प्रमुख कमजोरियों को उजागर करने के लिए भारतीय हैकरों ने $ 22000 Google बग इनाम जीता

5


Google क्लाउड प्रोग्राम (GCP) परियोजनाओं में बड़ी खामियां पाए जाने के बाद दो भारतीय हैकरों ने बग बाउंटी में 22000 डॉलर से अधिक का नकद पुरस्कार जीता है।

दो भारतीय हैकरों ने Google से बग बाउंटी के रूप में $22000 से अधिक का कुल नकद इनाम जीता है। बग बाउंटी पुरस्कार हैं, आमतौर पर नकद पुरस्कार, प्रमुख तकनीकी कंपनियों द्वारा उन व्यक्तियों को दिए जाते हैं जो अपने कंप्यूटर प्रोग्राम या सिस्टम में त्रुटि या भेद्यता की पहचान करते हैं। Google क्लाउड प्रोग्राम (GCP) परियोजनाओं में प्रमुख सुरक्षा कमजोरियों को खोजने के लिए ये विशेष बग बाउंटी Google द्वारा भारतीय हैकर जोड़ी को प्रदान किए गए थे। उनमें से, सबसे बड़ा इनाम एक सर्वर-साइड अनुरोध जालसाजी (SSRF) बग और बाद में पैच बायपास था जिसने उन्हें $5000 की शानदार कमाई की।

इनाम जीतने वाले दो भारतीय श्रीराम केएल और शिवनेश अशोक हैं, जो दोनों Google भेद्यता पुरस्कार कार्यक्रम (वीआरपी) का हिस्सा हैं। शिवनेश ने भी पोस्ट किया ब्लॉग बग का विवरण और वे उनके सामने कैसे आए। ट्विटर पर इसके बारे में पोस्ट करते हुए उन्होंने कहा, “कैसे के बारे में एक लेख

@kl_sree और मुझे Google क्लाउड में एक बग मिला जिसने हमें पीड़ित के कंप्यूट इंजन VM को टेकओवर करने की अनुमति दी।

भारतीय हैकरों की जोड़ी को गूगल में खामियां मिलीं

SSRF बग विशेष रूप से एक खतरनाक भेद्यता है। इस भेद्यता का दुरुपयोग करके, हैकर्स पीड़ितों को दुर्भावनापूर्ण लिंक खोलने के लिए बरगला सकते हैं और दूर से उनकी GCP परियोजनाओं पर नियंत्रण कर सकते हैं।

शिवनेश ने अपने ब्लॉग में बताया, “चूंकि कोई यादृच्छिक टोकन या सीएसआरएफ सुरक्षा नहीं थी, कोई भी एक लिंक तैयार कर सकता था और एक कंप्यूट इंजन उपयोगकर्ता को उनके उदाहरण में एक नया उपयोगकर्ता बनाने के लिए भेज सकता था … पीड़ित को एक दुर्भावनापूर्ण लिंक खोलने से जोड़ा जाएगा उनके कंप्यूटर में हमलावर का उपयोगकर्ता नाम और SSH कुंजी”।

हालाँकि, लोगों को इसके बारे में चिंता करने की आवश्यकता नहीं है क्योंकि सुरक्षा जोखिम को चिह्नित किए जाने के बाद, Google ने एक पैच जारी किया है जो इस मुद्दे का ध्यान रखता है। साथ ही, दोनों भारतीयों ने और भी कई कमजोरियों का खुलासा किया।

डेली स्विग से बात करते हुए श्रीराम कहा“इस समस्या का पता लगाने के दौरान, हमें प्रबंधित GCP उत्पादों की कार्यप्रणाली के बारे में जानकारी प्राप्त हुई, जिससे हमें GCP में अन्य बग खोजने में मदद मिली”।

गूगल वीआरपी क्या है

Google भेद्यता पुरस्कार कार्यक्रम (वीआरपी) सुरक्षा जोखिमों का पता लगाने और उनके लिए पैच प्रदान करने के लिए बाहरी सुरक्षा शोधकर्ताओं के योगदान को पुरस्कृत करने की एक औपचारिक प्रक्रिया है। जब तक एक सुरक्षा शोधकर्ता Google के दिशानिर्देशों का पालन करता है, तब तक कोई भी भाग ले सकता है और भेद्यता को फ़्लैग कर सकता है और Google से पुरस्कार प्राप्त कर सकता है।




Supply hyperlink