सैन फ्रांसिस्को/ऑस्टिन। वैश्विक चिप निर्माता AMD एक साइबर सुरक्षा विवाद के केंद्र में आ गई है। कंपनी पर आरोप है कि उसने अपने सॉफ्टवेयर अपडेटर में मौजूद एक गंभीर सुरक्षा खामी की रिपोर्ट करने वाले शोधकर्ता को पहले बग बाउंटी कार्यक्रम के दायरे से बाहर बताकर खारिज कर दिया और बाद में उसी खामी को स्वीकार करते हुए सुरक्षा पैच जारी कर दिया। इस पूरे घटनाक्रम ने बग बाउंटी कार्यक्रमों की पारदर्शिता, शोधकर्ताओं के साथ कंपनियों के व्यवहार और जिम्मेदार प्रकटीकरण प्रक्रियाओं पर नई बहस छेड़ दी है।
मामला एक स्वतंत्र सुरक्षा शोधकर्ता, जो ऑनलाइन “MrBruh” नाम से जाने जाते हैं, द्वारा खोजी गई भेद्यता से जुड़ा है। शोधकर्ता के अनुसार उन्होंने AMD के एक सॉफ्टवेयर अपडेटर में ऐसी कमजोरी का पता लगाया, जिसके माध्यम से हमलावर विशेष परिस्थितियों में सिस्टम पर दुर्भावनापूर्ण कोड चला सकते थे। यह खामी कथित तौर पर कंपनी के ऑटो-अपडेट मैकेनिज्म में मौजूद थी, जो उपयोगकर्ताओं के सिस्टम पर सॉफ्टवेयर अपडेट डाउनलोड और इंस्टॉल करने के लिए इस्तेमाल किया जाता है।
शोधकर्ता का दावा है कि जांच के दौरान उन्हें पता चला कि अपडेट सूची तो सुरक्षित HTTPS कनेक्शन के माध्यम से प्राप्त की जा रही थी, लेकिन डाउनलोड किए जाने वाले निष्पादन योग्य (Executable) फाइलों के कुछ लिंक सामान्य HTTP प्रोटोकॉल का उपयोग कर रहे थे। आरोप है कि डाउनलोड की गई फाइलों के सत्यापन की प्रक्रिया भी पर्याप्त रूप से सुरक्षित नहीं थी। ऐसी स्थिति में किसी हमलावर द्वारा नेटवर्क संचार में हस्तक्षेप कर वैध अपडेट के स्थान पर दुर्भावनापूर्ण फाइल उपलब्ध कराने की आशंका पैदा हो सकती थी।
साइबर सुरक्षा विशेषज्ञों के अनुसार यदि किसी अपडेटर में डाउनलोड की गई फाइलों का मजबूत क्रिप्टोग्राफिक सत्यापन न हो तो वह “मैन-इन-द-मिडल” हमलों के प्रति संवेदनशील हो सकता है। ऐसे हमलों में हमलावर दो पक्षों के बीच होने वाले संचार को प्रभावित कर डेटा या फाइलों में बदलाव कर सकता है। यदि प्रभावित सॉफ्टवेयर उच्च प्रशासनिक अधिकारों के साथ चलता हो, तो जोखिम और अधिक बढ़ जाता है।
रिपोर्ट के अनुसार शोधकर्ता ने 6 फरवरी को AMD के बग बाउंटी कार्यक्रम के माध्यम से इस कमजोरी की सूचना दी थी। हालांकि कंपनी ने कथित तौर पर यह कहते हुए रिपोर्ट बंद कर दी कि मामला कार्यक्रम के दायरे में नहीं आता क्योंकि यह वैकल्पिक उपकरणों और मैन-इन-द-मिडल परिदृश्य से संबंधित था। इसके परिणामस्वरूप शोधकर्ता को कथित तौर पर लगभग 10,000 अमेरिकी डॉलर (करीब ₹8.5 लाख) के संभावित बाउंटी भुगतान से वंचित रहना पड़ा।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
विवाद तब और बढ़ गया जब शोधकर्ता ने अपने निष्कर्ष सार्वजनिक किए। इसके बाद AMD की सुरक्षा प्रतिक्रिया टीम ने मामले की समीक्षा जारी होने की बात कही और रिपोर्ट के सार्वजनिक प्रकटीकरण पर आपत्ति जताई। शोधकर्ता का आरोप है कि कंपनी ने उनसे जानकारी हटाने या सीमित करने का अनुरोध किया, जबकि उस समय तक उनकी रिपोर्ट को पहले ही अयोग्य घोषित किया जा चुका था।
रिपोर्टों के अनुसार बाद में AMD ने अपने बग बाउंटी नियमों में संशोधन किया और स्पष्ट किया कि शोधकर्ता कंपनी की लिखित अनुमति के बिना किसी भेद्यता का सार्वजनिक खुलासा नहीं कर सकते, भले ही रिपोर्ट बाउंटी कार्यक्रम के लिए पात्र न हो। इसी बदलाव को लेकर आलोचकों ने सवाल उठाए हैं कि क्या नियमों में संशोधन घटना के बाद किया गया।
इस बीच AMD ने आधिकारिक सुरक्षा बुलेटिन जारी कर संबंधित भेद्यता को स्वीकार किया और शोधकर्ता को उसका श्रेय भी दिया। कंपनी ने बताया कि प्रभावित सॉफ्टवेयर के अद्यतन संस्करण जारी कर दिए गए हैं, जिनमें सुरक्षा सुधार लागू किए गए हैं। AMD का कहना है कि अपडेट प्रक्रिया को अधिक सुरक्षित बनाया गया है और संचार चैनलों की सुरक्षा मजबूत की गई है।
हालांकि शोधकर्ता ने दावा किया है कि कुछ तकनीकी चिंताएं अभी भी पूरी तरह समाप्त नहीं हुई हैं और उन्होंने उपयोगकर्ताओं को सलाह दी है कि वे आवश्यक होने पर सॉफ्टवेयर के नवीनतम संस्करण सीधे आधिकारिक स्रोतों से डाउनलोड करें। दूसरी ओर, उद्योग विशेषज्ञों का मानना है कि यह मामला केवल एक तकनीकी खामी का नहीं, बल्कि सुरक्षा शोधकर्ताओं और प्रौद्योगिकी कंपनियों के बीच विश्वास, पारदर्शिता और जिम्मेदार प्रकटीकरण के संतुलन का भी महत्वपूर्ण उदाहरण बन गया है।
