پیر کو شائع ہونے والے سیکیورٹی ایڈوائزری پاس ورڈ مینیجر ڈیشلین میں بہت کچھ شامل نہیں ہے، جس میں انتباہ کیا گیا ہے کہ حملہ آور 20 انکرپٹڈ یوزر والٹس حاصل کرنے میں کامیاب ہو گئے۔
“31 مئی 2026 بروز اتوار سے، ایک بیرونی پارٹی نے Dashlane کے کچھ صارف اکاؤنٹس کے خلاف زبردست حملہ کیا،” کمپنی کہا. “حملے کا مقصد دو عنصر کی توثیق (2FA) تحفظات کو زبردستی کرنا تھا تاکہ حملہ آور کو موجودہ صارف اکاؤنٹس پر نئے آلات رجسٹر کرنے کی اجازت دی جا سکے۔”
ہیلو، ڈیشلین، کوئی گھر ہے؟
ایک Dashlane صارف جس کو ایسی 2FA درخواست موصول ہوئی، اس نے اطلاع کا یہ اسکرین شاٹ فراہم کیا، جو اتوار کو پہنچا تھا۔
برطانیہ میں مقیم صارف فکر مند تھا اور اس نے سپورٹ بوٹ کے ذریعے ڈیشلین سے رابطہ کیا۔ بالآخر صارف کو اس بارے میں کوئی اطلاع نہیں ملی کہ نوٹیفکیشن کیوں بھیجا گیا۔
صارف نے مجھے بتایا، “پھر (میں) نے یہ خبر Mastodon infosec سے دریافت کی، نہ کہ Dashlane سے۔ “فی الحال یہ جاننے کی کوشش کر رہے ہیں کہ کیا ہوا ہے! کیونکہ اگر آپ کے پاس پاس ورڈ پہلا نہیں ہے تو آپ 2fa کی درخواست کو کیسے متحرک کر سکتے ہیں؟ ایک ادائیگی کرنے والے صارف کے طور پر مجھے لگتا ہے کہ مجھے اس کے بارے میں Dashlane سے معلوم ہونا چاہیے تھا نہ کہ Mastodon infosec لوگوں سے۔”
سوشل میڈیا پر ہونے والی بہت سی گفتگویں ایسے صارفین کے تبصروں سے بھری پڑی ہیں جو اس حملے کے بنیادی میکانکس کو بھی نہیں سمجھتے ہیں۔ عام طور پر، 2FA تحفظات تصدیقی ایپ کے ذریعہ تیار کردہ یا ٹیکسٹ یا ای میل کے ذریعہ بھیجے گئے ایک بار کے پاس ورڈ کی شکل اختیار کرتے ہیں۔ وہ عام طور پر چھ ہندسوں کے ہوتے ہیں اور ہر 45 یا اس سیکنڈ میں تبدیل ہوتے ہیں، حالانکہ جیسا کہ اوپر نوٹیفکیشن بتاتا ہے، کوڈ تین گھنٹے تک درست رہا۔
Brute-Forcing ایک آزمائشی اور غلطی کا طریقہ ہے جو دائیں طرف اترنے تک ہر ممکنہ امتزاج کو تیزی سے پیش کرتا ہے۔ ان مفروضوں کے تحت، 1 ملین ممکنہ پاس کوڈز ہوں گے۔ ایک کامیاب خلاف ورزی کے لیے تین گھنٹے کی کھڑکی کے اندر ان میں سے اعدادوشمار کے لحاظ سے اہم فیصد کو داخل کرنے کی ضرورت ہوگی۔
اگرچہ اتنے کم وقت میں اندازوں کے حجم کے ساتھ Dashlane سرورز پر بمباری کے لیے درکار وسائل ممکن ہیں، لیکن وہ عام طور پر وحشیانہ طاقت کے حملوں میں نہیں پائے جاتے ہیں۔ Dashlane واضح طور پر یہ نہیں کہتا ہے کہ اس نے صارف کی جانب سے کی جانے والی گذارشات کی تعداد پر شرح کی حد مقرر کی ہے، حالانکہ یہ ممکنہ طور پر ایڈوائزری میں زبان کی بنیاد پر ظاہر ہوتا ہے کہ “صارف کے اکاؤنٹس پر کوششوں کی زیادہ مقدار کی وجہ سے، Dashlane کے سیکیورٹی کنٹرول خود بخود اکاؤنٹس کو لاک کر دیتا ہے جنہیں حملے کا نشانہ بنایا گیا تھا۔” یہاں تک کہ یہ فرض کرتے ہوئے کہ کوئی ریٹ محدود نہیں ہے، یہ تصور کرنا مشکل ہے کہ ڈیشلن سرورز ایک گھنٹے یا اس سے زیادہ میں 150,000 یا اس سے زیادہ جمع آوریاں وصول کرتے وقت کم از کم عارضی طور پر دم گھٹ رہے ہوں۔
