चेन्नै के हैकर ने खोजी इंस्टाग्राम में गड़बड़ी, इनाम में मिले 7.17 लाख रुपये
फेसबुक की ओनरशिप वाले फोटो शेयरिंग प्लैटफॉर्म इंस्टाग्राम की ओर से चेन्नै के सिक्यॉरिटी रिसर्चर लक्ष्मण मुथियाह को बड़ा तोहफा मिला। लक्ष्मण ने इस प्लैटफॉर्म से जुड़ी एक खामी का पता लगाया था, जिसकी मदद से दूसरे यूजर्स का अकाउंट टेकओवर या हैक किया जा सकता था। फोटो-विडियो शेयरिंग ऐप से जुड़ी इस कमी का पता लगाने और इसे रिपोर्ट करने के लिए इंस्टाग्राम की ओर से लक्ष्मण को 10,000 डॉलर (करीब 7.2 लाख रुपये) का इनाम मिला है। यह इनाम सोशल नेटवर्क के बग बाउंटी प्रोग्राम की ओर से मिला है, जो खामियों का पता लगाने वालों को इनाम देकर प्रोत्साहित करता है।
हैकर की ओर से कहा गया है कि फेसबुक ने अब यह बग ठीक कर लिया है। एक ब्लॉग पोस्ट में लक्ष्मण ने कहा, 'फेसबुक और इंस्टाग्राम की सिक्यॉरिटी टीम ने खामी को दूर कर दिया है और अपने बाउंटी प्रोग्राम के तहत मुझे 10,000 डॉलर का इनाम दिया है।' हैकर ने ऐसी ही एक खामी पिछले महीने भी इंस्टाग्राम में नोटिस की थी, जिसके लिए उसे 30,000 डॉलर (करीब 21.5 लाख रुपये) का इनाम इंस्टाग्राम के बाउंटी प्रोग्राम की ओर से ही मिला था।
पासकोड मकैनिज्म बाइपास का खतरा
हैकर की ओर से पता लगाई गई पहली खामी जहां इंस्टाग्राम अकाउंट रीसेट करते वक्त मिलने वाले छह डिजिट पासकोड रेट-लिमिटेड मकैनिज्म को बाइपास कर सकती थी, वहीं अब सामने आई गड़बड़ी की मदद से डिवाइस आईडी और पासवर्ड रीसेट कोड की मदद से एकसाथ मल्टिपल अकाउंट हैक किए जा सकते थे। लक्ष्मण ने इस गड़बड़ी के बारे में अपने ब्लॉग पोस्ट में बताया। इसमें जब भी कोई यूजर अपने मोबाइल डिवाइस से पासकोड रिक्वेस्ट करता था, रेंडमली जेनरेट होने वाली आईडी भी रिक्वेस्ट के साथ जाती थी।
एकसाथ कई अकाउंट हो सकते थे हैक
डिवाइस आईडी की मदद से पासकोड को वेरिफाइ किया जाता है। लक्ष्मण ने लिखा, '6 डिजिट पासकोड क्या होंगे, इसके करीब 10 लाख सेट हो सकते हैं। ऐसे में मल्टिपल यूजर्स के लिए पासकोड रिक्वेस्ट करने के चलते अकाउंट्स की हैकिंग का खतरा भी बढ़ रहा है। ऐसे में इन सेट्स को कम करने के लिए अटैकर को ज्यादा यूजर्स से पासकोड रिक्वेस्ट करने होंगे। ऐसे में अगर हैकर 10 लाख यूजर्स से पासकोड रिक्वेस्ट करता है तो उसका सक्सेस रेट 100 प्रतिशत होगा। ऐसे में 10 मिनट के अंदर अटैक को रखा जाए तो कोड एक्सपायर होने से पहले वह सभी 10 लाख अकाउंट हैक कर सकता है।
