17 साल के लड़के ने खोजी IRCTC में बड़ी खामी, हो सकती थी लाखों की टिकट कैंसिल

IRCTC की वेबसाइट में एक सबसे बड़ी कमी पायी गयी है। जिससे लोगों की निजी सुरक्षा में सेंध लग सकती थी। पी. रंगनाथन नामक एक स्वतंत्र सुरक्षा शोधकर्ता ने हाल ही में इंडियन कंम्यूटर इमरजेंसी रिस्पॉन्स टीम को IRCTC प्लेटफॉर्म पर पर एक बड़ी
 
17 साल के लड़के ने खोजी IRCTC में बड़ी खामी, हो सकती थी लाखों की टिकट कैंसिल  

 नई दिल्ली। IRCTC की वेबसाइट में एक सबसे बड़ी कमी पायी गयी है। जिससे लोगों की निजी सुरक्षा में सेंध लग सकती थी। पी. रंगनाथन नामक एक स्वतंत्र सुरक्षा शोधकर्ता ने हाल ही में इंडियन कंम्यूटर इमरजेंसी रिस्पॉन्स टीम को IRCTC प्लेटफॉर्म पर पर एक बड़ी वल्नेरेबिलिटी के बारे में सचेत किया, जिससे लाखों यात्रियों की निजी जानकारी प्राप्त की जा सकती थी. इतना ही नहीं, IRCTC पर आईडीओआर (असुरक्षित प्रत्यक्ष वस्तु संदर्भ) भेद्यता का फायदा उठाते हुए हैकर को किसी भी अनजान यात्रियों के बुक किए गए ट्रेन टिकट रद्द करने की अनुमति भी मिल सकती थी.
 
रंगनाथन के अनुसार, आईआरसीटीसी पर आईडीओआर भेद्यता ने किसी को भी बोर्डिंग पॉइंट (ट्रेन का) बदलने, खाना ऑर्डर करने, होटल बुक करने, पर्यटक पैकेज और यहां तक ​​​​कि बस बुक करने की अनुमति दी.

चेन्नई के तांबरम के एक निजी स्कूल के 12वीं कक्षा के छात्र पी. रंगनाथन (17) के अनुसार, वह कुछ दिनों पहले आईआरसीटीसी पोर्टल में लॉग इन करके ट्रेन टिकट बुक कर रहा था, जब उसे कुछ कमजोरियां मिलीं जो सिक्योरिटी फीचर के हिसाब से सही नहीं थीं. वेबसाइट पर क्रिटिकल इनसिक्योर ऑब्जेक्ट डायरेक्ट रेफरेंस (आईडीओआर) भेद्यता ने उन्हें नाम, लिंग, आयु, पीएनआर नंबर, ट्रेन विवरण, प्रस्थान स्टेशन और यात्रा की तारीख जैसे अन्य यात्रियों के यात्रा विवरण तक पहुंचने में सक्षम बनाया.

रंगनाथन पी  ने कहा कि ‘बैक-एंड कोड समान है, एक हैकर खाना ऑर्डर करने, बोर्डिंग स्टेशन बदलने और यहां तक ​​कि वास्तविक यात्री की जानकारी के बिना टिकट रद्द करने में सक्षम होता. घरेलू/अंतर्राष्ट्रीय पर्यटन, बस टिकट और होटल बुकिंग जैसी अन्य सेवाएं अन्य यात्रियों के उपयोगकर्ता प्रोफाइल में संभव होतीं. सबसे महत्वपूर्ण बात यह है कि लाखों यात्रियों के विशाल डेटाबेस के लीक होने का खतरा था.’

12वीं क्लास में पढ़ने वाले रंगनाथन पी ने सुरक्षा कमजोरियों को ठीक करने में लिंक्डइन, संयुक्त राष्ट्र, BYJU’s, नाइक, लेनोवो, अपस्टॉक्स की मदद करने का दावा किया है. उन्होंने 30 अगस्त 2021 को सीईआरटी-इन को incident@cert-in.org.in पर ईमेल करके इस मुद्दे की सूचना दी. आईडीओआर वल्नेरेबिलिटी 4 सितंबर को तय की गई थी और आईआरसीटीसी ने 11 सितंबर को इसे स्वीकार किया था.