Sunday, March 7, 2021

மைக்ரோசாப்ட் சேவையில் இருந்த பிழை... கண்டறிந்த சென்னை இளைஞருக்கு 50,000 டாலர்கள்! சாதித்தது எப்படி?

பிரபலமான டெக் நிறுவனங்கள் பலவும் தங்கள் சேவைகளில் இருக்கும் பிழைகளைச் சுட்டிக்காட்டுபவர்களுக்கு ஊக்க ஊதியம் வழங்கும் வகையில் Bug bounty program என்ற திட்டத்தைச் செயல்படுத்தி வருவார்கள். தமிழகத்தைச் சேர்ந்த லக்ஷ்மன் முத்தையா, இந்தத் திட்டத்தின் மூலம் மைக்ரோசார்ட் (Microsoft) நிறுவனத்தின் இணையதள சேவைகளில் இருந்த பிழையைச் சுட்டிக் காட்டியதற்காக 50,000 அமெரிக்க டாலர்களை ஊக்க ஊதியமாகப் பெற்றிருக்கிறார். சென்னையில் வசிக்கும் 27 வயதான லக்ஷ்மன் முத்தையா இதற்கு முன்னரும் ஃபேஸ்புக், இன்ஸ்டாகிராம் போன்ற தளங்களில் இருந்த பிழைகளைச் சுட்டிக்காட்டியுள்ளார். என்ன மாதிரியான திட்டம் இது, எப்படி இது செயல்படுகிறது என்ற தகவல்களை அவரிடமே கேட்டோம்.

லக்ஷ்மன் முத்தையா

"Bug bounty program, எல்லா டெக் நிறுவனங்களும் செயல்படுத்துற ஒண்ணுதான். நான் கல்லூரியில் படிக்கும் போதே இது போன்ற திட்டங்கள் டெக் நிறுவனங்கள் கிட்ட இருக்கிறதைத் தெரிஞ்சுகிட்டேன். அப்போ இருந்தே பல சேவைகளிலும் பிழைகளை கண்டுபிடிக்கிற முயற்சியில இருக்கேன். நான் கல்லூரி முடிச்சது 2014-ம் ஆண்டுலதான். ஆனால், என்னோட முதல் பவுண்டிய (ஊக்கத் தொகை) 2013-ஆம் ஆண்டுலேயே வாங்கிடேன். பேஸ்புக் தளத்துல இருந்த ஒரு பிழைய சுட்டிக் காட்டுனதுக்காக 4500 டாலர் ஊக்கத் தொகையா கிடைச்சுது. அப்போதுல இருந்தே இந்த வேலையை செஞ்சிட்டு வர்ரேன்" என்றவர் தற்போது சொந்தமாக சிறிய தொழில்நுட்பம் சார்ந்த பாதுகாப்பு அம்சங்கள் தொடர்பான நிறுவனம் ஒன்றை நடத்தி வருகிறார்.

இது போன்று தொழில்நுட்பத்தில் கைதேர்ந்து இருக்கத் தனியாக எங்கேயும் பயிற்சி எடுத்தீர்களா?

"இல்லை. எனக்கு, இயல்பாவே தொழில்நுட்பத்துலயும், அதைப் பத்தி தெரிஞ்சிக்கிறதுலயும் ஆர்வம் இருந்துச்சு. அதனால சுயமாதான் எல்லாத்தையும் கத்துக்கிட்டேன். என்னுடைய முக்கிய மூலமே இணையம்தான். என்னுடைய கேள்வி எல்லாத்துக்கும் இணையம்தான் பதிலா இருந்துச்சு. இணையத்துல தேடித் தேடித்தான் எல்லாத்தையும் சுயமா கத்துக்கிட்டேன். ஆர்வம் இருக்கும்போது எதுவுமே கஷ்டம் இல்லையே!"

Microsoft verification process

மைக்ரோசாப்டில் என்ன விதமான பிழையைக் கண்டறிந்தீர்கள்?

"பொதுவா நாம நம்முடைய மின்னஞ்சலுக்கான பாஸ்வேர்டை மறந்துட்டா 'Forget password' ஆப்ஷனை வச்சு பாஸ்வேர்டை மாற்றியமைப்போம். அப்படி மாற்றியமைக்கும் போது நம்ம மின்னஞ்சலுக்கு வற்ற 7 இலக்க எண்ணை OTP-யா (One time password) கொடுத்து நம்ம பாஸ்வேர்டை மாற்றியமைக்கலாம். நாம வேறொருத்தரோட மின்னஞ்சலுக்கு போகாமலேயே அந்த 7 இலக்க எண்ணை நம்மால கண்டுபிடிக்க முடிஞ்சா, இன்னொருத்தரோட கணக்கை ஹேக் பண்ண முடியும்னு நிரூபிச்சுக் காட்டினேன். ஆனால், அந்த 7 இலக்க எண்ணைக் கண்டுபிடிக்கிறது சுலபம் இல்லை. டெக்னாலஜி நல்லா தெரிஞ்ச ஒருத்தராலதான் அதைப் பண்ண முடியும்" என்றவர் 2019-ல் இன்ஸ்டாகிராமிலும் இதே போன்று மூன்றாம் நபர் நம் கணக்கை ஹேக் செய்ய முடியும் என்ற பிழையையும், 2015-ல் ஃபேஸ்புக் புகைப்படங்களை மூன்றாம் தர மென்பொருட்களைப் பயன்படுத்திப் பதிவிறக்க முடியும் என்பன போன்று பல பிழைகளைச் சுட்டிக் காட்டியிருக்கிறார்.

லக்ஷ்மன் முத்தையா
இந்த Bug bounty program மூலமாக மட்டுமே இதுவரை 80 லட்ச ரூபாய் வரை ஊக்கத் தொகையாகப் பெற்றிருக்கிறார். ஒரு நிறுவனமாக இந்தத் திட்டத்தில் கலந்து கொள்ள முடியாது, தனி நபராக யார் வேண்டுமானாலும் இது போன்ற பிழைகளைக் கண்டறிந்து டெக் நிறுவனங்களுக்கு உதவலாம் என்கிறார் லக்ஷ்மன் முத்தையா.


No comments:

Post a Comment