سان فرانسسکو: مائیکروسافٹ نے اپنے ہزاروں کلاؤڈ کمپیوٹنگ صارفین کو متنبہ کیا ہے ، جن میں دنیا کی کچھ بڑی کمپنیاں بھی شامل ہیں ، کہ ای میل کی ایک کاپی اور سائبر سیکیورٹی ریسرچر کے مطابق ، گھسنے والے اپنے اہم ڈیٹا بیس کو پڑھنے ، تبدیل کرنے یا حذف کرنے کی صلاحیت رکھتے ہیں۔ .
کمزوری مائیکروسافٹ ازور کے پرچم بردار کاسموس ڈی بی ڈیٹا بیس میں ہے۔ سیکیورٹی کمپنی وز کی ایک تحقیقی ٹیم نے دریافت کیا کہ وہ ایسی چابیاں تک رسائی حاصل کرنے میں کامیاب ہے جو ہزاروں کمپنیوں کے ڈیٹا بیس تک رسائی کو کنٹرول کرتی ہیں۔ وز چیف ٹیکنالوجی آفیسر امی لوٹواک مائیکروسافٹ کے کلاؤڈ سیکورٹی گروپ میں سابق چیف ٹیکنالوجی آفیسر ہیں۔
چونکہ مائیکروسافٹ ان چابیاں کو بذات خود تبدیل نہیں کر سکتا ، اس نے جمعرات کو صارفین کو ای میل کر کے کہا کہ وہ نئی چابیاں بنائیں۔ مائیکروسافٹ نے ویز کو بھیجی گئی ایک ای میل کے مطابق ، خامیوں کو تلاش کرنے اور اس کی اطلاع دینے کے لیے وز کو 40،000 ڈالر ادا کرنے پر اتفاق کیا۔
مائیکرو سافٹ نے رائٹرز کو بتایا ، "ہم نے اپنے صارفین کو محفوظ اور محفوظ رکھنے کے لیے اس مسئلے کو فوری طور پر حل کیا۔ ہم سیکورٹی محققین کا شکریہ ادا کرتے ہیں کہ وہ مربوط خطرے کے انکشاف کے تحت کام کر رہے ہیں۔"
مائیکرو سافٹ کی جانب سے صارفین کو ای میل میں کہا گیا کہ اس بات کا کوئی ثبوت نہیں ہے کہ اس غلطی کا استحصال کیا گیا ہے۔ ای میل نے کہا ، "ہمارے پاس اس بات کا کوئی اشارہ نہیں ہے کہ محقق (وز) سے باہر کی بیرونی اداروں کو بنیادی پڑھنے کی کلید تک رسائی حاصل ہے۔"
"یہ بادل کی بدترین کمزوری ہے جس کا آپ تصور کر سکتے ہیں۔ یہ ایک دیرپا راز ہے ، "لوٹواک نے رائٹرز کو بتایا۔ "یہ Azure کا مرکزی ڈیٹا بیس ہے ، اور ہم کسی بھی کسٹمر ڈیٹا بیس تک رسائی حاصل کرنے کے قابل تھے جو ہم چاہتے تھے۔"
لوٹواک کی ٹیم نے 9 اگست کو ChaosDB کے نام سے یہ مسئلہ پایا اور 12 اگست کو مائیکروسافٹ کو مطلع کیا۔
یہ خامی Jupyter Notebook نامی ایک ویژولائزیشن ٹول میں تھی ، جو برسوں سے دستیاب ہے لیکن فروری میں شروع ہونے والے Cosmos میں اسے بطور ڈیفالٹ فعال کر دیا گیا تھا۔ رائٹرز کی طرف سے خامی پر رپورٹ کرنے کے بعد ، وز نے ایک بلاگ پوسٹ میں اس مسئلے کی تفصیل دی۔
لوٹواک نے کہا کہ یہاں تک کہ جن صارفین کو مائیکروسافٹ نے مطلع نہیں کیا تھا وہ حملہ آوروں کی چابیاں سوئپ کروا سکتے تھے ، جب تک وہ چابیاں تبدیل نہیں ہوتیں انہیں رسائی مل سکتی تھی۔ مائیکروسافٹ نے صرف ان صارفین کو بتایا جن کی چابیاں اس مہینے نظر آرہی تھیں ، جب ویز اس مسئلے پر کام کر رہا تھا۔
مائیکروسافٹ نے رائٹرز کو بتایا کہ "جو صارفین متاثر ہوئے ہیں وہ ہم سے ایک اطلاع وصول کرتے ہیں ،" بغیر تفصیل کے۔
یہ انکشاف مائیکروسافٹ کے لیے کئی مہینوں کی خراب سکیورٹی خبروں کے بعد سامنے آیا ہے۔ کمپنی کو اسی مشتبہ روسی حکومتی ہیکرز نے توڑ دیا تھا جس نے سولر ونڈس میں گھس لیا تھا ، جنہوں نے مائیکروسافٹ کا سورس کوڈ چوری کیا تھا۔ پھر ہیکرز کی ایک بڑی تعداد ایکسچینج ای میل سرورز میں گھس گئی جبکہ ایک پیچ تیار کیا جا رہا تھا۔
ایک پرنٹر کی خرابی کا حالیہ حل جس نے کمپیوٹر ٹیک اوورز کی اجازت دی تھی اسے بار بار دوبارہ کرنا پڑا۔ پچھلے ہفتے ایک اور ایکسچینج خامی نے امریکی حکومت کو فوری انتباہ دیا کہ گاہکوں کو مہینوں پہلے جاری کردہ پیچ انسٹال کرنے کی ضرورت ہے کیونکہ رینسم ویئر گروہ اب اس کا استحصال کر رہے ہیں۔
ایزور کے ساتھ مسائل خاص طور پر پریشان کن ہیں ، کیونکہ مائیکروسافٹ اور بیرونی سیکیورٹی ماہرین کمپنیوں پر زور دے رہے ہیں کہ وہ اپنا زیادہ تر انفراسٹرکچر چھوڑ دیں اور زیادہ سیکیورٹی کے لیے کلاؤڈ پر انحصار کریں۔
لیکن اگرچہ بادل کے حملے زیادہ نایاب ہوتے ہیں ، جب وہ ہوتے ہیں تو وہ زیادہ تباہ کن ہوسکتے ہیں۔ مزید یہ کہ ، بعض کی تشہیر کبھی نہیں کی جاتی۔
وفاقی طور پر معاہدہ شدہ ریسرچ لیب سافٹ وئیر میں تمام معلوم سیکورٹی خامیوں کا سراغ لگاتی ہے اور شدت کے لحاظ سے ان کی درجہ بندی کرتی ہے۔ لوٹواک نے کہا کہ لیکن کلاؤڈ فن تعمیر میں سوراخوں کے لیے کوئی مساوی نظام موجود نہیں ہے ، اس لیے بہت سے نازک خطرات صارفین کے لیے نامعلوم ہیں۔