माइक्रोसॉफ्ट ने भारतीय रिसर्चर को दिया 37 लाख रुपये का इनाम, जानिए वजह

लेखन प्राणेश तिवारी

Mar 05, 2021

08:00 pm

क्या है खबर?

सॉफ्टवेयर कंपनी माइक्रोसॉफ्ट ने चेन्नई बेस्ड सिक्योरिटी रिसर्चर लक्ष्मण मूथिया को 50,000 डॉलर (करीब 37 लाख रुपये) का इनाम दिया है। लक्ष्मण ने माइक्रोसॉफ्ट ऑनलाइन सर्विसेज में मौजूद एक खामी का पता लगाया था, जिसके बदले उन्हें बाउंटी अवॉर्ड दिया गया है। ब्लॉग पोस्ट में लक्ष्मण ने बताया है कि माइक्रोसॉफ्ट प्रोडक्ट में मौजूद खामी की वजह से कोई भी बिना परमिशन लिए माइक्रोसॉफ्ट अकाउंट को टेक-ओवर कर सकता था। हालांकि, अब इसे फिक्स कर दिया गया है।

इनाम

सिक्योरिटी टीम ने दूर कर दी खामी

माइक्रोसॉफ्ट और दूसरी बड़ी सॉफ्टवेयर कंपनियां अपने प्रोडक्ट की खामियां बताने वाले रिसर्चर्स को बदले में इनाम देती हैं। लक्ष्मण ने जिस खामी के बारे में माइक्रोसॉफ्ट को जानकारी दी, उसे माइक्रोसॉफ्ट सिक्योरिटी टीम की ओर से फिक्स कर दिया गया है। चेन्नई के सिक्योरिटी रिसर्चर को माइक्रोसॉफ्ट के आइडेंटिटी बाउंटी प्रोग्राम के तहत इनाम दिया गया है। इससे पहले लक्ष्मण ने इंस्टाग्राम में भी ऐसी खामी का पता लगाया था और सोशल मीडिया प्लेटफॉर्म को जानकारी दी थी।

खामी

आखिर क्या थी ऑनलाइन सर्विसेज की गड़बड़?

भारतीय रिसर्चर ने जिस खामी का पता लगाया, उसकी मदद से वह किसी के अकाउंट को टेकओवर कर सकते थे। उन्हें माइक्रोसॉफ्ट ऑनलाइन सर्विसेज के 'फॉरगॉट पासवर्ड' पेज से जुड़ी जिस गड़बड़ का पता चला, वह पासवर्ड भूलने की स्थिति में यूजर के ईमेल एड्रेस और फोन नंबर पर 7-डिजिट का कोड भेजती थी, जिसके बाद पासवर्ड रीसेट किया जा सकता था। 7-डिजिट कोड के सभी कॉम्बिनेशंस को आजमाकर बिना यूजर की परमिशन के उसका पासवर्ड बदला जा सकता था।

तरीका

ऐसे पता लगाया जा सकता था कोड

7-डिजिट के कोड कॉम्बिनेशंस में से सही कोड का पता लगाने के लिए 10x7 यानी कि 1 करोड़ कोड तैयार किए जा सकते हैं, जिनमें से केवल एक की मदद से पासवर्ड बदला जा सकता था। कुछ रेट लिमिट्स होने के चलते यूजर्स एकसाथ ढेरों कोड ट्राई नहीं करते लेकिन लक्ष्मण ने कुछ दिन में सिस्टम में मौजूद खामी का पता लगा लिया। इसके बाद वे कोड की मदद से किसी का भी अकाउंट टेकओवर कर सकते थे।

ट्विटर पोस्ट

ट्वीट में दी जानकारी

Microsoft Account Takeover! 😊😇 Thank you very much @msftsecresponse for the bounty! 🙏🙏🙏
Write up - https://t.co/9ATsxAUfeB pic.twitter.com/pDEYv5f400

— Laxman Muthiyah (@LaxmanMuthiyah) March 2, 2021

फिक्स

पिछले साल नवंबर में फिक्स हुई खामी

रिसर्चर ने बताया, "मैंने फौरन अकाउंट बायपास करने के इस तरीके का पता लगाया और इसे माइक्रोसॉफ्ट को सबमिट किया। मैंने डीटेल्स दीं और बताया कि ऐसा कैसे किया जा सकता है।" माइक्रोसॉफ्ट ने फौरन ऐक्शन लिया और लक्ष्मण की मानें तो इस खामी को नवंबर, 2020 में ही फिक्स कर दिया गया है। लक्ष्मण ने बताया कि माइक्रोसॉफ्ट की ओर से 21 फरवरी, 2021 को उन्हें 50,000 डॉलर (करीब 37 लाख रुपये) बाउंटी के तौर पर दिए गए हैं।