بھارت کی سب سے بڑی فارمیسی چین میں استعمال ہونے والے ویب ایڈمن ڈیش بورڈ کی بیک‑اینڈ میں موجود ایک تکنیکی نقص نے ہزاروں آن لائن آرڈرز کی تفصیل عوام کے سامنے بے نقاب کر دی۔ اس براؤزنگ خطِِرِس کے نتیجے میں مریضوں کی نام، پتہ، رابطہ اور خریداری کی تاریخ جیسے حساس معلومات تک غیر مقصود افراد کی رسائی ممکن ہوئی۔
پروپروکسی تفصیلات
مسلۂ کی تشخیص کے بعد معلوم ہوا کہ کمپنی کے داخلی نظام میں موجود ایک API کے لیے مناسب توسیعی توجہ نہ دی گئی تھی۔ اس API کے ذریعے ایڈمن ٹیکنیشینز کو آرڈرز کی فہرست دیکھنے کی سہولت فراہم کی جاتی تھی، مگر اس میں سٹیٹیک فیلٹرنگ اور سیشن کی توسیع کی کمی تھی۔ نتیجتا، کسی بھی براؤزر کے ذریعے اس URL کو براہِ راست کھول کر تمام آرڈرز کی فائلیں حاصل کی جا سکتی تھیں۔
متاثرین اور ان کی تعداد
انکشاف کے مطابق تقریباً ۲۲۰۰ سے زائد مریضوں کے آرڈرز کی تفصیل اس بیک‑اینڈ کی خرابیاں کے باعث عوام کے لیے قابلِ دسترس ہوئی۔ اس میں مری مریضوں کے نام، ایڈریس، موبائل نمبر، خریدی گئی دوائیوں کی تفصیل اور ادائیگی کی تاریخ شامل تھی۔ تاہم، مالی معلومات جیسے بینک تفصیلات یا سیٹیڈ سیڈنگ کے ڈیٹا تک رسائی حاصل نہیں ہوئی۔
شرکت کی جانب سے ردعمل
متعلقہ کمپنی نے فوراً اس بیک‑اینٹ کی خرابیاں کو دور کرنے کے لیے سسٹم کی مکمل جانچ اور سکیورٹی پالیسیوں کی تجدید کا اعلان کیا۔ کمپنی نے متاثرین کو اطلاع دی اور انہیں اپنی معلومات کی حفاظت کے لیے پاسورڈ بدلنے اور دو‑مرحلہ توسیع (2FA) استعمال کرنے کی تلقین کی۔ مزید برآں، کمپنی نے متاثرین کو ایک ماہ کی مدت میں کسی بھی ممکنہ مالی نقصان کی صورت میں تعمیری مدد فراہم کرنے کا وعدہ بھی کیا۔
ماہرین کی رائے
سائبر سکیورٹی کے مشیروں نے اس واقعے کو “بیک‑اینڈ کی بنیادی سٹیٹیک فیلٹرنگ کی عدم موجودگی” اور “آزادانہ طور پر سسیس ٹیسٹ نہ ہونے” کی وجہ سے پیش آنے والی ایک بڑی ناکامی قرار دیا۔ انہوں نے کہا کہ ایسی بڑی ای‑کامرس اور میڈیکل سروسز کو “فاسٹ فائر سٹیٹیک فیلٹرنگ، رول‑بیسڈ ایکسیس کنٹرویل اور سٹیٹیک سیشن مینیجمنٹ” جیسے بنیادی اصولوں پر عمل کرنا چاہیے۔
آئندہ کے لیے احتیاطی تدابیر
یہ حادثہ براؤزنگ سسٹمز کی سکیورٹی کے حوالے سے ایک بار پھر واضح کرتا ہے کہ ہر براؤزر اور ایڈمن ٹیکنیشین کے لیے سٹیٹیک فیلٹرنگ اور سیشن کی محدود مدت کو لازمی بنانا چاہیے۔ ساتھ ہی، کمپنیوں کو اپنی داخلی ایپلیکیشنز کی باقاعدہ سکیورٹی آڈٹ اور پین ٹیسٹ کے ذریعے ممکنہ خطرات کی پیشگی شناخت اور ان کے سدِّیٔی کے لیے پیشگی اقدامات کرنے کی ضرورت ہے۔
