माइक्रोसॉफ्ट ने भारतीय रिसर्चर को दिया 37 लाख रुपये का इनाम, जानिए वजह
क्या है खबर?
सॉफ्टवेयर कंपनी माइक्रोसॉफ्ट ने चेन्नई बेस्ड सिक्योरिटी रिसर्चर लक्ष्मण मूथिया को 50,000 डॉलर (करीब 37 लाख रुपये) का इनाम दिया है।
लक्ष्मण ने माइक्रोसॉफ्ट ऑनलाइन सर्विसेज में मौजूद एक खामी का पता लगाया था, जिसके बदले उन्हें बाउंटी अवॉर्ड दिया गया है।
ब्लॉग पोस्ट में लक्ष्मण ने बताया है कि माइक्रोसॉफ्ट प्रोडक्ट में मौजूद खामी की वजह से कोई भी बिना परमिशन लिए माइक्रोसॉफ्ट अकाउंट को टेक-ओवर कर सकता था। हालांकि, अब इसे फिक्स कर दिया गया है।
इनाम
सिक्योरिटी टीम ने दूर कर दी खामी
माइक्रोसॉफ्ट और दूसरी बड़ी सॉफ्टवेयर कंपनियां अपने प्रोडक्ट की खामियां बताने वाले रिसर्चर्स को बदले में इनाम देती हैं।
लक्ष्मण ने जिस खामी के बारे में माइक्रोसॉफ्ट को जानकारी दी, उसे माइक्रोसॉफ्ट सिक्योरिटी टीम की ओर से फिक्स कर दिया गया है।
चेन्नई के सिक्योरिटी रिसर्चर को माइक्रोसॉफ्ट के आइडेंटिटी बाउंटी प्रोग्राम के तहत इनाम दिया गया है।
इससे पहले लक्ष्मण ने इंस्टाग्राम में भी ऐसी खामी का पता लगाया था और सोशल मीडिया प्लेटफॉर्म को जानकारी दी थी।
खामी
आखिर क्या थी ऑनलाइन सर्विसेज की गड़बड़?
भारतीय रिसर्चर ने जिस खामी का पता लगाया, उसकी मदद से वह किसी के अकाउंट को टेकओवर कर सकते थे।
उन्हें माइक्रोसॉफ्ट ऑनलाइन सर्विसेज के 'फॉरगॉट पासवर्ड' पेज से जुड़ी जिस गड़बड़ का पता चला, वह पासवर्ड भूलने की स्थिति में यूजर के ईमेल एड्रेस और फोन नंबर पर 7-डिजिट का कोड भेजती थी, जिसके बाद पासवर्ड रीसेट किया जा सकता था।
7-डिजिट कोड के सभी कॉम्बिनेशंस को आजमाकर बिना यूजर की परमिशन के उसका पासवर्ड बदला जा सकता था।
तरीका
ऐसे पता लगाया जा सकता था कोड
7-डिजिट के कोड कॉम्बिनेशंस में से सही कोड का पता लगाने के लिए 10x7 यानी कि 1 करोड़ कोड तैयार किए जा सकते हैं, जिनमें से केवल एक की मदद से पासवर्ड बदला जा सकता था।
कुछ रेट लिमिट्स होने के चलते यूजर्स एकसाथ ढेरों कोड ट्राई नहीं करते लेकिन लक्ष्मण ने कुछ दिन में सिस्टम में मौजूद खामी का पता लगा लिया।
इसके बाद वे कोड की मदद से किसी का भी अकाउंट टेकओवर कर सकते थे।
ट्विटर पोस्ट
ट्वीट में दी जानकारी
Microsoft Account Takeover! 😊😇 Thank you very much @msftsecresponse for the bounty! 🙏🙏🙏
— Laxman Muthiyah (@LaxmanMuthiyah) March 2, 2021
Write up - https://t.co/9ATsxAUfeB pic.twitter.com/pDEYv5f400
फिक्स
पिछले साल नवंबर में फिक्स हुई खामी
रिसर्चर ने बताया, "मैंने फौरन अकाउंट बायपास करने के इस तरीके का पता लगाया और इसे माइक्रोसॉफ्ट को सबमिट किया। मैंने डीटेल्स दीं और बताया कि ऐसा कैसे किया जा सकता है।"
माइक्रोसॉफ्ट ने फौरन ऐक्शन लिया और लक्ष्मण की मानें तो इस खामी को नवंबर, 2020 में ही फिक्स कर दिया गया है।
लक्ष्मण ने बताया कि माइक्रोसॉफ्ट की ओर से 21 फरवरी, 2021 को उन्हें 50,000 डॉलर (करीब 37 लाख रुपये) बाउंटी के तौर पर दिए गए हैं।