلتھ کیئر نے اعتراف کیا۔ ہیکرز نے اس کے سسٹم میں گھس کر بھاری مقدار میں صحت کا حساس ڈیٹا چرا لیا۔ ایک ایسے نظام سے جو MFA کے ساتھ محفوظ نہیں ہے۔ صحت کی دیکھ بھال کرنے والی کمپنی نے ابھی تک یہ نہیں بتایا ہے کہ کتنے افراد نے ان کی معلومات سے سمجھوتہ کیا تھا لیکن کہا کہ اس سے “امریکہ میں لوگوں کا کافی تناسب” متاثر ہونے کا امکان ہے۔


کیا آپ Snowflake اکاؤنٹ میں مداخلت کے بارے میں مزید جانتے ہیں؟ رابطے میں رہنا. اس رپورٹر سے رابطہ کرنے کے لیے، سگنل اور واٹس ایپ پر +1 646-755-8849 پر رابطہ کریں، یا ای میل کے زریعے. آپ کے ذریعے بھی فائلیں اور دستاویزات بھیج سکتے ہیں۔ سیکیور ڈراپ.

[ad_2]

Source link
techcrunch.com

اپنا تبصرہ بھیجیں