ڈراپ باکس کے چھ کروڑ سے زائد پاس ورڈ چوری

معروف کلاؤڈ اسٹوریج سروس ڈراپ باکس کے 68 ملین صارفین کے ای میل پتے اور پاس ورڈ انٹرنیٹ پر لیک کردیئے گئے ہیں۔ دلچسپ بات یہ ہے کہ ڈراپ باکس پر حملہ آج کل نہیں بلکہ 2012 میں کیا گیا تھا۔ اس وقت ڈراپ باکس نے یہ کہہ کر اپنی جان چھڑا لی تھی کہ صرف صارفین کے ای میل پتے ہی چوری ہوئے ہیں۔ لیکن یہ نہیں بتایا کہ پاس ورڈ بھی چوری ہوئے ہیں۔

پاس ورڈز پر مشتمل یہ ڈیٹا بیس اس وقت منظر عام پر آیا جب یہ Leakbase نامی سروس کے ہاتھ لگا۔ ایک آزاد سکیوریٹی محققین Troy Hunt نے اس ڈیٹا بیس کو چیک کرنے کے بعد تصدیق کی ہے کہ ان کے دونوں ڈراپ باکس کھاتوں کی تفصیل اس ڈیٹا بیس میں موجود ہے۔ یہی نہیں، ان کی بیوی کی تفصیلات بھی ڈیٹا بیس میں موجود تھیں۔ ان محققین کا کہنا ہے کہ اس میں کوئی شک نہیں کہ چوری شدہ ڈیٹا میں ڈراپ باکس صارفین کےکھاتوں کے پاس ورڈ بھی ہیں۔ اس نوعیت کا ڈیٹا جعلی طریقے سے بنایا نہیں جاسکتا۔

ڈراپ باکس نے حال ہی میں ایسے تمام صارفین کو جنہوں نے 2012ء سے اب تک اپنا پاس ورڈ تبدیل نہیں کیا، کو ای میل کی ہے کہ اپنا پاس ورڈ بدل لیں۔ جس وقت پاس ورڈ چوری ہوئے اس وقت ڈراپ باکس کے صارفین کی تعداد 100 ملین تھی یعنی ڈراپ باکس کے دو تہائی صارفین کا ڈیٹا چرایا گیا تھا۔ اگرچہ ڈراپ باکس نے صارفین کو ڈیٹا کی چوری کا نہیں بتایا تھا مگر جب سے صارفین کا ڈیٹا چوری ہوا ہے ڈراپ باکس صارفین کے ڈیٹا کے معاملے میں مزید حساس ہوگیا ہے۔ ڈراپ باکس نے اپنے انکرپشن اسٹینڈرڈ کو SHA1 سے اپ گریڈ کر کےزیادہ محفوظ bcrypt اسٹینڈرڈ اپنا لیا ہے۔ جس وقت ڈراپ باکس کے پاس ورڈ چوری ہوئے اس کے آدھے پاس ورڈ SHA1 اسینڈرڈ کے ذریعےہی انکرپٹ کیے گئے تھے۔

ٹروئے ہنٹ کا کہنا ہے کہ bcrypt الگورتھم سے انکرپٹ کئے گئے پاس ورڈ کریک کرنا ممکن نہیں۔ صرف وہی لوگ ڈراپ باکس کے پاس ورڈ چوری والے معاملے سے متاثر ہونگے جنہوں نے انتہائی سادہ اور عام استعمال ہونے والے پاس ورڈ اپنا رکھے تھے۔ صارفین کے لیے یہی مشورہ ہے کہ اگر آپ نےا پنا پاس ورڈ اب تک تبدیل نہیں کیا تو فوراً تبدیل کرلینا چاہیےاور 2اسٹیپ ویری فکیشن کو بھی فعال کرلینا چاہیے۔

ہیکر ڈراپ باکس سے پاس ورڈ چرانے میں کامیاب کیسے ہوئے، یہ ایک دلچسپ کہانی ہے۔ ڈراپ باکس کے ایک ملازم نے وہی پاس ورڈ دوبارہ استعمال کر لیا تھا جو ہیکروں نے لنکڈاِن کے ڈیٹا سے چرایا تھا۔ لنکڈ اِن کے پاس ورڈ سے ہیکر ڈراپ باکس کے کارپوریٹ نیٹ ورک میں داخل ہوئے اور ڈیٹا چرا لیا۔

ڈراپ باکس نے اُس وقت صارفین کے پاس ورڈ ری سیٹ کر دئیے تھے تاہم لیکن کمپنی نے یہ نہیں بتایا کہ کتنے پاس ورڈ ری سیٹ کیے تھے۔

ہیکنگ کی اس واردات سے صارفین اور کمپنیوں دونوں کو ہی سبق مل گیا۔ صارفین کو چاہیے کہ وہ مضبوط اور محفوظ پاس ورڈ استعمال کریں، ایک ویب سائٹ کے پاس ورڈ دوسری ویب سائٹ پر استعمال نہ کریں،2سٹیپ ویری فیکیشن استعمال کریں اور کمپنیوں چاہیےکہ صارفین کے پاس ورڈ سٹور کرنے کے طریقے اپ گریڈ کریں۔