“Microsoft” şirkəti veb-xidmətlərində kritik boşluq aşkar etmiş informasiya təhlükəsizliyi üzrə müstəqil mütəxəssis Lakşman Mutiyyahı 50 min dollar məbləğində mükafatlandırıb. Sözügedən boşluq istifadəçilərin hesabına onlardan xəbərsiz müdaxiləyə imkan verib.

Şirkət istifadəçi hesabının şifrini sıfırlamaqdan ötrü 7 rəqəmli təhlükəsizlik kodunun göndəriləcəyi elektron poçt və ya mobil telefon nömrəsinin daxil edilməsini tələb edir. Həmin kodun daxil edilməsindən sonra istifadəçi öz hesabı üçün yeni şifr yarada bilər.

Mutiyyah istifadəçi hesablarına brutfors hücum vasitəsilə müdaxilə üsulunu aşkar edib. Əvvəlcə mütəxəssis eyni anda göndərilmiş sorğuların sayını məhdudlaşdıran və lazımsızları bloklayan şifrlərin işlənməsi sistemini araşdırıb. Araşdırma nəticəsində xidmətə göndərilmiş 1000 variantdan yalnız 122-nin yoxlanıldığı məlum olub. Sistem digərlərinə “Error 1211” səhvini göstərib.

Son nəticədə mütəxəssis sorğuların sayına qoyulmuş məhdudiyyəti keçməyə imkan verən alqoritm hazırlamağa müvəffəq olub. Məlum olub ki, təhlükəsizlik kodlarının eyni anda göndərilməsi onların hamısının işlənməsinə imkan verir. Nəhayət, mütəxəssis şifri sıfırlamaq üçün lazımi kodu tapmağa nail olub.

Lakşman “Microsoft” korporasiyasına boşluq haqqında məlumat verib. Bundan sonra tərtibatçılar sistemə müvafiq düzəlişləri ediblər və onu 50 min dollar məbləğində mükafatlandırıblar.

Emil Hüseynov

İstinadlar ict news