छोटे बच्चे ने खोजी IRCTC की सबसे बड़ी कमी, ऐसे की जा सकती थी किसी की भी टिकट Cancel
Advertisement

छोटे बच्चे ने खोजी IRCTC की सबसे बड़ी कमी, ऐसे की जा सकती थी किसी की भी टिकट Cancel

चेन्नई के तांबरम के एक निजी स्कूल के 12वीं कक्षा के छात्र पी. रंगनाथन ने IRCTC की सबसे बड़ी कमी खोजी. जिसे ठीक कर दिया गया है. इस तरह किसी की भी टिकट कैंसिल की जा सकती थीं...

 

छोटे बच्चे ने खोजी IRCTC की सबसे बड़ी कमी, ऐसे की जा सकती थी किसी की भी टिकट Cancel

नई दिल्ली. पी. रंगनाथन (P. Renganathan) नामक एक स्वतंत्र सुरक्षा शोधकर्ता ने हाल ही में इंडियन कंम्यूटर इमरजेंसी रिस्पॉन्स टीम को IRCTC प्लेटफॉर्म पर पर एक बड़ी वल्नेरेबिलिटी के बारे में सचेत किया, जिससे लाखों यात्रियों की निजी जानकारी प्राप्त की जा सकती थी. इतना ही नहीं, IRCTC पर आईडीओआर (असुरक्षित प्रत्यक्ष वस्तु संदर्भ) भेद्यता का फायदा उठाते हुए हैकर को किसी भी अनजान यात्रियों के बुक किए गए ट्रेन टिकट रद्द करने की अनुमति भी मिल सकती थी.

  1. स्कूल के बच्चे ने IRCTC की सबसे बड़ी कमी खोजी.
  2. जिससे लाखों यात्रियों की निजी जानकारी प्राप्त की जा सकती थी.
  3. इस जरिए किसी की भी बुक टिकट को रद्द किया जा सकता था.

कैंसिल की जा सकती थी किसी की भी टिकट

रंगनाथन के अनुसार, आईआरसीटीसी पर आईडीओआर भेद्यता ने किसी को भी बोर्डिंग पॉइंट (ट्रेन का) बदलने, खाना ऑर्डर करने, होटल बुक करने, पर्यटक पैकेज और यहां तक ​​​​कि बस बुक करने की अनुमति दी. 

बग ऐसे आया पकड़ में

चेन्नई के तांबरम के एक निजी स्कूल के 12वीं कक्षा के छात्र पी. रंगनाथन (17) के अनुसार, वह कुछ दिनों पहले आईआरसीटीसी पोर्टल में लॉग इन करके ट्रेन टिकट बुक कर रहा था, जब उसे कुछ कमजोरियां मिलीं जो सिक्योरिटी फीचर के हिसाब से सही नहीं थीं. वेबसाइट पर क्रिटिकल इनसिक्योर ऑब्जेक्ट डायरेक्ट रेफरेंस (आईडीओआर) भेद्यता ने उन्हें नाम, लिंग, आयु, पीएनआर नंबर, ट्रेन विवरण, प्रस्थान स्टेशन और यात्रा की तारीख जैसे अन्य यात्रियों के यात्रा विवरण तक पहुंचने में सक्षम बनाया. 

रंगनाथन पी  ने कहा, 'बैक-एंड कोड समान है, एक हैकर खाना ऑर्डर करने, बोर्डिंग स्टेशन बदलने और यहां तक ​​कि वास्तविक यात्री की जानकारी के बिना टिकट रद्द करने में सक्षम होता. घरेलू/अंतर्राष्ट्रीय पर्यटन, बस टिकट और होटल बुकिंग जैसी अन्य सेवाएं अन्य यात्रियों के उपयोगकर्ता प्रोफाइल में संभव होतीं. सबसे महत्वपूर्ण बात यह है कि लाखों यात्रियों के विशाल डेटाबेस के लीक होने का खतरा था.'

30 अगस्त को मेल कर बताई बड़ी खामी

12वीं क्लास में पढ़ने वाले रंगनाथन पी ने सुरक्षा कमजोरियों को ठीक करने में लिंक्डइन, संयुक्त राष्ट्र, BYJU's, नाइक, लेनोवो, अपस्टॉक्स की मदद करने का दावा किया है. उन्होंने 30 अगस्त 2021 को सीईआरटी-इन को incident@cert-in.org.in पर ईमेल करके इस मुद्दे की सूचना दी. आईडीओआर वल्नेरेबिलिटी 4 सितंबर को तय की गई थी और आईआरसीटीसी ने 11 सितंबर को इसे स्वीकार किया था.

Trending news