काही आठवड्यांसाठी आम्ही असे पाहिले आहे की भिन्न वेबसाइट्स आणि तृतीय-पक्षाच्या इंटरनेट सेवांमध्ये आम्ही आमच्यासह "लॉग इन" करू शकतो .पल आयडी. सत्य हे आहे की जेव्हा मी त्याला प्रथमच पाहिले तेव्हा मी माझ्या नाकात मुरुम फोडला आणि मी फारसे मजेशीर नव्हते. या गोष्टींसाठी माझ्याकडे आधीपासूनच एक "जंक" जीमेल खाते आहे, जिथे मला स्पॅम सापडत असेल याची मला पर्वा नाही कारण मी त्याकडे कधीही पहात नाही.
Itपलने ही सिस्टीम स्थापित केली असल्यास हे सत्य आहे की, ती वापरत असलेली वेब सेवा वापरकर्त्याचा डेटा प्राप्त करीत नाही किंवा स्पॅम पाठवू देत नाही याची खात्री केली आहे. पण मी, फक्त बाबतीत, ते वापरण्याचा हेतू नाही. आता आम्हाला माहित आहे की एक होता सुरक्षा उल्लंघन या सिस्टीममध्ये आणि कंपनीने त्रुटी शोधणार्याला चांगलेच बक्षीस दिले आहे.
"Appleपलसह साइन इन करा" सह सुरक्षा असुरक्षिततेमुळे हॅकर्सना या सिस्टमद्वारे प्रवेश केलेल्या वापरकर्त्याच्या खात्यावर संपूर्ण नियंत्रण ठेवण्याची परवानगी मिळू शकेल. सुदैवाने, भारत-आधारित सुरक्षा संशोधकांद्वारे हा दोष दिसला भावुक जैन.
एक ,100.000 XNUMX बोनस
येथून माझी पहिली 6 अंकाची बाउंटी आहे @ ऍपल. ब्लॉग पोस्ट पुढील आठवड्यात असेल. # बगबॉन्टी pic.twitter.com/QygxvtGYJb
- भावुक जैन (@ भावुकजैन 1) 24 शकते, 2020
शनिवार व रविवारच्या शेवटी पोस्ट केलेल्या ब्लॉग पोस्टमध्ये जैन यांनी नमूद केले की त्यांनी Appleपलला एप्रिलमधील असुरक्षिततेबद्दल जागरूक केले आहे. कफर्टिनोकडून द्रुतपणे त्यांनी त्रुटीची पडताळणी केली आणि त्याचे निराकरण झाले. Appleपलच्या बग बाउंटी प्रोग्रामबद्दल धन्यवाद, संगणकाच्या शास्त्रज्ञाला हा पुरस्कार मिळाला आहे 100.000 डॉलर सापडलेल्या महत्त्वपूर्ण शोधाबद्दल धन्यवाद.
Using वापरताना वेब टोकन व्युत्पन्न करण्यात त्रुटी आली.Withपल सह साइन इन कराThird तृतीय-पक्षाच्या वेब सेवांमध्ये. जैन यांनी नमूद केले की अशक्तपणामुळे कोणालाही anyपलच्या कोणत्याही ईमेल आयडीसाठी टोकनची विनंती करणे शक्य झाले आहे. त्यानंतर ओळख सत्यापित करण्यासाठी ते टोकन म्हणून वापरले जाऊ शकतात. हे आक्रमणकर्त्यांना Appleपल आयडीशी दुवा साधून टोकन फसविण्यास अनुमती देईल. येथून, अनोळखी व्यक्तीस हॅक झालेल्या Appleपल आयडीसह पूर्ण प्रवेश असेल.
बर्याच विकसकांनी "अॅपलसह साइन इन" समाकलित केले आहे जेथे खाते आवश्यक आहे आणि त्यांच्याकडे आधीपासूनच इतर सामाजिक लॉगिन आहेत. उदाहरणार्थ, फेसबुक, ड्रॉपबॉक्स, स्पॉटिफाई, एअरबीएनबी, गिफी इ
वापरकर्त्याची पडताळणी केली जात असताना त्या ठिकाणी इतर कोणतीही सुरक्षा उपाययोजना केली नसती तर हे अॅप्स संपूर्ण खाते ताब्यात घेण्यास असुरक्षित असू शकतात. जैन यांच्या म्हणण्यानुसार Appleपलने एक तपासणी केली आणि ते निश्चित केले कोणत्याही खात्यात तडजोड केली नव्हती सुरक्षा उल्लंघन निश्चित करण्यापूर्वी या लॉगिनमुळे.