ویڈیو: دس ÙÙ†ÛŒ لمØات جس ميں لوگوں Ú©ÛŒ کيسے دوڑيں لگتی ÛÙŠÚº ™,999 ÙÙ†ÛŒ (اکتوبر 2024)
حفاظتی محققین جو دخول کی جانچ میں مہارت رکھتے ہیں وہ اپنے دن (اور رات) سیکیورٹی سسٹم کو توڑنے کی کوشش میں گزارتے ہیں۔ اگر ان کو بدکاری سے پہلے کسی پروڈکٹ میں حفاظتی سوراخ مل جاتا ہے تو ، اس سے مصنوع کے بنانے والے کو پیچ پیدا کرنے کا وقت مل جاتا ہے۔ اس میں محقق کے لئے کیا ہے؟ ہوسکتا ہے کہ $ 100،000 بگ فضل ، اگر مسئلہ مائیکرو سافٹ پروڈکٹ میں تھا۔ ایک سیکیورٹی خدمات اور دخول جانچنے والی فرم ، ہائی ٹیک برج کے محققین نے اطلاع دی ہے کہ یاہو بھی ایک بگ فضل پیش کرتا ہے۔ ایک قابل تصدیق حفاظتی مسئلے کا پہلا رپورٹر ملتا ہے … $ 12.50 ، جو صرف "یافتہ کارپوریٹ ٹی شرٹس ، کپ ، قلم اور دیگر لوازمات" کے لئے یاہو کے کمپنی اسٹور میں قابل ادائیگی ہے۔ واقعی ، یاہو؟
جلدی سے پھٹے
یاہو ویب پیج پر سیکیورٹی کمپنی کے ذریعہ پہلے سے اٹھائے گئے حفاظتی اقدامات کے ساتھ ساتھ نکات کا ایک مجموعہ بھی بتاتی ہے۔ وہ افراد جو یہ خیال کرتے ہیں کہ ان کے اکاؤنٹس کو ہیک کیا گیا ہے یا سمجھوتہ کیا گیا ہے وہ مدد کے لئے اس صفحے سے یاہو سے رابطہ کرسکتے ہیں۔ اس میں یہ بھی کہا گیا ہے ، "اگر آپ سیکیورٹی برادری کے ممبر ہیں اور تکنیکی کمزوری کی اطلاع دینے کی ضرورت ہے تو ، رابطہ کریں: امنیت@yahoo-inc.com"۔
بگ باؤنٹی سسٹم کا جائزہ لینے کے لئے ، ہائی ٹیک برج کے محققین بیٹھ گئے اور یاہو کی ویب سائٹوں میں سکیورٹی کے سوراخ ڈھونڈنے لگے۔ انہیں ایک دم تو مل گیا ، لیکن اس کی اطلاع پہلے ہی مل چکی ہے۔ ایک اور دو دن کے دوران ، انہیں تین نئی کراس سائٹ اسکرپٹ کی خرابیاں ملی ، جو سبھی نئی ہیں۔ (کیا یہ اپنے آپ میں قدرے پریشانی کا باعث نہیں ہے؟) اس رپورٹ کے مطابق ، "دریافت شدہ ہر خطرے نے کسی بھی یاہو ڈاٹ کام کے ای میل اکاؤنٹ کو لاگ ان یاہو صارف کو خصوصی طور پر تیار کیا ہوا لنک بھیج کر سمجھوتہ کرنے کی اجازت دی ہے۔" ایک بار جب صارف اس لنک پر کلیک کرتا ہے تو ، یہ ختم ہو جاتا ہے۔
یاہو کے اپنے محققین نے تصدیق کی کہ واقعی یہ کمزوریاں موجود ہیں (جب سے وہ طے ہوچکی ہیں)۔ انہوں نے تحقیقاتی ٹیم کو دل کا شکریہ ادا کرنے ، اور کمپنی اسٹور پر قابل ادائیگی کے لئے فی بگ. 12.50 کا ایوارڈ پیش کیا۔ محققین متاثر نہیں تھے۔ رپورٹ میں کہا گیا ہے ، "اس مقام پر ہم نے مزید تحقیق کو روکنے کا فیصلہ کیا۔"
بڑے انعامات
مائیکرو سافٹ کچھ رپورٹس کے لئے ایک $ 100،000 کا فضل ادا کرے گا۔ فیس بک نے ایک ملین ڈالر ادا کیے ہیں۔ ایپل بگ انعامات ادا نہیں کرتا ہے ، لیکن شہرت کے ساتھ "ذمہ دار انکشاف" کا بدلہ دیتا ہے۔ میرے نزدیک ، ایپل کی غیر نقد رقم کے جوش شہرت کی پالیسی اچانک تبدیلی دینے سے کہیں بہتر ہے۔
ہائی ٹیک برج کی سی ای او الیا کولوچینکو نے تبصرہ کیا ، "یاہو کو سیکیورٹی کے محققین کے ساتھ اپنے تعلقات پر نظر ثانی کرنا چاہئے۔" "فی خطرے میں کئی ڈالر ادا کرنا ایک برا مذاق ہے اور لوگوں کو ان کو سلامتی کے خطرات کی اطلاع دینے کی ترغیب نہیں دے گا ، خاص طور پر جب اس طرح کے کمزوریاں آسانی سے بلیک مارکیٹ میں بہت زیادہ قیمت پر فروخت کی جاسکتی ہیں۔" انہوں نے یہ نتیجہ اخذ کیا کہ اگر یاہو کارپوریٹ سیکیورٹی پر زیادہ خرچ نہیں کرتا ہے تو ، "یاہو کا کوئی بھی صارف کبھی بھی خود کو محفوظ محسوس نہیں کرسکتا ہے۔"
دیگر کمپنیوں کو یہ سمجھنے کے ل prod بڑھنے کی ضرورت ہے کہ بگ بونٹس بڑے وقت کا معاوضہ ادا کرتے ہیں۔ کچھ سال پہلے فیس بک صرف $ 500 کی پیش کش کر رہا تھا۔ ابھی حال ہی میں ایک محقق ، جس نے فیس بک کے ذریعہ فضل سے انکار کیا ، مارک زکربرگ کی دیوار پر پوسٹ کرکے اپنی انکشاف کا مظاہرہ کیا۔ اوپن سیکیورٹی فاؤنڈیشن کے صدر ، برائن مارٹن نے نوٹ کیا کہ "یہاں تک کہ مائیکروسافٹ ، جو بگ فضل پروگراموں میں سب سے زیادہ بدنام زمانہ تھا ، نے اس کی قیمت کا ادراک کیا اور 100،000 offering تک کی پیش کش کرتے ہوئے ، باقی سے آگے بڑھا۔" انہوں نے مزید کہا ، "ان میں سے کچھ کمپنیاں اپنے جینیٹروں کو اپنے دفتروں کی صفائی کے لئے زیادہ سے زیادہ رقم دیتے ہیں ، اس سے زیادہ کہ وہ سیکیورٹی محققین کو یہ خطرہ تلاش کرتے ہیں کہ ان کے ہزاروں صارفین کو خطرہ لاحق ہوسکتا ہے۔"
مجھے اتفاق کرنا ہوگا۔ اگر فروخت کنندہ سیکیورٹی محققین کے ذریعہ دریافتوں کی ادائیگی نہیں کریں گے تو ، یقینی طور پر اور بھی موجود ہیں جو ان کو قبول کریں گے۔ ہم نہیں چاہتے کہ وہ ہوشیار محقق اپنے بچوں کو کھانا کھلانے کے لئے ڈارک سائڈ کا رخ کریں۔
