Google: क्या आपको पता है कि अगर आप गलती खोजते है तो आपको लाखों रुपये का इनाम मिल सकता है. सुनने में भले ही यह अजीब लगे लेकिन दो भारतीय हैकर्स को 22,000 डॉलर मिले है, जो कि गूगल के बग बाउंटी के रूप में एक गंभीर खामी का पता लगाने के लिए लगभग 18 लाख रुपये के बराबर है. शीर्ष तकनीकी कंपनियां उन लोगों को बग बाउंटी प्रदान करती हैं जो सफलतापूर्वक अपने कंप्यूटर प्रोग्राम या सिस्टम में बग की पहचान करते हैं. Google के क्लाउड प्रोग्राम प्रोजेक्ट्स में सुरक्षा में दोष खोजने के लिए भारतीय हैकर्स को पुरस्कृत किया गया.
दोनों भारतीय हैकर्स श्रीराम केएल और शिवनेश अशोक ने एक ब्लॉग पोस्ट में कहा कि वे गूगल के सॉफ्टवेयर, खासकर गूगल क्लाउड प्लेटफॉर्म में बग ढूंढने की कोशिश कर रहे थे. वे इस प्लेटफॉर्म के लिए काफी नए थे और जब वे इसकी खोज कर रहे थे, तो उन्हें “SSH-in-browser” नामक सुविधाओं में से एक में समस्या देखने को मिली. अशोक ने ब्लॉग में कहा कि चूंकि यह Google क्लाउड में हमारा पहला कदम था, हम स्वाभाविक रूप से सबसे लोकप्रिय उत्पादों में से एक, कंप्यूट इंजन पर ठोकर खा गए. इसकी विशेषताओं और यह कैसे काम करता है, इसकी खोज करते समय, मैंने “SSH-in-browser” देखा.
उन्होंने आगे बताया कि यह सुविधा उपयोगकर्ताओं को एसएसएच नामक प्रोटोकॉल का उपयोग करके अपने वेब ब्राउज़र के माध्यम से वर्चुअल मशीन की तरह अपने कंप्यूटर इंस्टेंस तक पहुंचने की अनुमति देती है. उन्होंने जो बग पाया वह किसी को किसी और की वर्चुअल मशीन को केवल एक क्लिक से नियंत्रित करने की अनुमति दे सकता था, जो एक गंभीर समस्या है. वे हैरान थे कि उन्हें यह समस्या इतनी आसानी से मिल गई, क्योंकि उन्होंने अभी Google क्लाउड प्लेटफॉर्म को देखना शुरू ही किया था.
शोधकर्ताओं द्वारा Google के क्लाउड प्लेटफ़ॉर्म में दोष की सूचना देने के बाद, खोज दिग्गज ने जीईटी एंडपॉइंट्स के लिए क्रॉस-साइट अनुरोध जालसाज़ी (CSRF) सुरक्षा नामक एक सुरक्षा सुविधा को जोड़कर और डोमेन को सत्यापित करने के तरीके में सुधार करके समस्या को ठीक किया. इससे पहले, अशोक और श्रीराम ने एक अन्य Google क्लाउड प्लेटफॉर्म “थीया” में भी एक बग देखा था. अपने शोध में, उन्होंने पाया कि थिया का जो संस्करण वे उपयोग कर रहे थे वह नवीनतम नहीं था. उन्होंने इस संस्करण में कमजोरियों की तलाश की और कई कमजोरियां पाईं, लेकिन उन्होंने पाया कि उन सभी को सिस्टम का फायदा उठाने के लिए इस्तेमाल नहीं किया जा सकता है.
