خلاصہ
فون نمبر کی تصدیقی سروسز کے ساتھ Signal فراہم کرنے والی کمپنی، Twilio کو، 2022 کے موسم گرما میں، ایک فشنگ حملے کا سامنا کرنا پڑا۔ یہ وہ بات ہے جو ہمارے یوزرز کو جاننے کی ضرورت ہے:
- تمام یوزرز کو یہ یقین دہانی کروائی جا سکتی ہے کہ ان کی پیغام ہسٹری، رابطہ فہرستیں، پروفائل کی معلومات، جنہیں انہوں نے بلاک کیا تھا، اور دیگر ذاتی ڈیٹا ابھی تک نجی اور محفوظ ہیں اور متاثر نہیں ہوئے تھے۔
- تقریباً 1,900 یوزرز کے لیے، حملہ آور ان کے نمبر کو کسی دوسری ڈیوائس پر دوبارہ رجسٹر کرنے کی کوشش کر سکتا تھا یا جان سکتا تھا کہ ان کا نمبر Signal پر رجسٹر تھا۔ حملہ ہونے کے بعد سے اسے Twilio کی جانب سے روک دیا گیا تھا۔ 1,900 یوزرز Signal کے کُل یوزرز کی بہت کم شرح فی صد ہیں، جس کا مطلب ہے کہ زیادہ تر متاثر ہونے سے بچ گئے تھے۔
ہم نے ان 1,900 یوزرز کو براہ راست مطلع کیا تھا، اور ان سے Signal کو اپنی ڈیوائسز پر دوبارہ رجسٹر کرنے کی درخواست کی تھی۔ اگر آپ کو اس آرٹیکل کو سپورٹ کرنے کے لیے ایک لنک کے ساتھ Signal کی طرف سے کوئی SMS پیغام موصول ہوا ہے، تو براہ کرم ان درج ذیل اقدامات پر عمل کریں:
- اگر ایپ آپ سے ایسا کرنے کی درخواست کرتی ہے تو Signal کو اپنے فون پر کھولیں اور اپنا Signal اکاؤنٹ دوبارہ رجسٹر کریں۔
- ہم آپ کو پُرزور مشورہ دیتے ہیں کہ اپنے اکاؤنٹ کی بہترین حفاظت کے لیے، ایپ کی سیٹنگز میں رجسٹریشن لاک کو فعال کریں۔ ہم نے یہ فیچر یوزرز کو Twilio حملے جیسے خطرات سے بچانے کے لیے تخلیق کیا ہے۔
اصل واقعہ کیا تھا؟
Signal کو فون نمبر کی تصدیقی سروسز فراہم کرنے والی کمپنی، Twilio نے ہمیں مطلع کیا تھا کہ انہیں ایک فشنگ حملے کا سامنا کرنا پڑا تھا۔ ہم نے واقعے کی تحقیق کی اور درج ذیل باتیں اخذ کیں۔
- حملہ آور نے فشنگ کے ذریعے Twilio کی صارف سپورٹ کنسول تک رسائی حاصل کی۔ تقریباً 1,900 یوزرز کے لیے، یا تو 1) ان کے فون نمبرز ممکنہ طور پر Signal اکاؤنٹ پر رجسٹر ہونے کے طور پر ظاہر کیے گئے تھے، یا 2) Signal کے ساتھ رجسٹر ہونے کے لیے استعمال ہونے والا SMS تصدیقی کوڈ ظاہر کیا گیا تھا۔
- اس مدت کے دوران جب حملہ آور کو Twilio کے صارف سپورٹ سسٹمز تک رسائی حاصل تھی تو ان کے لیے فون نمبرز کو رجسٹر کرنے کی کوشش کرنا ممکن تھا جن تک انہوں نے SMS تصدیقی کوڈ کا استعمال کرتے ہوئے کسی اور ڈیوائس کے ذریعے رسائی حاصل کی تھی۔ حملہ آور کو اب مزید یہ رسائی حاصل نہیں ہے، اور Twilio کی جانب سے حملہ روک دیا گیا ہے۔
- حملہ آور نے 1,900 فون نمبرز میں سے تین نمبرز کو واضح طور پر تلاش کیا تھا، اور ہمیں ان تین یوزرز میں سے ایک کی طرف سے یہ رپورٹ موصول ہوئی تھی کہ ان کا اکاؤنٹ دوبارہ رجسٹر ہوا تھا۔
اہم بات یہ ہے، کہ اس کی وجہ سے حملہ آور کو کسی بھی پیغام ہسٹری، پروفائل کی معلومات، یا رابطہ فہرستوں تک رسائی حاصل نہیں ہوئی تھی۔ پیغام ہسٹری صرف آپ کی ڈیوائس پر اسٹور ہوتی ہے اور Signal کے پاس اس کی کوئی کاپی موجود نہیں ہوتی۔ آپ کی رابطہ فہرستیں، پروفائل کی معلومات، جنہیں آپ نے بلاک کیا ہے، اور مزید صرف آپ کے Signal کے پِن کے ساتھ بحال کیا جا سکتا ہے جس تک اس واقعے کے دوران رسائی حاصل نہیں کی گئی تھی (اور نہیں کی جا سکتی تھی)۔ تاہم جب حملہ آور اکاؤنٹ کو دوبارہ رجسٹر کرنے کے قابل تھا، تو اس صورت میں وہ اس فون نمبر سے Signal پیغامات ارسال اور وصول کر سکتا تھا۔
ہم نے متاثرہ یوزرز کی حفاظت کے لیے درج ذیل اقدامات کیے:
- ممکنہ طور پر متاثر ہونے والے ان تمام 1,900 یوزرز کے لیے، ہم نے ان تمام ڈیوائسز پر Signal کو غیر رجسٹر کر دیا تھا جو یوزر اس وقت استعمال کر رہا تھا (یا، حملہ آور نے جس پر انہیں رجسٹر کیا تھا) اور ان سے مطالبہ کیا تھا کہ وہ اپنی ترجیح کردہ ڈیوائس پر اپنے فون نمبر کے ساتھ Signal کو دوبارہ رجسٹر کریں۔
- ہم نے ممکنہ طور پر متاثر ہونے والے تمام 1,900 یوزرز کو SMS کے ذریعے براہ راست مطلع کیا تھا۔
15 اگست کو، ہم پہلے سے ہی یوزرز کو مطلع کر رہے تھے اور ان سے مطالبہ کر رہے تھے کہ وہ اپنے فون نمبر کے ساتھ Signal کو دوبار رجسٹر کریں۔ ہم نے یہ 16 اگست تک مکمل کر لیا تھا۔
ٹیلی کام حملے کی وہ قسم جس کا Twilio کو سامنا کرنا پڑا تھا وہ ایک خطرہ ہے جس کے خلاف حفاظت کے لیے Signal نے رجسٹریشن لاک اور Signal کے پِنز جیسے فیچرز تیار کیے۔ ہم یوزرز کو رجسٹریشن لاک فعال کرنے کی پُرزور ترغیب دیتے ہیں۔ چونکہ ہم ٹیلی کام ایکو سسٹم کو درپیش مسائل براہ راست حل کرنے سے قاصر ہیں، لہذا ہم Twilio اور ممکنہ طور پر دیگر فراہم کنندگان کے ساتھ مل کر ان کی سیکورٹی کو سخت بنانے کے لیے کام کریں گے جہاں یہ ہمارے یوزرز کے لیے اہم ہے۔
کیا اس نے مجھے متاثر کیا تھا؟
- Twilio کی طرف سے وصول کردہ معلومات کی بنیاد پر، ممکنہ طور پر 1,900 یوزرز متاثر ہو سکتے ہیں۔ ہم ان یوزرز کو SMS کے ذریعے مطلع کر رہے ہیں۔ ہم نے 15 اگست کو یوزرز کو مطلع کرنا شروع کیا تھا اور 16 اگست تک یوزرز کو مطلع کرنا مکمل کر لیا تھا۔ جو پیغام ہم یوزرز کو ارسال کر رہے تھے اس میں لکھا تھا: "یہ Signal میسنجر کی طرف سے ہے۔ ہم آپ سے رابطہ کر رہے ہیں تاکہ آپ اپنے Signal اکاؤنٹ کی حفاظت کر سکیں۔ Signal کھولیں اور دوبارہ رجسٹر کریں۔ مزید معلومات: https://signal.org/smshelp"
- Signal کھولتے وقت اگر آپ نے کوئی ایسا بینر دیکھا تھا جس پر لکھا تھا کہ آپ کی ڈیوائس اب مزید رجسٹر شدہ نہیں ہے، تو ہو سکتا ہے کہ آپ متاثر ہوئے ہوں، تاہم آپ کے مزید رجسٹر شدہ نہ ہونے کی دیگر وجوہات بھی ہوتی ہیں جیسے کہ آپ کی طویل مدتی غیر فعالیت۔
کیا میرے ذاتی ڈیٹا تک رسائی حاصل کی گئی تھی یا ہیک کیا گیا تھا؟
نہیں۔ Signal کو اس طرح وضع کیا گیا ہے کہ آپ کا ڈیٹا ہماری بجائے آپ کے کنٹرول میں ہوتا ہے۔ Signal کو آپ کی پیغام ہسٹری، رابطہ فہرست، پروفائل کی معلومات، جنہیں آپ نے بلاک کیا، اور دیگر ذاتی ڈیٹا تک رسائی حاصل نہیں ہوتی۔ اور یہ معلومات یقینی طور پر Twilio کو، یا عارضی طور پر Twilio تک رسائی حاصل کرنے والے حملہ آوروں کو بھی دستیاب نہیں ہوئیں۔ تاہم، جب حملہ آور Twilio حملے کے دوران اکاؤنٹ کو دوبارہ رجسٹر کرنے کے قابل تھا، تو اس صورت میں وہ Signal پر اس فون نمبر سے پیغامات ارسال اور وصول کر سکتا تھا۔
کیا کوئی ایسا شخص متاثر ہوا تھا جس کے ساتھ میں نے چیٹ کی تھی؟
متاثرہ افراد کی فراہم کردہ کم تعداد کے پیش نظر، اس کا امکان نہایت کم ہے۔ تاہم، اگر آپ اس حوالے سے متجسس ہیں کہ آیا آپ کا کوئی رابطہ متاثر ہوا تھا، تو آپ ان سے رابطہ کر سکتے ہیں اور پوچھ سکتے ہیں کہ کیا انہیں Signal کی طرف سے کوئی SMS نوٹس موصول ہوا ہے جس میں انہیں اکاؤنٹ دوبارہ رجسٹر کرنے کی درخواست کی گئی ہو اور انہیں واقعے سے متعلق مزید معلومات کی نشاندہی کی گئی ہو۔
مجھے کیا کرنا چاہیئے؟
ہم یوزرز کو ان کے Signal اکاؤنٹ کے لیے رجسٹریشن لاک فعال کرنے کی ترغیب دیتے ہیں۔ اپنے Signal کے پِن کے ساتھ اختیاری رجسٹریشن لاک استعمال کرنے سے رجسٹریشن کے طریقہ کار پر ایک اضافی تصدیقی لیئر شامل ہو جاتی ہے۔ ایسا کرنے کے لیے Signal سیٹنگز (پروفائل) > اکاؤنٹ > رجسٹریشن لاک پر جائیں۔
Signal مستقبل میں ایسا دوبارہ رونما ہونے کی روک تھام کے لیے کیا اقدامات کر رہی ہے؟
ہم Twilio کے ساتھ رابطے میں ہیں، اور ہم ان کے اور دیگر فراہم کنندگان کے ساتھ مل کر ان کی سیکورٹی پریکٹسز کو بہتر بنانے کے لیے فعال طور پر کام کر رہے ہیں۔ یوزر کے لیے، ہم یوزرز کو رجسٹریشن لاک فعال کرنے کی ترغیب دیتے ہیں۔