یہ اس وقت سامنے آیا ہے جب سی بی ایس ای کے ڈیجیٹل انفراسٹرکچر کی حفاظت پر تازہ سوالات ابھرے ہیں۔
نئی دہلی: انیس سالہ اخلاقی ہیکر نثارگا ادھیکاری نے ہفتہ 6 جون کو آئی اے این ایس سے خصوصی طور پر بات کی اور پورٹل میں مبینہ خامیوں کے بارے میں کہا کہ اسے کمزوریوں کی نشاندہی کرنے میں صرف 20 منٹ لگے۔
یہ اس وقت سامنے آیا ہے جب سی بی ایس ای کے ڈیجیٹل انفراسٹرکچر کی حفاظت پر تازہ سوالات ابھرے ہیں جب ادھیکاری نے الزام لگایا کہ اے ڈبلیو ایس بالٹی پر محفوظ جوابی شیٹ اور سوالیہ پرچے عوامی طور پر آن لائن قابل رسائی تھے۔
یہ دعویٰ سی بی ایس ای کے آن اسکرین مارکنگ (او ایس ایم) سسٹم کی جاری جانچ پڑتال کے درمیان اور سی بی ایس ای سے منسلک ڈیجیٹل پلیٹ فارمز میں کمزوریوں کے بارے میں ادھیکاری کے انکشافات کے بعد بورڈ کے ٹیکنالوجی ماحولیاتی نظام پر ملک گیر بحث شروع کرنے کے بعد سامنے آیا ہے۔
نثارگا ادھیکاری نے بھی آئی اے این ایس کے ہیکنگ کے مختلف پہلوؤں، سی بی ایس ای پورٹل میں خامیوں، اس نے سیکورٹی پروٹوکول کی خلاف ورزی، اور کئی دیگر مسائل پر بھی بات کی۔
انٹرویو
آئی اے این ایس: آپ اخلاقی ہیکر ہیں۔ آپ کو سی بی ایس ای پورٹل میں بے ضابطگیوں کے بارے میں کیسے پتہ چلا؟
نثارگا ادھیکاری: تو، میرا سیکورٹی ریسرچ اور سبھی میں ایک وسیع پس منظر ہے۔ جب سی بی ایس ای نے اپنا پورٹل شروع کیا اور اپنے سرکلر اور ہر چیز جاری کی تو میں نے گہرائی میں کھودنا شروع کیا۔ مجھے پورٹل کا لنک ملا، اور یہ عوام کے لیے کھلا تھا۔
پورٹل کا لنک ملنے کے بعد، میں نے جانچنا شروع کر دیا کہ میرے پاس پورٹل کے بارے میں کیا معلومات ہیں اور اسے جاسوسی کے لیے استعمال کیا۔ مجھے جاوا اسکرپٹ میں سائٹ کا فرنٹ اینڈ کوڈ ملا، لیکن یہ تقریباً 9,000 لائنوں کا کوڈ تھا۔ لہذا، میں نے اس سے گزرنے کے لیے کچھ اےآئی کی مدد سے چلنے والے ٹولز کا استعمال کیا اور پتہ چلا کہ اس میں ماسٹر کوڈ کا پاس ورڈ ہے۔
اس ماسٹر پاس ورڈ کے ساتھ، آپ کسی بھی ایویلیویٹر کے اکاؤنٹ تک رسائی حاصل کر سکتے ہیں جب تک کہ آپ کے پاس یوزر آئی ڈی ہو۔ میں نے گوگل سرچز اور دیگر ذرائع سے کچھ تشخیص کاروں کی صارف آئی ڈیز حاصل کرنے میں کامیابی حاصل کی۔ اس کے بعد، میں ان اکاؤنٹس میں لاگ ان کرنے کے قابل تھا۔
میں نے دیکھا کہ میں تشخیص کار کے کاغذات تک رسائی حاصل کرنے اور گریڈز بنانے کے قابل تھا۔ اس دوران، میں نے 45 دیگر کمزوریاں بھی پائی اور ان کی اطلاع سی بی ایس ای کو دی، لیکن انہوں نے کوئی جواب نہیں دیا۔ ماسٹر پاس ورڈ کا مسئلہ ایک چیز تھا، لیکن دیگر 44 کمزوریاں جن کی میں نے اطلاع دی تھی وہ بھی موجود تھی۔
میں نے نتائج کا اعلان ہونے تک تین ماہ تک انتظار کیا اور پھر معلومات کے ساتھ منظر عام پر آیا۔ پبلک جانے کے بعد، میں نے اضافی کمزوریاں دریافت کیں جنہوں نے مجھے تقریباً 30 ملین اسکین شدہ جوابی شیٹس، ڈیٹا بیسز اور مزید تک رسائی فراہم کی۔ تو، ہاں، یہ ہے، میرا اندازہ ہے۔
آئی اے این ایس: کیا آپ سی بی ایس ای سرور کے حفاظتی پروٹوکول کی خلاف ورزی کرتے ہوئے اس کی کمزوری کو قائم کرنے کے قابل تھے؟
نثارگا ادھیکاری: میں سیکیورٹی پروٹوکول کی خلاف ورزی کرنے میں کامیاب رہا۔ ان کے پاس مناسب حفاظتی پروٹوکول نہیں تھا۔ اس کا صحیح طریقے سے آڈٹ نہیں ہوا اور سب۔
آئی اے این ایس: آپ نے سیکیورٹی پروٹوکول کی خلاف ورزی کیسے کی؟ آپ کو کیسے معلوم ہوا کہ یہ سائبر حملے کا خطرہ ہے؟
نثارگا ادھیکاری: کمزوریوں کی نشاندہی کرنا بہت آسان تھا۔ آپ بتا سکتے ہیں کہ اس شعبے میں زیادہ تجربہ نہیں تھا۔ میں نے مسائل کو بہت جلد پایا۔ مجھے لگ بھگ 20 منٹ لگے۔
پھر میں نے اچھے طریقے سے، اخلاقی انداز میں ان کی جانچ اور استحصال شروع کر دیا، اور سب کچھ بتا دیا۔
آئی اے این ایس: سی بی ایس ای نے اپنے پورٹل پر حملوں پر ایف آئی آر درج کی ہے۔
نثارگا ادھیکاری: ہاں، یہ الگ بات ہے۔ انہوں نے اپنےپی بی آر پورٹل پر ڈی ڈی او ایس حملے کا تجربہ کیا۔ ہم میں سے کوئی بھی نہیں، جن لوگوں نے میرے ساتھ اس مسئلے پر تحقیق کی، انھوں نے کوئی بھی ڈی ڈی او ایس حملہ نہیں کیا کیونکہ یہ کرنا ایک بے معنی چیز ہے اور یہ بہت اچھی طرح سے کام نہیں کرتا ہے۔
آئی اے این ایس: کیا آپ ایف آئی آر سے پریشان ہیں؟
نثارگا ادھیکاری: نہیں، میں نہیں ہوں۔ میں سی بی ایس ای سے جڑے کچھ لوگوں اور سائبر کمیونٹی کے کچھ لوگوں سے رابطے میں ہوں۔ میں بالکل نہیں ڈرتا۔
آئی اے این ایس: سی بی ایس ای کو آپ کی کیا تجاویز ہیں، اور اس میں مزید کیا بہتری لائی جا سکتی ہے؟
نثارگا ادھیکاری: میرے خیال میں انہیں سیکورٹی رپورٹس کو زیادہ سنجیدگی سے لینا شروع کر دینا چاہیے کیونکہ یہ سی ای آر ٹی یا سی بی ایس ای کے ساتھ یک طرفہ معاملہ نہیں ہے۔ وہ سیکیورٹی رپورٹس کو سنجیدگی سے نہیں لیتے اور سیکیورٹی کو اس اہمیت کے ساتھ نہیں دیکھتے جس کی یہ مستحق ہے۔
اس معاہدے میں جو انہوں نے عوامی طور پر شائع کیا تھا، اس میں ذکر کیا گیا تھا کہ سی او ای ایم کو سائٹ کو پروڈکشن میں لے جانے سے پہلے آڈٹ اور وی اے پی ٹی ٹیسٹنگ کرنے کی ضرورت ہے۔ مجھے پورا یقین ہے کہ ایسا نہیں ہوا۔ سائٹ کو مناسب آڈٹ اور سیکیورٹی چیک کے بغیر پروڈکشن میں لیا گیا تھا۔
مجھے امید ہے کہ مستقبل میں ان سیکیورٹی چیکس کو مزید سنجیدگی سے لیا جائے گا۔ مجھے یہ بھی امید ہے کہ وہ ماہرین سے مزید مشورہ لیں گے اور سائبر سیکیورٹی کے اپنے مجموعی طریقوں کو مضبوط کریں گے۔