राय: भेद्यता प्रकटीकरण को ज़ूम करने से बग बाउंटी एनडीए के अंधेरे पक्ष पर प्रकाश डाला गया

एक ऐसी संस्था का निर्माण करने के सर्वोत्तम प्रयासों के बावजूद जो त्रुटिपूर्ण रूप से चलती है और सुरक्षित है, सॉफ़्टवेयर बग्स हो सकते हैं और हो सकते हैं, और कुछ दूसरों की तुलना में अधिक गंभीर होते हैं.

कभी-कभी ये कीड़े सबसे अनुभवी सुरक्षा टीमों द्वारा भी जा सकते हैं, संभावित रूप से एक ऐसा उत्पाद होता है जो अपने उपयोगकर्ताओं की डिजिटल सुरक्षा से समझौता करता है और साइबर हमले के संपर्क में छोड़ देता है। कई कंपनियाँ साइबर सुरक्षा शोधकर्ताओं को सूचीबद्ध करने के लिए बग बाउंटी कार्यक्रमों की स्थापना करती हैं, ताकि वे उन कमजोरियों का पता लगाने में मदद कर सकें, जो उनके सिस्टम में अवांछनीय हो सकती हैं।.

अनिवार्य रूप से, शोधकर्ता विक्रेता की प्रणाली में मौजूद किसी भी भेद्यता का फायदा उठाने की कोशिश करने के लिए (नैतिक रूप से) हैक करता है। यदि शोधकर्ता एक भेद्यता का पता लगाता है जो एक महत्वपूर्ण पर्याप्त जोखिम पैदा करता है, तो शोधकर्ता बग की खोज की गंभीरता के आधार पर, सैकड़ों डॉलर, या यहां तक ​​कि सैकड़ों हजारों डॉलर का एक बग बाउंटी जमा कर सकता है। बग बाउंटी हंटर्स अक्सर उपभोक्ताओं की डिजिटल सुरक्षा सुनिश्चित करने के लिए साइबर सुरक्षा को ध्यान में रखते हुए साइबरसिटी के असुरक्षित नायकों के रूप में कार्य करते हैं.

हालांकि, क्या होता है, जब कोई संगठन शोधकर्ता द्वारा उजागर की गई भेद्यता की गंभीरता को लेकर साइबर सुरक्षा के शोधकर्ता से असहमत होता है? जब कोई संगठन शोधकर्ता को सार्वजनिक रूप से उसके निष्कर्षों का खुलासा करने से रोककर जवाबदेही से बचने का प्रयास करता है, या केवल इस शर्त पर बग बाउंटी का भुगतान करने के लिए सहमत होता है कि शोधकर्ता एक भेद्यता के बारे में सार्वजनिक रूप से चुप रहता है? जब ऐसा होता है, तो उपभोक्ताओं की डिजिटल सुरक्षा और व्यक्तिगत गोपनीयता को गंभीर रूप से खतरे में डाला जा सकता है.

बग बाउंटी प्रोग्राम उन प्रणालियों को रखने के लिए आवश्यक हैं जो सॉफ्टवेयर चलाते हैं और एप्लिकेशन उपभोक्ता हर दिन सुरक्षित और ठीक से काम करते हैं। वे साइबर सुरक्षा शोधकर्ताओं और नैतिक हैकरों को आगे आने और कमजोरियों को खोजने के लिए प्रोत्साहित करते हैं। इसका कारण यह है कि बग बाउंटी हंटर्स को गैर-प्रकटीकरण समझौते (एनडीए) पर हस्ताक्षर करने की आवश्यकता होती है, जो किसी भी संभावित गंभीर कमजोरियों को सार्वजनिक रूप से उजागर होने से पहले और शोषण करने से रोकने के लिए एक महत्वपूर्ण और प्रभावी तरीका है।.

उस ने कहा, एनडीए के प्रावधान जो एक शोधकर्ता को सार्वजनिक रूप से भेद्यता का खुलासा करने से रोकते हैं, उदाहरण के लिए, किसी कंपनी को गलती को ठीक से संबोधित करने के लिए बहुत कम प्रोत्साहन प्रदान करना, उपयोगकर्ताओं को विभिन्न साइबर खतरों से अवगत कराना।.

सुरक्षा शोधकर्ताओं और बग बाउंटी हंटर्स अपने उपयोगकर्ताओं को सुरक्षित और सुरक्षित रखने के लिए कंपनियों को जवाबदेह रखने का एक बड़ा काम करते हैं। लेकिन जब कंपनियां सुरक्षा शोधकर्ताओं के साथ संदिग्ध एनडीए रणनीति में संलग्न होती हैं, तो जवाबदेही को कम करने के लिए, उपयोगकर्ता सुरक्षा को पर्याप्त जोखिम में रखा जा सकता है.

टेक में सबसे बड़े नामों में शामिल हाई-प्रोफाइल डेटा ब्रीच और प्रमुख सुरक्षा ओवरसाइट्स की हालिया लहर के प्रकाश में, जनता उन कंपनियों से बहुत अधिक जवाबदेही की हकदार है जो वे अपनी जानकारी देते हैं। दुनिया भर के सांसदों ने उद्योग पर नकेल कसना शुरू कर दिया है और कानून का मसौदा तैयार कर रहे हैं, जिसका उद्देश्य उपभोक्ताओं को सुरक्षा प्रदान करना है, जबकि वे संवेदनशील डेटा को संभालने के लिए तकनीकी कंपनियों को जिम्मेदार ठहराते हैं। फेसबुक के मार्क जुकरबर्ग, माइक्रोसॉफ्ट के बिल गेट्स और एपल के टिम कुक जैसे शीर्ष उद्योग के अधिकारियों ने बेहतर उपभोक्ता गोपनीयता सुरक्षा के साथ-साथ कंपनियों के लिए जवाबदेही की भावना की आवश्यकता को स्वीकार किया है। इसी समय, उपभोक्ताओं में तेजी से अविश्वास हो गया है कि कंपनियां अपने निजी डेटा का प्रबंधन कैसे करती हैं.

इस प्रवृत्ति को ध्यान में रखते हुए, एक साइबर सुरक्षा शोधकर्ता के ज़ूम की हैंडलिंग, इसके वीडियो-कॉन्फ्रेंसिंग एप्लिकेशन में कई गंभीर कमजोरियों का जिम्मेदार खुलासा है। मार्च में, साइबरसिटी के शोधकर्ता जोनाथन लेइटशू ने मैक कंप्यूटरों के लिए वीडियो-कॉन्फ्रेंसिंग एप्लिकेशन के भीतर मौजूद तीन प्रमुख सुरक्षा कमजोरियों की कंपनी को सूचित करने के लिए ज़ूम से संपर्क किया। बग के अलावा, जिसने एक दुर्भावनापूर्ण हमलावर को उपयोगकर्ता की मशीन पर सेवा से इनकार करने (डीओएस) हमले की शुरुआत करने की अनुमति दी, और एक बग जिसने ज़ूम एप्लिकेशन को अनइंस्टॉल करने के बाद भी उपयोगकर्ता के मैक पर स्थापित एक स्थानीय वेब सर्वर को छोड़ दिया, लीत्सुख को भी हटा दिया गया गंभीर रूप से खतरनाक भेद्यता जो दुर्भावनापूर्ण तृतीय-पक्ष इकाई के लिए दूरस्थ रूप से और स्वचालित रूप से एक बेजोड़ मैक उपयोगकर्ता के माइक्रोफोन और कैमरे को सक्षम करने की अनुमति देती है.

Leitschuh के ब्लॉग पोस्ट के अनुसार जूम ने लगातार चल रही बातचीत के दौरान कमजोरियों की गंभीरता को कम किया। Leitschuh ने Zoom को एक उद्योग-मानक 90-दिवसीय विंडो दिया, जिसमें सार्वजनिक प्रकटीकरण के साथ आगे बढ़ने से पहले मुद्दों को हल करना था। यहां तक ​​कि उन्होंने ज़ूम भी प्रदान किया, जिसे उन्होंने "जल्दी ठीक" समाधान कहा था, ताकि कंपनी को स्थायी रूप से ठीक करने पर काम खत्म हो जाए। 90-दिवसीय सार्वजनिक प्रकटीकरण की समयसीमा से पहले एक बैठक के दौरान, जूम ने लेट्सचू को अपने प्रस्तावित निर्धारण के साथ प्रस्तुत किया। हालांकि, शोधकर्ता यह इंगित करने के लिए जल्दी था कि प्रस्तावित समाधान अपर्याप्त था और आसानी से विभिन्न माध्यमों से बायपास किया जा सकता है.

90-दिवसीय सार्वजनिक प्रकटीकरण की समय सीमा के अंत में, ज़ूम ने अस्थायी "त्वरित सुधार" समाधान लागू किया। Leitschuh ने अपने ब्लॉग पोस्ट में लिखा है:

"अंततः, ज़ूम जल्दी से यह पुष्टि करने में विफल रहा कि रिपोर्ट की गई भेद्यता वास्तव में मौजूद थी और वे समय पर ढंग से ग्राहकों को दिए गए मुद्दे को ठीक करने में विफल रहे। इस प्रोफ़ाइल का एक संगठन और इतने बड़े उपयोगकर्ता आधार के साथ अपने उपयोगकर्ताओं को हमले से बचाने के लिए अधिक सक्रिय होना चाहिए था."

कंपनी ब्लॉग पर सार्वजनिक प्रकटीकरण के लिए अपनी प्रारंभिक प्रतिक्रिया में, ज़ूम ने वीडियो की भेद्यता की गंभीरता को स्वीकार करने से इनकार कर दिया और "अंततः ... आवेदन की कार्यक्षमता में बदलाव नहीं करने का फैसला किया।" (हालांकि खुलासे के बाद महत्वपूर्ण सार्वजनिक प्रतिक्रिया प्राप्त करने के बाद) ज़ूम ने स्थानीय वेब सर्वर को पूरी तरह से हटाने के लिए सहमति व्यक्त की, जो शोषण को संभव बनाता है, कंपनी की प्रारंभिक प्रतिक्रिया के साथ लीत्सुख के खातों के साथ कि ज़ूम ने अपने जिम्मेदार प्रकटीकरण को कैसे चुना, पता चलता है कि ज़ूम ने इस मुद्दे को गंभीरता से नहीं लिया, और इसे ठीक से हल करने में कोई दिलचस्पी नहीं थी यह.

शांत रहो

जूम ने लीट्सचू की खामोशी को इस मुद्दे पर कंपनी के बग बाउंटी प्रोग्राम से लाभान्वित होने की अनुमति देकर खरीदने की कोशिश की, केवल इस शर्त पर कि उसने अत्यधिक सख्त एनडीए पर हस्ताक्षर किए। लिट्सचू ने प्रस्ताव को अस्वीकार कर दिया। ज़ूम ने कहा कि शोधकर्ता को एक वित्तीय इनाम की पेशकश की गई थी, लेकिन "गैर-प्रकटीकरण शर्तों" के कारण इसे अस्वीकार कर दिया। जूम ने जो उल्लेख करने के लिए उपेक्षा की है, वह यह है कि विशिष्ट शब्दों का अर्थ है कि लीत्सुह को कमजोरियों का खुलासा करने से रोक दिया गया होगा, जबकि वे ठीक से पैच किए गए थे। यह जूम शून्य प्रोत्साहन दिया जाता है ताकि कंपनी को महत्वहीन होने के कारण बर्खास्त किया जा सके.

बग बाउंटी प्रोग्राम्स में एनडीए आम बात है, लेकिन शोधकर्ता से स्थायी चुप्पी की मांग करना हश मनी का भुगतान करना है और अंततः शोधकर्ता को लाभ नहीं पहुंचाता है, और न ही यह उपयोगकर्ताओं या सामान्य रूप से जनता को लाभान्वित करता है। एनडीए की भूमिका कंपनी को जनता को उजागर करने और साइबर अपराधियों द्वारा संभावित रूप से शोषण करने से पहले एक उचित मात्रा को संबोधित करने और ठीक करने के लिए समय देना चाहिए। कंपनियों ने एक भेद्यता को ठीक करने के लिए काम करते समय गैर-प्रकटीकरण की एक उचित उम्मीद की है, लेकिन मुख्य रूप से उपयोगकर्ता के लाभ के लिए, मुख्य रूप से जनता की राय के अदालत में चेहरे को बचाने के लिए नहीं। दूसरी ओर, शोधकर्ताओं को मौद्रिक इनाम के साथ-साथ उनके प्रयासों के लिए सार्वजनिक मान्यता के लिए एक उचित उम्मीद है। उपयोगकर्ताओं को एक उचित उम्मीद है कि जिन कंपनियों के उत्पाद वे उपयोग करते हैं वे अपनी गोपनीयता को सुरक्षित करने के लिए वे सब कुछ कर रहे हैं जो वे कर सकते हैं। अंत में, जनता को यह जानने का वाजिब अधिकार है कि सुरक्षा संबंधी खतरे क्या हैं और उपभोक्ताओं को साइबर खतरों से बचाने के लिए क्या किया जा रहा है, और उपभोक्ता अपनी सुरक्षा के लिए क्या कर सकते हैं।.

संघर्ष की प्राथमिकताएँ

जूम के लिए इस स्थिति को इससे भी बदतर बनाना मुश्किल था। कंपनी एक निर्बाध उपयोगकर्ता अनुभव बनाने पर केंद्रित थी जिससे उपयोगकर्ता की गोपनीयता की रक्षा के महत्वपूर्ण महत्व को पूरी तरह से खो दिया। “वीडियो ज़ूम अनुभव के लिए केंद्रीय है। हमारा वीडियो-पहला प्लेटफॉर्म दुनिया भर में हमारे उपयोगकर्ताओं के लिए एक महत्वपूर्ण लाभ है, और हमारे ग्राहकों ने हमें बताया है कि वे हमारे घर्षण वीडियो संचार अनुभव के लिए ज़ूम चुनते हैं, “कंपनी ने अपनी प्रतिक्रिया में कहा। लेकिन ज़ूम ने मैक कंप्यूटरों पर पृष्ठभूमि में एक स्थानीय वेब सर्वर स्थापित करने का सहारा लिया जिसने अपने उपयोगकर्ताओं के लिए इस "घर्षण रहित" वीडियो अनुभव को सुविधाजनक बनाने के लिए सफारी वेब ब्राउज़र में एक सुरक्षा सुविधा को प्रभावी रूप से बायपास किया। एक मैक पर एप्लिकेशन लॉन्च करने से पहले उपयोगकर्ता की पुष्टि में प्रश्न में सफारी सुरक्षा सुविधा की आवश्यकता होती है। इसके लिए ज़ूम का समाधान जानबूझकर बाईपास करना और अपने उपयोगकर्ताओं की गोपनीयता को एक या दो क्लिक करके बचाने के लिए जोखिम में डालना था.

खुलासे के मद्देनजर सार्वजनिक बैकलैश के बाद ही कंपनी ने सार्थक कार्रवाई की। कंपनी की आरंभिक प्रतिक्रिया ने सुझाव दिया कि इसका उद्देश्य अनुप्रयोग की कार्यक्षमता को बदलने का कोई इरादा नहीं था, यहाँ तक कि अनुप्रयोग की कठोर कमजोरियों के मद्देनजर भी। ऐसा लगता है कि कंपनी उपयोगकर्ता सुरक्षा पर उपयोगकर्ता अनुभव को प्राथमिकता देने के लिए तैयार थी। जबकि सुचारू उपयोगकर्ता अनुभव किसी भी ऑनलाइन आवेदन के लिए निस्संदेह फायदेमंद है, यह निश्चित रूप से सुरक्षा और गोपनीयता की कीमत पर नहीं आना चाहिए.

कंपनी के क्रेडिट के लिए, सह-संस्थापक और सीईओ एरिक एस युआन ने बाद में स्वीकार किया कि ज़ूम ने स्थिति को खराब तरीके से संभाला और आगे बढ़ने के लिए प्रतिबद्ध है। युआन ने एक ब्लॉग पोस्ट में कहा कि "हमने स्थिति को गलत बताया और जल्दी से जवाब नहीं दिया - और वह हम पर है। हम पूर्ण स्वामित्व लेते हैं और हमने बहुत कुछ सीखा है। मैं आपको बता सकता हूं कि हम उपयोगकर्ता सुरक्षा को अविश्वसनीय रूप से गंभीरता से लेते हैं और हम पूरी ईमानदारी से अपने उपयोगकर्ताओं द्वारा सही करने के लिए प्रतिबद्ध हैं, "यह भी कहते हैं कि" हमारी वर्तमान वृद्धि प्रक्रिया स्पष्ट रूप से इस उदाहरण में अच्छी नहीं थी। हमने भविष्य की सुरक्षा संबंधी सभी चिंताओं पर पाश को प्राप्त करने, बढ़ाने और बंद करने के लिए हमारी प्रक्रिया में सुधार के लिए कदम उठाए हैं। ”

"हमने स्थिति को गलत समझा और इस पर पर्याप्त प्रतिक्रिया नहीं दी - और वह हम पर है.

हालांकि, वास्तविकता यह है कि शोधकर्ता ने ज़ूम करके उसे प्रस्तुत एनडीए की शर्तों पर सहमति व्यक्त की थी और उसके निष्कर्षों का खुलासा करने से निषिद्ध कर दिया गया था, हम बहुत संभावना है कि भेद्यता के बारे में कभी नहीं सुन सकते थे। इससे भी बुरी बात यह है कि कंपनी कभी भी इस मुद्दे को तय नहीं कर सकती थी, जिससे लाखों उपयोगकर्ता गोपनीयता के गंभीर आक्रमण की चपेट में आ सकते हैं.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me