बग बाउंटी प्रोग्राम कमजोरियों को उजागर करने के लिए डिज़ाइन किए गए हैं, और ऐसा करने के लिए पुरस्कार हैं। लेकिन अधिक से अधिक मुफ्त सवार एसएमई वेबसाइटों में कमजोरियों की रिपोर्ट कर रहे हैं जो वास्तव में कमजोर नहीं हैं और जरूरत में मददगार के रूप में नकदी लेना चाहते हैं।
संभावित सुरक्षा कमजोरियों को उजागर करने के लिए कंपनियां बग बाउंटी कार्यक्रमों का तेजी से उपयोग कर रही हैं। हालांकि, फलता-फूलता कारोबार फ्री-राइडिंग की भी मांग करता है, जिनमें से कुछ आपराधिक रूप से प्रेरित हैं - तथाकथित "बेग बाउंटी हंटर्स" मुख्य रूप से छोटी कंपनियों को लक्षित करते हैं।
बग बाउंटी प्रोग्राम का उपयोग किया गया
अपने स्वयं के उत्पादों में बग की खोज और, परिणामस्वरूप, साइबर हमलों के लिए संभावित प्रवेश द्वारों को बंद करना बढ़ते डिजिटलीकरण के साथ सॉफ्टवेयर निर्माताओं का ध्यान केंद्रित करता जा रहा है। इसके लिए, कई कंपनियों ने तथाकथित बग बाउंटी प्रोग्राम स्थापित किए हैं जो महत्वपूर्ण सुरक्षा अंतरालों की गंभीर खोज और रिपोर्टिंग को पुरस्कृत करते हैं। लेकिन जैसा कि अक्सर लोकप्रिय अवधारणाओं के साथ होता है, जालसाज बहुत दूर नहीं होते हैं और अक्सर आईटी सुरक्षा और संदिग्ध तरीकों की थोड़ी समझ के साथ "भिखारी दौरे" पर जाते हैं। साइबर बदमाश, जिन्हें "बेग बाउंटी हंटर्स" के रूप में भी जाना जाता है, नकली बग और गलत कॉन्फ़िगरेशन की रिपोर्ट करते हैं और इस घोटाले के साथ छोटी कंपनियों को भुनाने की कोशिश करते हैं और जरूरत पड़ने पर मददगार के रूप में उच्च जोखिम क्षमता का ढोंग करते हैं।
अनुमानित कमजोरियां जो वास्तविक नहीं हैं
"बेग बाउंटी हंटर्स का दस्ता व्यापक है और बहुत अलग इरादों के साथ है। नैतिक और सुविचारित से लेकर सीमा रेखा या सर्वथा अपराधी तक, ”सोफोस के प्रिंसिपल थ्रेट रिसर्चर चेस्टर विस्नियुस्की ने कहा। "हालांकि, तथ्य यह है कि इस संदर्भ में मैंने जिन 'भेद्यताओं' की जांच की उनमें से कोई भी भुगतान करने लायक नहीं था। खराब तरीके से सुरक्षित लाखों वेबसाइटें हैं और बहुत से डोमेन स्वामियों को यह नहीं पता कि सुरक्षा कैसे सुधारी जाए। विशेष रूप से इस लक्ष्य समूह को संभावित सुरक्षा अंतरालों के बारे में पेशेवर-ध्वनि वाले संदेशों के साथ संदिग्ध सेवाओं से आसानी से भयभीत और आश्वस्त किया जा सकता है। ऐसे ई-मेल के प्राप्तकर्ताओं को उन्हें गंभीरता से लेना चाहिए, क्योंकि वे एक खतरनाक सुरक्षा स्थिति का संकेत दे सकते हैं, लेकिन उन्हें किसी भी परिस्थिति में दी जाने वाली सेवा के लिए सहमत नहीं होना चाहिए। ऐसे मामले में, स्थिति का आकलन करने के लिए एक भरोसेमंद स्थानीय आईटी पार्टनर से पूछना अधिक समझदारी है ताकि किसी भी मौजूदा खतरे को समाप्त किया जा सके।"
बेग इनाम शिकारी और उनकी रणनीति
पिछले एक साल में, ऐसी रिपोर्टें बढ़ रही हैं, विशेष रूप से छोटे व्यवसायों से, माना जाता है कि सुरक्षा विशेषज्ञ उनकी वेबसाइट में कमजोरियों के बारे में उनसे संपर्क कर रहे हैं। सोफोस फोरेंसिक वैज्ञानिकों ने इनमें से कुछ प्रस्तावों का विश्लेषण किया: प्रत्येक उदाहरण में, कथित सुरक्षा शोधकर्ता द्वारा कथित "भेद्यता रिपोर्ट" या "बेग बाउंटी" को एक ईमेल पते पर भेजा गया था जो प्राप्तकर्ता की वेबसाइट पर खुले तौर पर सुलभ था। इससे यह निष्कर्ष निकलता है कि संदेश कथित सुरक्षा अंतराल या गलत कॉन्फ़िगरेशन के लिए स्वचालित स्कैनिंग का एक संयोजन है, बाद में स्कैन परिणामों की एक ई-मेल टेम्पलेट में प्रतिलिपि बनाना और भेजने के लिए एक अलग-अलग ई-मेल पते का उपयोग करना है। सभी "समस्या" को हल करने के लिए शुल्क प्राप्त करने के उद्देश्य से।
थोड़ी मदद के लिए बेशर्म कीमत
गंभीरता के आधार पर विश्लेषण किए गए भीख इनाम संदेशों की कीमत $150 से $2.000 प्रति त्रुटि के बीच थी। इसके अलावा, जांच से पता चला है कि एक भेद्यता के लिए प्रारंभिक भुगतान कभी-कभी आगे की कमजोरियों के दावों में वृद्धि का कारण बनता है। "विशेषज्ञों" ने अन्य कथित सुरक्षा कमजोरियों को ठीक करने के लिए अचानक $5.000 की मांग की, और संचार भी अधिक आक्रामक हो गया।
बेशर्म आगे निकल जाता है - एक उदाहरण
सोफोस द्वारा विश्लेषण किए गए उदाहरणों में से एक शुरुआत में ही एक गलत बयान के साथ शुरू होता है। बेग बाउंटी हंटर ने प्राप्तकर्ता की वेबसाइट पर भेद्यता पाए जाने का दावा किया है और कहा है कि ईमेल स्पूफिंग से बचाने के लिए कोई DMARC रिकॉर्ड नहीं है। हालाँकि, यह न तो एक कमजोर बिंदु है और न ही इस मुद्दे का सीधे वेबसाइट से कोई लेना-देना है। DMARC रिकॉर्ड प्रकाशित करते समय फ़िशिंग हमलों को रोकने में मदद मिल सकती है, यह एक जटिल कार्य है जो अधिकांश संगठनों की सुरक्षा टू-डू सूची में उच्च स्थान पर नहीं है। तो भले ही समस्या मौजूद हो, बेग बाउंटी ईमेल के संदर्भ में, इसे प्राप्तकर्ता को इनामी भुगतान करने के लिए धकेलने के लिए वास्तव में जितना बड़ा है, उतना ही चित्रित किया जाता है।
Sophos.com पर और जानें
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।