பெரிய மனுஷன்பா! Google-ல் குற்றம் கண்டுபிடித்த 2 இந்தியர்கள்.. ரூ.18 லட்சத்தை அள்ளிக்கொடுத்த சுந்தர் பிச்சை!

பரிசு வாங்கிய 2 பேரும் யாரென்று சொன்னால் நம்புவீர்களா?

கூகுளில் பிழைகள் (Bugs) இருப்பதை கண்டுபிடிப்பதும், அதற்கு கூகுள் நிறுவனம் சன்மானம் வழங்குவதும் முதல் முறை அல்ல; வழக்கமாக நடக்கும் விஷயம் தான்!

ஆனால் சமீபத்தில் ரூ.18 லட்சம் என்கிற பரிசுத்தொகையை பெற்றுள்ளது யாரென்று சொன்னால் நம்புவீர்களா?

கூகுளில் உள்ள ஒரே ஒரு பக்-ஐ கண்டுபிடித்து, 22000 அமெரிக்க டாலர்களை (அதாவது இந்திய மதிப்பில் ரூ.18 லட்சத்தை) சன்மானமாக பெற்றுள்ள இரண்டு பேருமே இந்தியாவை சேர்ந்த ஹேக்கர்கள் (Indian Hackers) ஆவார்கள்!

அப்படி என்ன பிழையை கண்டுபிடித்தனர்?

தன்னுடைய கம்ப்யூட்டர் ப்ரோகிராம் அல்லது சிஸ்டமில் உள்ள "ஓட்டைகள்", "குறைகள்", "பிழைகள்" அல்லது "பாதிப்புகளை" வெற்றிகரமாக அடையாளம் காணும் நபர்களுக்கு, தக்க வெகுமதியை வழங்குவதை கூகுள் நிறுவனம் வழக்கமாக கொண்டுள்ளது.

அப்படியாக சமீபத்தில், கூகுளின் கிளவுட் ப்ரோகிராம் ப்ராஜெக்ட்களில் உள்ள பாதுகாப்பு குறைபாட்டை கண்டறிந்ததற்காக 2 இந்திய ஹேக்கர்களுக்கு வெகுமதி அளிக்கப்பட்டது.

அவர்கள் ஒரு பெரிய சர்வர் சைட் ரெக்வஸ்ட் ஃபோர்ஜெர்ரி பக் (Server side request forgery bug) மற்றும் அதை தொடர்ந்து பேட்ச் பைபாஸையும் (Subsequent Patch Bypass) கண்டறிந்துள்ளனர்!

யார் அந்த ஹேக்கர்கள்?

கூகுள் நிறுவனத்திடம் இருந்து ரூ.18 லட்சம் பரிசுத்தொகையை பெற்றுள்ள ஹேக்கர்கள் ஸ்ரீராம் கே.எல் மற்றும் சிவனேஷ் அசோக் ஆவர்; இவ்விருவரும் பாதுகாப்பு ஆராய்ச்சியாளர்களும் (Security Researchers) ஆவார்கள்!

இது பற்றியதொரு பிளாக் போஸ்ட்டில், "கூகுள் கிளவுட்டில் இது எங்களின் முதல் படியாக இருந்ததால், மிகவும் பிரபலமான தயாரிப்புகளில் ஒன்றான கம்ப்யூட் எஞ்சின் எங்களை மிகவும் தடுமாற்றம் அடைய செய்தது. கம்யூட் எஞ்சினும், அதன் அம்சங்களும் எவ்வாறு செயல்படுகிறது என்பதை ஆராயும் போது, ​​எஸ்எஸ்எச்-இன்-ப்ரவுஸரை (SSH-in-browser) கவனித்தோம்"

எஸ்எஸ்எச்-இன்-ப்ரவுஸர் என்பது ஜிசிபி-யில் (GCP) உள்ள ஒரு அம்சமாகும், இது பயனர்கள் தங்கள் கம்பியூட் இன்டென்ஸ்-களை எஸ்எஸ்எச் (SSH) மூலம் ப்ரவுஸர் வழியாக அணுக அனுமதிக்கிறது. இந்த பக், வேறொருவரின் விர்ச்சுவல் மெஷினை ஒரே கிளிக்கில் கண்ட்ரோல் செய்ய அனுமதிக்கும். இது ஒரு தீவிரமான பிரச்சினை ஆகும்" என்று அசோக் கூறி உள்ளார்!

இந்த பிரச்சினையை கூகுள் சரி செய்ததா?

இந்திய ஹேக்கர்கள் மற்றும் பாதுகாப்பு ஆராய்ச்சியாளர்களான ஸ்ரீராம் கே.எல் மற்றும் சிவனேஷ் அசோக் ஆகிய இருவரும், கூகுளின் கிளவுட் பிளாட்ஃபார்மில் உள்ள குறைபாட்டை பற்றி புகாரளித்த உடனேயே குறிப்பிட்ட சிக்கல் சரி செய்யப்பட்டது!

ஜிஇடி எண்ட்பாயிண்ட்களில் (GET endpoints) கிராஸ்-சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (CSRF) ப்ரொடெக்ஷன் எனப்படும் பாதுகாப்பு அம்சத்தைச் சேர்ப்பதன் மூலம் கூகுள் நிறுவனம் குறிப்பிட்ட சிக்கலை சரி செய்துள்ளது!

அசோக் மற்றும் ஸ்ரீராமிற்கு இது இரண்டாவது "சம்பவம்"!

இதற்கு முன்னதாக, அசோக் மற்றும் ஸ்ரீராம் ஆகிய இருவரும் தியா (Theia) என்கிற மற்றொரு கூகுள் கிளவுட் பிளாட்ஃபார்மில் ஒரு பிழையை கண்டறிந்தனர்.

இந்த 2 ஹேக்கர்களும் நடத்திய ஆய்வில், அவர்கள் பயன்படுத்தும் தியா வெர்ஷன் ஆனது லேட்டஸ்ட் ஆக வந்த வெர்ஷன் அல்ல என்பதை கண்டறிந்து உள்ளனர்.

பின்னர் அந்த வெர்ஷனில் ஏதேனும் பாதிப்புகள் உள்ளதா என்று தேடியதில், அப்போதும் கூட அவர்களிடம் பலவகையான குறைகள் மற்றும் பாதிப்புகள் சிக்கியது!