भारतीय युवक ने Insta की बड़ी खामी उजागर की, FB ने दिए 20.5 लाख रुपये

भारतीय हैकर्स Facebook  से बाउंटी कमाने में टॉप पर हैं. करोड़ों रुपये की बाउंटी यानी इनाम भारतीय हैकर्स को मिलते हैं. दरअसल Facebook  जैसी टेक कंपनियां बग बाउंटी प्रोग्राम चलाती हैं जिसके तहत लूपहोल यानी खामी, जिसे बग भी कह लें, ढूंढने पर इनाम दिए जाते हैं. हाल ही में फेसबुक ने अकाउंट टेकओवर के लिए बग बाउंटी को बढ़ाया है. 

और पढ़ें

तमिलनाडु के लक्ष्मण मुथैया नाम के एक कंप्यूटर साइंस के स्टूडेंट ने Instagram की एक बड़ी खामी उजागर की है. इस खामी के तहत किसी Instagram अकाउंट को हैक किया जा सकता था. इसके लिए यूजर के कॉन्सेंट की जरूरत नहीं थी.

Facebook  और Instagram ने इस खामी को ठीक किया और लक्ष्मण को Facebook  ने इनाम के तौर पर 30,000 डॉलर ( लगभग 20.56 लाख रुपये) दिए हैं. लक्ष्मण के मुताबिक उन्होंने Instagram में एक ऐसे बग यानी खामी को ढूंढा है जो पासवर्ड रीसेट करने के तरीके में है. उन्होंने कहा है कि वो इस बग की वजह से किसी भी इंस्टाग्राम अकाउंट को हैक कर सकते थे. 

26 साल के लक्षमण मुथैया ने आज तक टेक से बातचीत के दौरान कहा है कि उन्होंने  2013 से बग बाउंटी की तरफ ध्यान देना शुरू किया था. 2015 में कुछ सफलताएं भी मिली हैं. इससे पहले भी फेसबुक की तरफ से उन्हें 10,000 डॉलर की बाउंटी मिली थी, तब उन्हें प्राइवेट फोटो को देखने वाला बग ढूंढा था.  उन्होंने कहा है कि सिक्योरिटी रिसर्च उनके काम का हिस्सा है और वो सॉफ्टवेयर डेवेलपमेंट का काम कर रहे हैं. 

लक्ष्मण ने कहा है, ‘Instagram वेब इंटरफेस के जरिए मैने पासवर्ड रीसेट करने की कोशिश की, लेकिन यहां Facebook  लिंक बेस्ड पासवर्ड रीसेट का ऑप्शन यूज करता है जो काफी मजबूत है. इसमें मुझे कोई बग नहीं मिला. इसके बाद मैंने मोबाइल रिकवरी मोड ट्राई किया. यहां मुझे खामी मिली, क्योंकि यहां रिकवरी के लिए वो (Instagram) छह डिजिट का कोड भेजते हैं जो यूजर के मोबाइल नंबर पर आता है.’

छह डिजिट कोड पासवर्ड रीसेट सिस्टम में हमेशा एक ऑप्शन होता है कि अगर वेरिफाई एंडप्वॉइंट पर 10 लाख कोड ट्राई करें तो किसी भी अकाउंट का पासवर्ड चेंज किया जा सकता है. लेकिन लक्ष्मण का कहना है कि उन्हें ये पता था कि Brute Force अटैक से बचने क लिए 6 डिजिट के कोड में रेट लिमिटिंग सिस्टम लगाया गया होगा.

लक्ष्मण के मुताबिक उन्होंने इसे टेस्ट करने के लिए करीब 1000 रिक्वेस्ट भेजे, जिनमें से 250 रिक्वेस्ट गए, लेकिन इनमें से 650 रिक्वेस्ट रेट लिमिटेड हो गए. इसके बाद भी उन्होंने ट्राई किया, लेकिन सफल नहीं हुए.

एक खामी यहीं उन्होंने नोटिस की. वो ये कि चाहे कितनी बार भी रिक्वेस्ट भेजें, लेकिन ब्लॉक नहीं हुए. बिना ब्लॉक हुए उन्होंने लगातार रिक्वेस्ट भेजे. यहीं Instagram की खामी का उन्हें अहसास हुआ, क्योंकि वो रेट लिमिटिंग को बाइपास करने में सफल हो रहे थे. इस बाइपास के लिए के लिए Race Hazard और IP Rotation जिम्मेदार थे.

इस अटैक के लिए उन्होंने हजार से भी ज्यादा आईपी का इस्तेमाल किया है. लगातार अलग अलग आईपी से रिक्वेस्ट सेंड करने की वजह से वो लिमिटेड होने से बचते रहे. Race Hazard के बारे में अगर आपको नहीं पता तो बता दें कि ये एक तरह का इलेक्ट्रॉनिक प्रॉसेस है.

साधारण शब्दों में कहें तो ये Race Hazard तब पैदा होता है जब बड़े पैमाने पर डेटा एक ही टाइम पर रीड और राइट किया जाता है और मशीन इस दौरान पुराने डेटा को नए के साथ ओवरराइट करती है, लेकिन इस दौरान भी पुराना डेटा रीड किया जा रहा होता. आमतौर पर इस दौरान कंप्यूटर क्रैश का नोटिफिकेशन मिलता है. रेस कंडीशन या रेस हेजार्ड गलत ऑर्डर में इंस्ट्रक्शन प्रॉसेस होने के दौरान भी हो सकता है.

अगर ये सब टर्म आपके लिए ज्यादा टेक्निकल हो रहा है तो सीधे तौर पर ये समझ लें कि लक्ष्मण ने Instagram मोबाइल पासवर्ड रीसेट करने के तरीके में बग ढूंढा है और लगातार अटेंप्ट करके वो पासवर्ड रीसेट करने में सफल हो गए. उन्हें Facebook  को इस बात की जानकारी दी. लेकिन जानकारी पूरी न होने की वजह से Facebook  ने शुरुआत में नहीं माना, लेकिन बाद में कुछ ईमेल्स और भेजे और इसके साथ प्रूफ ऑफ कॉन्सेप्ट देकर इस युवक ने Facebook  को इस बात का यकीन कराया कि Instagram में खामी है.

लक्ष्मण का कहना है कि रियल अटैक सिनैरियो में अटैकर को एक अकाउंट हैक करने के लिए 5000 आईपी की जरूरत होती है. ये बड़ी बात है, लेकिन देखा जाए तो ये आसान भी है, क्योंकि ऐसा करने के लिए आप ऐमेजॉन और गूगल के क्लाउड सर्विस का इस्तेमाल कर सकते हैं.

Facebook  ने इसे जल्द ही फिक्स कर लिया और बाउंटी के तहत 30000 डॉलर का रिवॉर्ड दिया गया.