वैलेंटाइन डे पर, मैं आपके लिए एक ऐसी कहानी लेकर आया हूं जो तब से पूरी दुनिया में सुर्खियां बन गई है: कैसे एक आदमी, जो प्लेस्टेशन गेमपैड के साथ अपने डीजेआई रोबोट वैक्यूम को चलाने की कोशिश कर रहा था, ने 7,000 रिमोट-कंट्रोल डीजेआई रोबोटों के एक पूरे नेटवर्क की खोज की, जो उसे दूसरे लोगों के घरों में झांकने की अनुमति देने के लिए तैयार थे।
स्पष्ट रूप से, डीजेआई ने सैमी अज़दौफ़ल नामक व्यक्ति के दिखाने से पहले ही कुछ संबंधित कमजोरियों को संबोधित करना शुरू कर दिया था। द वर्ज वह कितनी पहुंच सकता है। लेकिन यह स्पष्ट नहीं था कि डीजेआई उसे उसकी खोज के लिए भुगतान करेगा या नहीं, विशेष रूप से 2017 में सुरक्षा शोधकर्ता केविन फिनिस्टर के साथ उसके व्यवहार के बाद – या कितनी जल्दी डीजेआई एज़डौफ़ल द्वारा खोजी गई अतिरिक्त कमजोरियों को पूरी तरह से ठीक कर सकता है।
आज, हमारे पास कुछ उत्तर हैं।
उनके द्वारा साझा किए गए एक ईमेल के अनुसार, डीजेआई एक एकल खोज के लिए अज़दौफ़ल को $30,000 का भुगतान करेगा द वर्जयह निर्दिष्ट किए बिना कि यह उसे किस खोज के लिए भुगतान कर रहा है। हालाँकि डीजेआई अज़दौफ़ल का नाम नहीं ले रहा है, लेकिन इसकी पुष्टि करता है द वर्ज इसने एक अनाम सुरक्षा शोधकर्ता को उनके काम के लिए “पुरस्कृत” किया है।
डीजेआई ने हमें यह भी नहीं बताया कि वह उसे किस खोज के लिए भुगतान कर रहा है, लेकिन कहता है कि उसने पहले से ही एज़डॉफ़ल द्वारा पाई गई अतिरिक्त भेद्यता को संबोधित कर लिया है, जहां कोई व्यक्ति सुरक्षा पिन की आवश्यकता के बिना डीजेआई रोमो वीडियो स्ट्रीम देख सकता है। डीजेआई प्रवक्ता डेज़ी कोंग द्वारा दिए गए एक बयान में कहा गया है, “हम पुष्टि कर सकते हैं कि पिन कोड सुरक्षा अवलोकन को फरवरी के अंत तक संबोधित किया गया था।”
आप सोच रहे होंगे: उस भेद्यता के बारे में क्या जो इतनी बुरी लगती थी कि हमने अपनी मूल कहानी में इसका वर्णन करने से इनकार कर दिया? डीजेआई ने मुझे बताया कि वह इस पर भी काम कर रहा है: “हमने पूरे सिस्टम को अपग्रेड करना भी शुरू कर दिया है। इसमें अपडेट की एक श्रृंखला शामिल है, जिसके बारे में हमारा अनुमान है कि इसे एक महीने के भीतर पूरी तरह से लागू कर दिया जाएगा।”
डीजेआई ने भी प्रकाशित किया है आज एक सार्वजनिक ब्लॉग पोस्ट डीजेआई रोमो की सुरक्षा को मजबूत करने के बारे में, जहां यह दावा करना जारी रखता है कि उसने मूल मुद्दे की खोज स्वयं की है, वहीं उसी समस्या को खोजने के लिए “दो स्वतंत्र सुरक्षा शोधकर्ताओं” को भी श्रेय दिया है।
वहां, डीजेआई सुझाव दे रहा है कि सब कुछ है पहले से रोमो के साथ हल किया गया: “समस्या को पूरी तरह से हल करने के लिए अपडेट तैनात किए गए हैं।” लेकिन फिर, वहाँ केवल एक ही भेद्यता नहीं थी, और डीजेआई ने बताया द वर्ज इसमें एक और महीने तक का समय लग सकता है।
ब्लॉग पोस्ट में, डीजेआई यह भी कहता है कि रोमो के पास सुरक्षा के लिए पहले से ही ईटीएसआई, ईयू और यूएल प्रमाणन हैं – जो सवाल उठा सकते हैं कि वे प्रमाणन वास्तव में कितने उपयोगी हैं यदि क्लाउड कोड वाला एक व्यक्ति रोबोवैक से भरे पूरे नेटवर्क तक पहुंच सकता है! – और यह रोमियो और उसके ऐप का परीक्षण, पैच और सबमिट करना स्वतंत्र तृतीय-पक्ष सुरक्षा ऑडिट के लिए जारी रहेगा।
डीजेआई लिखता है कि यह “सुरक्षा अनुसंधान समुदाय के साथ हमारे जुड़ाव को गहरा करने के लिए प्रतिबद्ध है, और हम जल्द ही शोधकर्ताओं के लिए हमारे साथ साझेदारी और सहयोग करने के नए तरीके पेश करेंगे।”
