میکس ڈورف مین، ریسرچ رائٹر، ٹرپل-I
یہ سائبر سیکیورٹی 101 ہے: ملٹی فیکٹر کی توثیق اور مشکل سے کریک پاس ورڈ دراندازی کو روکنے کے لیے میز پر ہیں۔
اس کے باوجود، “پاس ورڈ،” “12345”، اور “Qwerty123” سب سے زیادہ عام طور پر پایا جاتا ہے موبائل سیکیورٹی فرم لک آؤٹ کے مطابق، ہیکرز کے ذریعے ڈارک ویب پر پاس ورڈ لیک ہو گئے۔ اور، اس مسئلے پر جتنی توجہ دی جاتی ہے، اس کے باوجود صورت حال بہتر ہوتی دکھائی نہیں دیتی۔
برطانیہ میں مقیم ایک مشاورتی فرم EY کے سروے میں یہ بات سامنے آئی ہے۔ صرف 48 فیصد حکومت اور پبلک سیکٹر کے جواب دہندگان نے کہا کہ وہ “کام پر مضبوط پاس ورڈ استعمال کرنے کی اپنی صلاحیت پر بہت پراعتماد ہیں۔” اس مسئلے کی مثال a کے ذریعے دی گئی ہے۔ حالیہ مطالعہ یو ایس آفس آف انسپکٹر جنرل کے ذریعے – محکمہ داخلہ (DOI) کا حصہ، وفاقی زمینوں اور قدرتی وسائل کے انتظام کے لیے ذمہ دار ایجنسی۔
DOI کو ہیک کرنا، یہ معلوم ہوا، نسبتاً آسان ہے۔
دو گھنٹے سے بھی کم وقت میں – اور صرف $15,000 خرچ کر کے – انسپکٹر جنرل کا دفتر “کلیئر ٹیکسٹ” (نان انکرپٹڈ) پاس ورڈ حاصل کرنے میں کامیاب رہا۔ 16 فیصد صارف کے اکاؤنٹس کی. مجموعی طور پر، 85,944 میں سے 18,174 – 21 فیصد فعال صارف پاس ورڈز – کو ہیک کیا گیا، بشمول اعلیٰ مراعات کے حامل 288 اکاؤنٹس اور امریکی حکومت کے سینئر ملازمین کے 362 اکاؤنٹس۔
رپورٹ کے مطابق اس مسئلے کا زیادہ تر حصہ ملٹی فیکٹر تصدیق کی کمی کے ساتھ ساتھ پاس ورڈ کی پیچیدگی کے تقاضوں سے پیدا ہوتا ہے جس کی وجہ سے غیر متعلقہ عملے کو وہی کمزور پاس ورڈ استعمال کرنے کی اجازت ملتی ہے۔ انسپکٹر جنرل کے دفتر نے پایا کہ:
- DOI نے ملٹی فیکٹر تصدیق کو مستقل طور پر نافذ نہیں کیا۔
- پاس ورڈ کی پیچیدگی کے تقاضے پرانے اور غیر موثر تھے۔ اور
- محکمے نے بروقت غیر فعال اکاؤنٹس کو غیر فعال نہیں کیا یا پاس ورڈ کی عمر کی حد کو نافذ نہیں کیا، جس کی وجہ سے 6,000 سے زائد اضافی فعال اکاؤنٹس حملے کا خطرہ بن گئے۔
سب سے زیادہ عام طور پر دوبارہ استعمال ہونے والا پاس ورڈ 478 منفرد ایکٹیو اکاؤنٹس پر استعمال کیا گیا۔ تفتیش کاروں نے پایا کہ DOI میں دوبارہ استعمال ہونے والے 10 پاس ورڈز میں سے پانچ میں “1234” کے ساتھ مل کر “پاس ورڈ” کی تبدیلی شامل ہے۔
سادہ پاس ورڈ ہیکنگ کو آسان بنا دیتے ہیں۔
اوسط شخص کے ساتھ 100 سے زیادہ مختلف آن لائن اکاؤنٹس پاس ورڈز کے ساتھ، پاس ورڈ دوبارہ استعمال کرنا سمجھ میں آتا ہے – لیکن سادہ پاس ورڈ ہیکرز کے لیے ذاتی ڈیٹا اور اکاؤنٹس تک رسائی آسان بنا دیتے ہیں۔
سائبرسیکیوریٹی فرم بالبکس کے سی ای او اور بانی گورو بنگا نے کہا کہ “سمجھوتہ شدہ، کمزور اور دوبارہ استعمال شدہ پاس ورڈز اب بھی ہیکنگ سے متعلقہ ڈیٹا کی زیادہ تر خلاف ورزیوں کے لیے ذمہ دار ہیں اور زیادہ تر کاروباری اداروں کے لیے سب سے زیادہ خطرے کے مسائل میں سے ایک ہیں۔” 2020 میں، بلبکس ملا کہ 99 فیصد انٹرپرائز صارفین ورک اکاؤنٹس یا کام اور ذاتی اکاؤنٹس کے درمیان پاس ورڈز کو ری سائیکل کرتے ہیں۔
بڑھتا ہوا خطرہ
“رینسم ویئر حملوں کی لاگت میں اضافہ ہوا ہے کیونکہ مجرموں نے بڑی کمپنیوں، سپلائی چینز اور اہم انفراسٹرکچر کو نشانہ بنایا ہے،” الیانز کا کہنا ہے کہ ایلیانز کا 2023 رسک بیرومیٹر. “اپریل 2022 میں، ایک حملے نے کوسٹا ریکا کی حکومت کے تقریباً 30 اداروں کو متاثر کیا، جس نے علاقے کو دو ماہ تک اپاہج بنا دیا۔”
عالمی بیمہ کنندہ کا کہنا ہے کہ، “ڈبل اور ٹرپل بھتہ خوری کے حملے اب معمول بن چکے ہیں۔ حساس ڈیٹا تیزی سے چوری ہو رہا ہے اور کاروباری شراکت داروں، سپلائرز یا صارفین سے بھتہ خوری کے مطالبات کے لیے استعمال کیا جا رہا ہے۔
اس ترقی کا ایک حصہ “ایک سروس کے طور پر ransomware” کے عروج کی وجہ سے ہے – ایک سبسکرپشن پر مبنی کاروباری ماڈل جو ملحقہ اداروں کو حملوں کو انجام دینے کے لیے موجودہ ransomware ٹولز استعمال کرنے کے قابل بناتا ہے۔ “سافٹ ویئر بطور سروس” ماڈل کی بنیاد پر، یہ برے اداکاروں کو ان کے اہداف پر حملہ کرنے میں مدد کرتا ہے یہ جانے بغیر کہ بےایمان پروگرامرز کو کوڈ یا ہائر کیا جائے۔
اہداف کی تبدیلی
مائیکل میناپیس، وِگن اور ڈانا ایل ایل پی کے ساتھ ایک انشورنس اٹارنی اور ٹرپل-I غیر رہائشی اسکالر، شرکاء کو بتایا Triple-I کے 2022 جوائنٹ انڈسٹری فورم میں کہ “بزنس ماڈل کے طور پر رینسم ویئر زندہ اور اچھی طرح سے رہتا ہے۔”
انہوں نے کہا کہ حالیہ برسوں میں جو تبدیلی آئی ہے وہ یہ ہے کہ “جہاں برے اداکار آپ کے سسٹمز کو انکرپٹ کرتے تھے اور آپ کو آپ کا ڈیٹا واپس دینے کے لیے تاوان وصول کرتے تھے، اب وہ آپ کے ڈیٹا کو باہر نکالیں گے اور اسے عام کرنے کی دھمکی دیں گے۔”
میناپیس نے کہا کہ اہداف کی قسمیں بھی بدل گئی ہیں، “نرم اہداف—خاص طور پر میونسپلٹیز” پر زیادہ توجہ دینے کے ساتھ جن کے پاس اکثر بڑے کارپوریٹ اداروں کی طرح سائبر حفظان صحت کو برقرار رکھنے کے لیے اہلکار یا مالیات نہیں ہوتے ہیں۔
اداروں اور افراد کو سائبر حملوں کے خطرے کو سنجیدگی سے لینا چاہیے۔ جتنا ہو سکے کرو ان کے خطرے کو کم کرنے کے لیے۔ سائبر حفظان صحت کی بہتر پالیسیاں اور طریقہ کار ایک ضروری پہلا قدم ہیں۔