होम > विज्ञान और तकनीक

भारत के 2 हैकर्स ने पकड़ी गूगल की बग

भारत के 2 हैकर्स ने पकड़ी गूगल की बग

भारत के 2 हैकर्स ने पकड़ी गूगल की बग 

क्या आप जानते हैं कि गलती खोजने पर आपको भारी इनाम मिल सकता है? दो भारतीय हैकर्स को 22,000 डॉलर मिले, जो कि गूगल के बग बाउंटी के रूप में एक गंभीर खामी का पता लगाने के लिए लगभग 18 लाख रुपये के बराबर है। शीर्ष तकनीकी कंपनियां उन लोगों को बग बाउंटी प्रदान करती हैं जो सफलतापूर्वक अपने कंप्यूटर प्रोग्राम या सिस्टम में भेद्यता की पहचान करते हैं। Google के क्लाउड प्रोग्राम प्रोजेक्ट्स में सुरक्षा दोष खोजने के लिए भारतीय हैकर्स को पुरस्कृत किया गया। उन्होंने एक प्रमुख सर्वर साइड अनुरोध जालसाजी बग और बाद में पैच बायपास देखा, जिससे उन्हें $5000 मिले।

हैकर्स श्रीराम केएल और शिवनेश अशोक ने एक ब्लॉग पोस्ट में कहा कि वे गूगल के सॉफ्टवेयर, खासकर गूगल क्लाउड प्लेटफॉर्म में बग ढूंढने की कोशिश कर रहे थे। वे इस प्लेटफॉर्म के लिए नए थे और जब वे इसकी खोज कर रहे थे, तो उन्हें "SSH-in-browser" नामक सुविधाओं में से एक में समस्या मिली।

“चूंकि यह Google क्लाउड में हमारा पहला कदम था, हम स्वाभाविक रूप से सबसे लोकप्रिय उत्पादों में से एक, कंप्यूट इंजन पर ठोकर खा गए। इसकी विशेषताओं और यह कैसे काम करता है, इसकी खोज करते समय, मैंने "एसएसएच-इन-ब्राउज़र" देखा। यह जीसीपी में एक विशेषता है जो उपयोगकर्ताओं को एसएसएच के माध्यम से ब्राउज़र के माध्यम से अपने कंप्यूट इंस्टेंस तक पहुंचने देती है। विज़ुअली, यह इंटरफ़ेस क्लाउड शेल के समान दिखता है, ”अशोक ने ब्लॉग में कहा।

उन्होंने आगे बताया कि यह सुविधा उपयोगकर्ताओं को एसएसएच नामक प्रोटोकॉल का उपयोग करके अपने वेब ब्राउज़र के माध्यम से वर्चुअल मशीन की तरह अपने कंप्यूटर इंस्टेंस तक पहुंचने की अनुमति देती है। उन्होंने जो बग पाया वह किसी को किसी और की वर्चुअल मशीन को केवल एक क्लिक से नियंत्रित करने की अनुमति दे सकता था, जो एक गंभीर समस्या है। वे हैरान थे कि उन्हें यह समस्या इतनी आसानी से मिल गई, क्योंकि उन्होंने अभी Google क्लाउड प्लेटफॉर्म को देखना शुरू ही किया था। शोधकर्ताओं द्वारा Google के क्लाउड प्लेटफ़ॉर्म में दोष की सूचना देने के बाद, खोज दिग्गज ने जीईटी एंडपॉइंट्स के लिए क्रॉस-साइट अनुरोध जालसाज़ी (CSRF) सुरक्षा नामक एक सुरक्षा सुविधा जोड़कर और डोमेन को सत्यापित करने के तरीके में सुधार करके समस्या को ठीक किया।

इससे पहले, अशोक और श्रीराम ने एक अन्य Google क्लाउड प्लेटफॉर्म "थीया" में भी एक बग देखा था। अपने शोध में, उन्होंने पाया कि थिया का जो संस्करण वे उपयोग कर रहे थे वह नवीनतम नहीं था। उन्होंने इस संस्करण में कमजोरियों की तलाश की और कई कमजोरियां पाईं, लेकिन उन्होंने पाया कि उन सभी को सिस्टम का फायदा उठाने के लिए इस्तेमाल नहीं किया जा सकता है। उनमें से कुछ को स्थापना से हटा दिया गया था या अवास्तविक उपयोगकर्ता इंटरैक्शन की आवश्यकता थी, जैसे फ़ाइल अपलोड करना और फिर इसे खोलना, जिससे सिस्टम का फायदा उठाना मुश्किल हो गया।