Kerala: बग बाउंटी हंटिंग ने तकनीकी विशेषज्ञों के लिए नया आय कोड लिखा

तिरुवनंतपुरम: युवा आईटी पेशेवर और स्व-शिक्षित कोडर्स हैकिंग करके पैसे कमाने का एक रोमांचक तरीका ढूंढ रहे हैं। लेकिन यह तरीका गैरकानूनी नहीं है। ये एथिकल हैकर हैं और दुनिया की कुछ सबसे बड़ी तकनीकी दिग्गज कंपनियों से उन्हें इसके लिए पैसे मिल रहे हैं।

बग बाउंटी हंटिंग की दुनिया में लोग वेबसाइटों, ऐप्स या यहाँ तक कि कारों में सुरक्षा खामियों की तलाश करते हैं और ज़िम्मेदारी से उनकी रिपोर्ट करते हैं। वे अक्सर इनाम के तौर पर हज़ारों या लाखों में कमाते हैं। गूगल, मेटा, एप्पल जैसी वैश्विक कंपनियाँ और एंथ्रोपिक व ओपनएआई जैसी एआई फर्म हैकरवन, बगक्राउड और मोज़िला के ओडिन जैसे प्लेटफ़ॉर्म के ज़रिए बग बाउंटी प्रोग्राम चलाती हैं। कई लोगों के लिए यह एक रोमांचक साइड हसल है। कुछ लोगों के लिए यह एक पूर्णकालिक करियर बन गया है। तिरुवनंतपुरम के साइबर सुरक्षा विशेषज्ञ मोहम्मद शाइन का ही उदाहरण लीजिए, जो अब ऑटोमोटिव क्षेत्र में विशेषज्ञता रखते हैं। उन्होंने अपने दोस्त की कार के ज़रिए एक होंडा सिटी में एक गंभीर सुरक्षा खामी पाई।

"सर्वर लीक हो गया था। अगर किसी के पास मालिक का मोबाइल नंबर होता, तो वह ओटीपी प्राप्त कर सकता था और कार को दूर से ही नियंत्रित कर सकता था," शाइन ने बताया। उन्होंने इस समस्या की सूचना दी। शाइन, जो एएसआरजी (ऑटोमोटिव सिक्योरिटी रिसर्च ग्रुप) के केरल चैप्टर के प्रमुख भी हैं, ने कहा कि इस तरह की रिपोर्टिंग ज़िम्मेदाराना प्रकटीकरण का एक हिस्सा है। इसका मतलब है कि कोई इनाम नहीं है, लेकिन जानकारी उपयोगकर्ताओं की सुरक्षा के लिए एक सार्वजनिक सेवा के रूप में साझा की जाती है।

उन्हें पहचान भी मिली है। टोयोटा और मारुति, दोनों ने शाइन को सीवीई (कॉमन वल्नरेबिलिटीज़ एंड एक्सपोज़र्स) आईडी प्रदान की हैं, क्योंकि उन्होंने एक गंभीर बग का पता लगाया था जिससे अनधिकृत रूटशेल एक्सेस मिल गया था - नियंत्रण का एक ऐसा स्तर जो केवल कार मालिक के पास ही होना चाहिए। उन्होंने कहा, "मैं पहले पूर्णकालिक रूप से बग बाउंटी करता था। अब मैं ऑटोमोटिव क्षेत्र पर ध्यान केंद्रित करता हूँ।"

बग बाउंटी अब केवल वेबसाइटों और ऐप्स तक ही सीमित नहीं है। एक नया क्षेत्र एआई सुरक्षा है ताकि यह सुनिश्चित किया जा सके कि एआई सिस्टम गलत काम न करें। मट्टनूर के विष्णुराज इस क्षेत्र में अग्रणी भूमिका निभा रहे हैं। वह बर्लिन में श्वार्ज़ कॉर्पोरेट सॉल्यूशंस के साथ एक एआई रेड टीमर के रूप में काम करते हैं - एक ऐसी भूमिका जहाँ विशेषज्ञ हैकर्स से पहले ही कमज़ोरियों को उजागर करने के लिए एआई सिस्टम में सेंध लगाने की कोशिश करते हैं।

उनके काम ने एंथ्रोपिक के क्लाउड, गूगल के बार्ड, ओपनएआई के चैटजीपीटी और जेमिनी जैसे सिस्टम में 10 सुरक्षा खामियों की पहचान करने में मदद की है। इससे उन्होंने 12,000 यूरो से ज़्यादा की कमाई की है।

विष्णुराज ने कहा, "मैं ओडिन का इस्तेमाल करता हूँ, जो मोज़िला द्वारा संचालित बग बाउंटी प्लेटफ़ॉर्म है और ख़ास तौर पर एआई सिस्टम के लिए बनाया गया है।" "एक एआई प्रोग्राम पक्षपाती नहीं होना चाहिए। उसे भ्रम या मनगढ़ंत बातें नहीं करनी चाहिए, खासकर चिकित्सा जैसे संवेदनशील क्षेत्रों में। ऐसे कई मामले सामने आए हैं जहाँ एआई ने बिना किसी आदेश के किसी कंपनी के पूरे डेटाबेस को डिलीट कर दिया। अगर इसे ठीक नहीं किया गया तो भविष्य में ऐसा हो सकता है।"

उन्होंने जो सबसे बड़ी समस्या पाई, वह यह थी कि चैटजीपीटी के बड़े भाषा मॉडल (एलएलएम) को नुकसानदेह कार्यों में मदद करने के लिए छल से इस्तेमाल किया जा सकता है। विष्णुराज ने बताया, "यह आपको सीधे तौर पर बम बनाने का तरीका नहीं बताता था, लेकिन सावधानीपूर्वक पूछे गए सवालों से आपको जानकारी मिल सकती थी। मैंने इसकी सूचना दी, इसे ठीक कर दिया गया और मुझे इनाम भी मिला।"

जिनीश ए. के., जो मूल रूप से मलप्पुरम के रहने वाले हैं और अब बेंगलुरु में मर्सिडीज बेंज आरएंडडी इंडिया में प्रमुख सलाहकार हैं, ने हैकरवन पर अपनी छाप छोड़ी है। अब तक, उन्होंने 53 कमज़ोरियों का पता लगाया है और संबंधित कंपनियों से 30 स्वीकृतियाँ प्राप्त की हैं।

उनकी एक खोज एक वेब एप्लिकेशन का परीक्षण करते समय हुई। एक प्रकार का बग जो दुरुपयोग होने पर पूरे सिस्टम को ठप कर सकता है। जिनीश ने कहा, "मैंने एक गंभीर रिमोट कोड एक्ज़ीक्यूशन (RCE) दोष का पता लगाया। एक गुप्त CSV पार्सिंग ट्रिक के साथ डायरेक्टरी ट्रैवर्सल को चेन करके, मैं एक महत्वपूर्ण फ़ाइल को ओवरराइट कर सकता था और सर्वर पर कोई भी कोड चला सकता था।"

एक सुरक्षा इंजीनियर, हेमंत जोसेफ कहते हैं कि भारत अभी भी डेटा सुरक्षा कानूनों के मामले में पिछड़ा हुआ है। लेकिन शैक्षणिक संस्थान इसमें आगे बढ़ रहे हैं। उन्होंने कहा, "केटीयू जैसे विश्वविद्यालयों ने साइबर सुरक्षा को अपने पाठ्यक्रम में शामिल कर लिया है। बग बाउंटी सीखने और अच्छी नौकरी पाने का एक बेहतरीन तरीका हो सकता है।"