For Bug Hunters in India, Apple Has Become a New Honeypot

For Bug Hunters in India, Apple Has Become a New Honeypot

Apple ने अपने ऑपरेटिंग सिस्टम का नवीनतम संस्करण, iOS 14 से iPhones, और iPad OS 14 के लिए iPads जारी किया है। इसने डेवलपर्स को समीक्षा के लिए अपने एप्लिकेशन प्रस्तुत करने के लिए पर्याप्त समय नहीं देने के कारण आलोचना की है, और आप कुछ समय के लिए मुद्दों की उम्मीद कर सकते हैं। यह अंतिम उपयोगकर्ताओं के लिए बहुत अच्छा नहीं है – लेकिन भारत के नैतिक हैकर्स और सुरक्षा शोधकर्ताओं के तेजी से बढ़ते समुदाय के लिए, Apple के पास पैसा बनाने के अवसरों में एक झंकार बजने जैसी समस्याएं होंगी।

Bugcrowd और सहित वैश्विक मंच HackerOne भारतीय शोधकर्ताओं द्वारा अपने प्लेटफार्मों पर बग की रिपोर्टिंग करने में भी जबरदस्त वृद्धि देखी जा रही है। HackerOne के अनुसार, जनवरी और जुलाई के बीच भारत में 64,000 नए हैकरों ने 2019 में इसी अवधि में 29,000 की तुलना में हस्ताक्षर किए। इस समय में, कंपनियों द्वारा भुगतान किए जाने वाले बाउंटी की संख्या भी लगभग दोगुनी हो गई, जैसे कंपनियों द्वारा भारी भुगतान सेब

28 साल के नरेंद्र भाटी अपने सपनों को पूरा करने के लिए राजस्थान के शोगंज नामक एक छोटे से शहर से गुजरात के अहमदाबाद चले गए और एक एनिमेटर के रूप में अपनी यात्रा शुरू की। हालांकि, हैकिंग के बारे में फेसबुक पर एक ब्लॉग पोस्ट पढ़ने के बाद, उन्होंने एनीमेशन पाठ्यक्रम के लिए भुगतान की गई पहली किश्त को त्यागने का फैसला किया और साइबर स्पेस की ओर बढ़ गए।

आखिरकार भाटी एथिकल हैकिंग के बारे में छात्रों और कॉर्पोरेट कर्मचारियों को प्रशिक्षित करने के लिए एक संस्थान में शामिल हो गए – साथ ही हैकिंग और वेब पर पैठ परीक्षण के बारे में सीखना। उन्होंने सुरक्षा खामियों पर शोध करने और उन्हें रिपोर्ट करने के लिए रातें बिताई और दिन में छात्रों को सफेद टोपी की हैकिंग की मूल बातें सिखाईं।

2016 में, भाटी को रूसी खोज इंजन से अपने पहले इनाम के साथ पुरस्कृत किया गया था Yandex एक दोष की रिपोर्ट करने के लिए। इनाम $ 109 (लगभग 8,000 रुपये) का था।

राजस्थानी सहस्राब्दी अब तक विभिन्न कंपनियों के लिए लगभग 500 बग ढूंढ चुकी है और इनमें कई वैश्विक कंपनियां शामिल हैं फेसबुक, गूगल, लिंक्डइन, तथा माइक्रोसॉफ्ट, दूसरों के बीच में। लेकिन जून की शुरुआत में, उसने कंपनी के सॉफ्टवेयर और बुनियादी ढांचे में सुरक्षा के मुद्दों को खोजने के लिए Apple उत्पादों पर प्रयास करना शुरू कर दिया।

एक रिपोर्ट किए गए बग के अनुसार, 6 अगस्त को, Apple ने भाटी को $ 16,000 (लगभग 12 करोड़ रुपये) का इनाम दिया। यह अब तक का सबसे बड़ा इनाम था। उन्होंने एक ट्वीट के माध्यम से उस खबर को सार्वजनिक कर दिया, हालांकि उन्होंने इस दोष की सीमा को नहीं बताया कि कुछ अन्य संबंधित जो भेद्यता को तय करना बाकी है।

“इसकी तुलना में [some] अन्य कंपनियों, वे कर रहे हैं [the security team at Apple] पत्रकारों को अपडेट प्रदान करने में बहुत पारदर्शी, “भाटी, जो वर्तमान में सुमा सॉफ्ट में लीड पेंटेस्टर (सहायक प्रबंधक) के रूप में काम कर रहे हैं, ने गैजेट्स 360 को बताया।” मुझे कुछ अन्य कार्यक्रमों में बहुत बुरा अनुभव हुआ, जहां पत्रकारों को हफ्तों तक इंतजार करने की जरूरत थी प्रतिक्रिया प्राप्त करें। ”

क्यूपर्टिनो कंपनी का शुभारंभ किया आईटी इस सुरक्षा बाउंटी पिछले साल दिसंबर में सभी सुरक्षा शोधकर्ताओं के लिए कार्यक्रम और $ 1 मिलियन (लगभग 7.36 करोड़ रुपये) और अधिक के पुरस्कार प्रदान करता है, जिसने कई सुरक्षा शोधकर्ताओं को आकर्षित किया है – जिन्हें आमतौर पर उनके समुदाय में बग बाउंटी हंटर्स के रूप में जाना जाता है। कुछ को भारी इनाम के साथ भुगतान किया गया है, जबकि अन्य हैं सम्मानित कंपनी के हॉल ऑफ फेम में – एक समर्पित सपोर्ट पेज जहां कंपनी अपने वेब सर्वर में संभावित सुरक्षा मुद्दों की रिपोर्टिंग के लिए लोगों को श्रेय देती है।

Apple के सिक्योरिटी बाउंटी प्रोग्राम की ओर बढ़ रहे भारतीय सुरक्षा शोधकर्ताओं ने दिल्ली स्थित मोबाइल ऐप डेवलपर भवुक जैन के बाद और भी अधिक गति प्राप्त की $ 100,000 जीता (लगभग 74 लाख रुपये) Rs में एक महत्वपूर्ण बग खोजने के लिएApple के साथ साइन इन करें‘सुविधा।

जैन तीन साल पहले साइबर स्पेस की दुनिया में आए, और उन्होंने पहली बार एक बग को देखा याहू कि अंततः उसे एक सुरक्षा शोधकर्ता बना दिया। Apple के साथ साइन इन बग को खोजने में चार घंटे लगे, जिससे हैकर्स को लिंक किए गए उपयोगकर्ता खातों तक पहुंच प्राप्त करने की अनुमति मिल सकती थी। उन्होंने अप्रैल के मध्य में ऐप्पल के दोष की सूचना दी, और कंपनी से आगे बढ़ने के बाद, उन्होंने 30 मई को एक ब्लॉग पोस्ट के माध्यम से सार्वजनिक रूप से दोष का खुलासा किया।

28 वर्षीय जैन ने गैजेट्स 360 को बताया, “Apple एक अत्यधिक सुरक्षा वाली कंपनी है।” हर सॉफ्टवेयर में बग होते हैं। ”

जैन और भाटी के समान, गुजरात के गांधीनगर के अरमान पठान को १ अगस्त को ६,००० डॉलर (लगभग ४.५ लाख रुपये) का इनाम मिला। उन्होंने भाटी से अपनी बुनियादी पैठ कौशल सीखने के बाद २०१५ में एथिकल हैकिंग उद्योग में कदम रखा। Bugcrowd, HackerOne, और Synack सहित प्लेटफार्मों के माध्यम से उपलब्ध बग बाउंटी कार्यक्रमों में भाग लेकर एक सुरक्षा शोधकर्ता के रूप में उनकी यात्रा। अब तक, 25-वर्षीय को सहित कंपनियों में 100 से अधिक सुरक्षा कमजोरियां मिलीं ड्रॉपबॉक्स, फेसबुक, गूगल और ट्विटरएप्पल के लिए अपना ध्यान केंद्रित करने से पहले, दूसरों के बीच।

“मुझे अभी भी याद है कि मैंने दिसंबर 2018 में उस एप्लिकेशन का परीक्षण शुरू किया था,” उन्होंने कहा। “मैं वहां सक्रिय रूप से मुद्दों की तलाश नहीं कर रहा था, लेकिन जुलाई के अंत में, मुझे एक मुद्दा मिला और मैंने इसे रिपोर्ट किया।”

Apple ने पठान को एक दो दिनों में रिपोर्ट की गई बग के बारे में एक स्वीकृति प्रदान की, हालांकि कंपनी को उस दोष को ठीक करने और इनाम भेजने में 15 से 20 दिन लग गए।

भाटी, जैन, और पठान के अलावा, भारत में कई सुरक्षा शोधकर्ता हैं, जिन्होंने ऐप्पल को बग की सूचना दी है, हालांकि वे कोई भी इनाम प्राप्त करने के लिए पात्र नहीं थे।

अलवर, राजस्थान के 21 वर्षीय वरुण गुप्ता, उन युवा भारतीय शोधकर्ताओं में से हैं, जिन्हें ऐप्पल के एक सर्वर में एक सुरक्षा गलत धारणा के बारे में रिपोर्ट करने के लिए ऐप्पल के हॉल ऑफ फेम में चित्रित किया गया है।

गुप्ता ने कहा, “मैंने कई शोधकर्ताओं को प्रसिद्धि और पुरस्कार के बारे में पोस्ट करते हुए देखा है जो उन्हें ऐपल से मिल रहे हैं, इसलिए मैंने भी इसे आजमाने की सोची,” गुप्ता ने कहा, जो वर्तमान में पेट्रोलियम और ऊर्जा अध्ययन विश्वविद्यालय से प्रौद्योगिकी में स्नातक कर रहे हैं। देहरादून, उत्तराखंड।

गुप्ता के साथ, रितिक चड्ढा को भी ऐप्पल द्वारा उपडोमेन पर एक जानकारी का खुलासा करने के लिए एप्पल द्वारा सम्मानित किया गया है। बग आंतरिक प्रणाली की जानकारी और सिस्टम द्वारा किए जा रहे आंतरिक एपीआई कॉल को लीक कर रहा था। हालांकि यह अंतिम उपयोगकर्ताओं को प्रभावित नहीं कर रहा था, इससे ऐप्पल के आंतरिक नेटवर्क के बारे में जानकारी हासिल करने में दुर्भावनापूर्ण हमलावरों को मदद मिल सकती है, 20 वर्षीय ने कहा, जो बुलंदशहर, उत्तर प्रदेश से हैं और कंप्यूटर एप्लीकेशन प्रोग्राम में बैचलर ऑफ स्टूडेंट हैं एमिटी यूनिवर्सिटी, नोएडा।

“मैं सक्रिय रूप से ऐप्पल सबडोमेनस को फ़िज़ कर रहा था, किसी भी भेद्यता की तलाश में और सौभाग्य से, मैं इस समापन बिंदु पर आया था,” उन्होंने गैजेट्स 360 को बताया।

आकर्षण के प्रमुख कारणों के रूप में बड़ा पैसा, ब्रांड मूल्य
Apple सिक्योरिटी बाउंटी प्रोग्राम वेबपेज पर लिस्टिंग से पता चलता है कि कंपनी अपने उत्पादों और सेवाओं में मौजूद मुद्दों की सूची के लिए बाउंटी भुगतान करती है। इसमें खामियों को खोजने के लिए $ 25,000 (लगभग 18.5 लाख रुपये) के भुगतान के साथ शुरू होता है iCloud, लॉक स्क्रीन, और उपयोगकर्ता-स्थापित ऐप। हालांकि, बाउंटी भुगतान $ 1 मिलियन तक जाता है – लगभग रु। 7.37 करोड़ – बड़े मुद्दों के लिए।

मुंबई स्थित एथिकल हैकिंग इंस्टीट्यूट हैकिटिफाइड साइबर सिक्योरिटी के संस्थापक रोहित गौतम ने कहा, “एप्पल एक आकर्षक कार्यक्रम चला रहा है, क्योंकि इसके इनाम अन्य इनाम कार्यक्रमों की तुलना में बहुत बड़े हैं।”

“बग शिकार में बहुत प्रयास शामिल हैं,” भीड़ के बग बग़ीचे के मंच BugsBounty.com के सह-संस्थापक हिमांशु शर्मा ने कहा। “एक महत्वपूर्ण भेद्यता को खोजने के लिए घंटे खर्च करने की कल्पना करें और $ 100 का भुगतान करें (लगभग 7,300 रु।)। यह बहुत सारे बग हंटर्स के लिए एक डिमोनेटाइजेशन है और यही कारण है कि लोग एक कार्यक्रम में रुचि खो देते हैं और कुछ अलग लोगों के लिए स्विच करते हैं। “

विशाल इनामों के अलावा, Apple की ब्रांड वैल्यू कंपनी के लिए भारतीय प्रतिभाओं को अपनी प्रणाली में खामियों को खोजने के लिए राजी करना आसान बना रही है।

पुणे स्थित साइबर सिक्योरिटी कंसल्टेंसी एंड ट्रेनिंग फर्म हैकरएरा के फाउंडर विकाश चौधरी ने गैजेट्स 360 को बताया कि ब्रांड वैल्यू खासतौर पर फ्रेशर्स के मामले में एक बड़ा असर डालती है, जो किसी प्रतिष्ठित फर्म में सिक्योरिटी रिसर्चर या एथिकल हैकर की तलाश में हैं।

नई दिल्ली के एक सुरक्षा शोधकर्ता 20 वर्षीय ओजस बिसारिया ने कहा, “इस प्रकार के लक्ष्यों के लिए शिकार करने के लिए” मजबूत ज्ञान की आवश्यकता होती है, जो अभी तीन-चार महीने पहले बग के शिकार के क्षेत्र में आया था।

नई दिल्ली स्थित दीक्षा छाबड़ा, जिन्होंने 200 से अधिक भेद्यताओं की सूचना दी है, ने कहा कि बग शिकारी ने सभी तकनीकी दिग्गजों पर समान रूप से ध्यान केंद्रित किया, चाहे वह Apple, Google या Microsoft था, लेकिन जैसा कि हाल ही में Apple ने देश में कुछ लोगों को उच्च भुगतान प्रदान किया है, फोकस में बदलाव।

22 वर्षीय छाबड़ा ने ऐप्पल को कुछ सर्वर-आधारित आलोचनात्मक और उच्च कमजोरियों की भी सूचना दी। हालांकि, उसने गैजेट्स 360 को बताया कि उन लोगों को उसके पहले ही कुछ अन्य शोधकर्ताओं ने रिपोर्ट किया था।

भारत सुरक्षा शोधकर्ताओं के एक अग्रणी बाजार के रूप में
करियर के रूप में एथिकल हैकिंग में शामिल होने वाले कई युवाओं के साथ, भारत सुरक्षा शोधकर्ताओं का एक बड़ा बाजार बन गया है। ये लोग विभिन्न वैश्विक कंपनियों को अपने सुरक्षा मुद्दों को ठीक करने में मदद कर रहे हैं। उसी समय, बग ढूंढना और बग बाउंटी प्रोग्राम के माध्यम से उन्हें रिपोर्ट करना भारतीय सुरक्षा शोधकर्ताओं को एक पारंपरिक नौकरी के माध्यम से प्राप्त करने की तुलना में कहीं अधिक कमाने में सक्षम बनाता है।

“[Some] हैकर्स वास्तव में सिर्फ बग बाउंटी कर करोड़पति बन गए, ”शर्मा ने BugsBounty.com से कहा। “इससे निश्चित रूप से भारत के विशेष रूप से कॉलेज के छात्रों ने बहुत सारे सुरक्षा के प्रति उत्साही को आकर्षित किया है।”

HackerOne ने कहा कि भारत के शीर्ष दस हैकर्स देश में सॉफ्टवेयर इंजीनियरों के औसत वेतन से 90 गुना तक कमा रहे हैं।

“भारत में हैकर्स ने 2019 में भेद्यता प्रस्तुतिकरण में 18 प्रतिशत का योगदान दिया है और पिछले तीन वर्षों में प्रत्येक शीर्ष पांच कमाई वाले देशों में स्थान दिया है,” हैकर टोनी के समुदाय के निदेशक ल्यूक टकर ने गैजेट्स 360 को एक बयान में कहा, “हैकर्स इन इंडिया अच्छे के लिए हैकिंग को बढ़ावा दें और यह सुदृढ़ करें कि दुनिया भर के कई युवा पेशेवरों के लिए एथिकल हैकिंग एक व्यवहार्य करियर बन रहा है। ”

HackerOne की तरह, Bugcrowd में भारत के एथिकल हैकर्स में भी वृद्धि देखी जा रही है। हाल की एक रिपोर्ट रिहा Bugcrowd द्वारा, जो 1 मई, 2019, और 30 अप्रैल, 2020 के बीच मंच पर नैतिक हैकिंग गतिविधि के साथ 3,493 सर्वेक्षण प्रतिक्रियाओं का विश्लेषण करता है, ने उन अधिकांश शोधकर्ताओं का उल्लेख किया जिन्होंने भारत में लाइव भुगतान एकत्र किया, इसके बाद अमेरिका और कनाडा का स्थान रहा।

भारतीय बाउंटी कार्यक्रमों का अभाव
नए सुरक्षा शोधकर्ताओं के क्षेत्र में बढ़ने और छोटे शहरों और ग्रामीण क्षेत्रों से भी प्रतिभागियों के पास होने के बावजूद, भारत में बग बाउंटी कार्यक्रमों की कमी है। विभिन्न भारतीय कंपनियां अपने सिस्टम में खामियों और कमजोरियों की रिपोर्ट करने वाले शोधकर्ताओं को कोई भुगतान देना पसंद नहीं करती हैं। इसके अलावा, कुछ कंपनियां ऐसी भी हैं जो शोधकर्ताओं द्वारा प्रस्तुत की गई रिपोर्टों पर प्रतिक्रिया देने से भी नहीं बचती हैं।

“कई भारतीय कंपनियां बग बाउंटी कार्यक्रमों की मेजबानी न करके अपने पैसे बचाने की कोशिश करती हैं, जो बदले में रैनसमवेयर तरह के हमलों के लिए हमलावरों के पास जाता है और बग बाउंटी में जितना भुगतान कर सकता है, उससे 10 गुना अधिक भुगतान करता है।” गौतम।

मार्च 2014 से Bugcrowd और HackerOne पर सक्रिय रूप से रिपोर्टिंग की बग के साथ डेलॉयट में जोखिम सलाहकार विभाग के सहायक प्रबंधक के रूप में काम करने वाले शुभम गुप्ता का मानना ​​है कि यह एक पूर्णकालिक बग शिकारी के रूप में काफी कठिन है। मुख्य रूप से स्थानीय कंपनियों द्वारा पुरस्कारों की कमी के कारण भारत।

कई भारतीय स्टार्टअप आजकल शोधकर्ताओं को अपनी भेद्यता रिपोर्ट करने और सक्रिय रूप से तय करने के लिए बग बाउंटी देते हैं। हालांकि, शोधकर्ताओं का मानना ​​है कि किसी भी अंतर्राष्ट्रीय संस्था से जो मिलता है उसकी तुलना करते समय दिए गए भुगतान काफी कम हैं।

“BugsBounty.com के शर्मा ने कहा,” बहुत सारी कंपनियां शोधकर्ताओं को उचित राशि का भुगतान नहीं करती हैं।

उन्होंने कहा कि एक उचित ईनाम राशि शोधकर्ताओं को एप्पल की तरह वैश्विक दिग्गजों पर ध्यान केंद्रित करने के बजाय बुनियादी ढांचे को सुरक्षित बनाने में मदद करने के लिए अधिक भाग लेने के लिए प्रेरित करने में मदद करेगी।

अभी के लिए, भारी संख्या में शोधकर्ता अभी भी वैश्विक मंच पर जाना पसंद करते हैं क्योंकि वे उन्हें व्यापक पहुंच और वैश्विक प्रदर्शन प्रदान करते हैं।

सोनी ने कहा, “हम एक डिजिटल दुनिया में रह रहे हैं, जहां 100 प्रतिशत सुरक्षित एक मिथक है और अभी भी हमारे पास बहुत कम कार्यक्रम हैं।”


क्या iPhone SE भारत के लिए अंतिम ‘सस्ती’ iPhone है? हमने इस पर चर्चा की कक्षा का, हमारे साप्ताहिक प्रौद्योगिकी पॉडकास्ट, जिसे आप के माध्यम से सदस्यता ले सकते हैं Apple पॉडकास्ट या आरएसएस, एपिसोड डाउनलोड करें, या बस नीचे दिए गए प्ले बटन को हिट करें।

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *