• தாம்பரம் பள்ளி மாணவர் கண்டுபிடித்த குறைபாடு; 4 நாட்களில் திருத்தம் – IRCTC சந்தித்த பாதுகாப்பு சர்ச்சைகள்!

    IRCTC இணையதளத்தில் IDOR என்ற பாதுகாப்புக் குறைபாடு இருப்பதை சென்னை தாம்பரம் 12-ம் வகுப்பு மாணவர் பி.ரங்கநாதன் கண்டுபிடித்திருக்கிறார். 1 min


    ஐஆர்சிடிசி
    ஐஆர்சிடிசி

    இந்திய ரயில்வேயின் இணையதளமான IRCTC-யின் அதிகாரப்பூர்வ இணையதளத்தில் இருந்த பாதுகாப்புக் குறைபாட்டை சென்னை தாம்பரத்தைச் சேர்ந்த பள்ளி மாணவர் கண்டுபிடித்துச் சொல்லவே, அது சரி செய்யப்பட்டிருக்கிறது. என்ன நடந்தது?

    IRCTC இணையதளம்

    ஐஆர்சிடிசி
    ஐஆர்சிடிசி

    மத்திய ரயில்வே அமைச்சகத்தின் நேரடிக் கட்டுப்பாட்டில் இயங்கும் இந்திய ரயில்வேயின் டிக்கெட் புக்கிங் இணையதளமாக https://www.irctc.co.in/ இருக்கிறது. இதில், டிக்கெட் புக்கிங் தவிர சுற்றுலா, உணவு ஆர்டர், விமான டிக்கெட் முன்பதிவு போன்ற வசதிகளும் அளிக்கப்பட்டு வருகின்றன. 1999-ம் ஆண்டு செப்டம்பர் 27-ம் தேதி தொடங்கப்பட்ட IRCTC இணையதளம் மூலம் தினசரி லட்சக்கணக்கான பயணிகள் டிக்கெட் புக்கிங் உள்ளிட்ட சேவைகளைப் பெற்று வருகின்றனர். 2015 ஏப்ரல் மாதத்தில் மட்டும் சுமார் 13,40,000 டிக்கெட்டுகள் ஒரே நாளில் முன்பதிவு செய்யப்பட்ட சாதனையை IRCTC படைத்தது. இணையதளம் மட்டுமல்லாது செல்போன் செயலி வழியாகவும் சேவை வழங்கப்பட்டு வருகிறது.

    தேசிய பங்குச் சந்தையில் கடந்த 2019-ல் பட்டியலிடப்பட்ட இந்த நிறுவனம், பொதுத்துறை நிறுவனமாகியது. நிறுவனத்தின் 87% பங்குகளை சொந்தமாக வைத்துக்கொண்ட மத்திய அரசு, மீதமிருக்கும் பங்குகள் மூலம் முதலீட்டைப் பொதுமக்களிடமிருந்து திரட்டியது. 2020 டிசம்பரில் கூடுதலாக 20% பங்குகள் ஏலம் விடப்பட்ட நிலையில், மத்திய அரசிடம் தற்போது 67% பங்குகளே கைவசமிருக்கின்றன. இந்த நிறுவனத்துக்குச் சொந்தமாக `RailNeer’ என்ற பெயரில் குடிநீர் தயாரிப்பு ஆலைகளும் இருக்கின்றன. இந்திய அளவில் ரயில்கள் தொடர்பாக டிக்கெட் புக்கிங், உணவு ஆர்டர் போன்றவற்றுக்கான பிரத்யேக உரிமை இந்த நிறுவனத்திடம் மட்டுமே இருக்கிறது. அதேபோல், இந்திய அளவிலும் வெளிநாடுகளிலும் சுற்றுலா பேக்கேஜ் வசதியையும் மக்களுக்கு அளித்து வருகிறது.

    சர்ச்சைகள்

    ஐஆர்சிடிசி
    ஐஆர்சிடிசி

    அதேநேரம், பயனாளர்களின் தனிப்பட்ட தகவல்களை உரிய முறையில் பாதுகாக்க நடவடிக்கை எடுக்கப்படவில்லை என ஐஆர்சிடிசி இணையதளம் குறித்து அவ்வப்போது சர்ச்சைகள் எழுவதுண்டு. கடந்த 2016-ல் ஐஆர்சிடிசி இணையதளத்தில் இருந்து ஒரு கோடி பயனாளர்களின் தகவல்கள் கசிந்ததாக மகாராஷ்டிரா மாநிலத்தைச் சேர்ந்த சைபர் செக்யூரிட்டி வல்லுநர்கள் கண்டுபிடித்து புகார் அளித்தனர். ஆனால், பயனாளர்கள் தகவல்கள் கசிவு தகவலை ஐஆர்சிடிசி நிர்வாகம் மறுத்தது. அதேபோல், 2018-ல் ஐஆர்சிடிசி-யின் மொபைல் ஆப்பில் அளிக்கப்பட்டு வந்த இலவச காப்பீடு திட்டத்தை கிளிக் செய்தால், மற்றொரு காப்பீட்டு நிறுவனத்தின் இணையதள பக்கத்துக்கு ரீ-டைரக்ட் செய்யப்படுவதாக அவினாஷ் ஜெயின் என்ற சைபர் செக்யூரிட்டி ஆய்வாளர் புகார் எழுப்பியிருந்தார். சுமார் இரண்டு வருடங்களாக தோராயமாக 20,000 பயனாளர்களின் தகவல்கள் இதன்மூலம் கசிந்திருப்பதாகவும் அவர் குற்றச்சாட்டை முன்வைத்தார். இதனால், உடனடியாக சுதாரித்துக் கொண்டு இலவச காப்பீட்டு வசதியை நிறுத்தப்பட்டு, பாதுகாப்புக் குறைபாடும் சரிசெய்யப்பட்டது.

    2020 அக்டோபரில் மிகப்பெரிய சர்ச்சையில் சிக்கியது ஐஆர்சிடிசி. அதன் அதிகாரப்பூர்வ இணையதளத்தில் கண்டுபிடிக்கப்பட்ட பாதுகாப்புக் குறைபாட்டால், சுமார் 9,00,000 பயனாளர்களின் பெயர்கள், தொலைபேசி எண்கள், பிறந்த தேதி, திருமணம் குறித்த தகவல்கள், வீட்டு முகவரி, பாலினம், அவர்கள் பயணம் தொடர்பான தகவல்கள் கசிந்ததாகப் புகார் எழுந்தது. ஆனால், நிர்வாகம் தரப்பில் மறுப்புத் தெரிவிக்கப்பட்டது. அதே மாதத்தில், பயனாளர்கள் தொடர்பான தகவல்களை ஹோட்டல்கள், டாக்ஸி புக்கிங் ஆகியவற்றுக்காக மூன்றாம் தரப்பிடம் பகிர்ந்துகொள்வதாக ஐஆர்சிடிசி நிர்வாகம் ஒப்புக்கொண்டது.

    ரயில்வேக்குச் சொந்தமான சொத்துகளைப் பயன்படுத்தி வருமானம் பார்ப்பது குறித்து செய்தியாளர்களிடம் பேசிய அப்போதைய ரயில்வே துறை அமைச்சர் பியூஷ் கோயல் கூறிய ஒரு கருத்து பெரும் அதிர்வலைகளை ஏற்படுத்தியது. அந்த செய்தியாளர் சந்திப்பில் பேசிய பியூஷ் கோயல், ரயில்வேயிடம் தனிநபர்கள் குறித்த மிகப்பெரிய அளவிலான டேட்டா இருக்கிறது. அவற்றை எப்படிப் பயன்படுத்துவது என்பது குறித்து ஆலோசித்து வருகிறோம்’’ என்று அவர் கூறிய கருத்து மிகப்பெரிய சர்ச்சையை ஏற்படுத்தியது. இது மக்களின் தனியுரிமைக் கொள்கைக்கு மிகப்பெரிய அச்சுறுத்தல் என்ற விமர்சனம் அப்போது எழுந்தது. பயனாளர்கள் டிக்கெட் புக்கிங்கின் போது கொடுத்த இ-மெயில் முகவரியைப் பயன்படுத்தி அவற்றுக்கு,பிரதமர் மோடி மற்றும் அவரது தலைமையிலான அரசு சீக்கியர்களுக்கு செய்த நலத்திட்டங்கள்’ என்ற தலைப்பில் 2 கோடிக்கும் அதிகமான இ-மெயில்கள் அனுப்பப்பட்டன. மத்திய அரசின் புதிய வேளாண் சட்டங்களை எதிர்த்து போராட்டம் நடந்துகொண்டிருந்தபோது பயனாளர்கள் ஒப்புதலின்றி இதுபோன்ற இ-மெயிலை ஐஆர்சிடிசி அனுப்பியது விவாதத்தைக் கிளப்பியது.

    தாம்பரம் மாணவரின் கண்டுபிடிப்பு!

    ரெங்கநாதன்
    ரெங்கநாதன்

    இந்தநிலையில், ஐஆர்சிடிசி இணையதளத்தில் Insecure Direct Object References (IDOR) என்ற பாதுகாப்புக் குறைபாடு இருப்பதை சென்னை தாம்பரம் தனியார் பள்ளி ஒன்றில் 12-ம் வகுப்புப் படிக்கும் பி.ரங்கநாதன் என்ற மாணவர் கண்டுபிடித்திருக்கிறார். இதுகுறித்து ஐஆர்சிடிசி-யின் தொழில்நுட்பப் பிரிவுக்குத் தகவல் தெரிவிக்கப்பட்டு, அதை 4 நாட்களில் சரிசெய்திருக்கிறார்கள். இதுகுறித்து பேசிய மத்திய ரயில்வேத் துறை அதிகாரி ஒருவர், `ஐஆர்சிடிசி இணையதளத்தில் இருக்கும் பாதுகாப்புக் குறைபாடு குறித்து ஆகஸ்ட் 30-ம் தேதி தகவல் கிடைத்தது. அந்த பிரச்னை செப்டம்பர் 2-ம் தேதி சரி செய்யப்பட்டது’’ என்று தெரிவித்தார்.

    இதுகுறித்து மாணவர் ரங்கநாதன், `ஐஆர்சிடிசி இணையதளத்தில் கடந்த ஆகஸ்ட் 30-ல் டிக்கெட் புக் செய்ய முயற்சித்தேன். அப்போது, எதேச்சையாக IDOR குறைபாடு இருப்பதை நான் கண்டுபிடித்தேன். இதன்மூலம் லட்சக்கணக்கான பயனாளர்களின் பண பரிவர்த்தனைத் தகவல்கள் கசிய வாய்ப்பிருக்கிறது. இதுகுறித்து, இந்திய கணினி அவசரக் குழுவுக்கு (CERT-In) இ-மெயிலில் புகாரளித்தேன்.

    ரெங்கநாதன்
    ரெங்கநாதன்

    இந்தப் பாதுகாப்புக் குறைபாடு இருக்கையில், ஹேக் செய்யப்பட்டால் எந்தவொரு பயணியின் டிக்கெட்டையும் கேன்சல் செய்ய முடியும். உங்களது டிக்கெட் புக்கிங் ஹிஸ்டரிக்குப் போய் அதை மாற்றியமைக்கவும் முடியும். அதேபோல், பண பரிவர்த்தனைகளின்போது அளிக்கப்படும் பிரத்யேக டிரான்ஸ்சேக்‌ஷன் எண்ணை மாற்றியமைத்து மற்ற டிக்கெட்டுகளுக்கான அக்ஸஸையும் இதன்மூலம் பெற முடியும்’’ என்று மத்திய மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின் கீழ் இயங்கும் CERT-In-க்கு அனுப்பிய இ-மெயிலில் தெரிவித்திருந்தார். பாதுகாப்புக் குறைபாட்டைக் கண்டுபிடித்து நிவர்த்தி செய்ய உதவியதற்காக மாணவர் ரங்கநாதனுக்கு நன்றி தெரிவித்து ஐஆர்சிடிசி தரப்பில் செப்டம்பர் 11-ல் இ-மெயில் அனுப்பப்பட்டிருக்கிறது. அதேபோல், மாணவர் கண்டுபிடித்த பாதுகாப்புக் குறைபாடு சரிசெய்யப்பட்டதாகவும் ஐஆர்சிடிசி தரப்பில் மெயிலில் குறிப்பிடப்பட்டிருக்கிறது.

    எத்திக்கல் ஹேக்கராகவும் ஆய்வாளராகவும் தன்னை அடையாளப்படுத்திக் கொள்ளும் மாணவர் ரங்கநாதன், இணையதள பாதுகாப்புக் குறித்து தொடர்ச்சியாக செயல்பட்டு வருபவர். இவர் ஏற்கனவே, லிங்க்டு இன், ஐக்கிய நாடுகள் அவை, பைஜூஸ், நைக், லெனோவா, அப்ஸ்டாக்ஸ் ஆகியவற்றின் இணையதளங்களில் இருக்கும் குறைபாடுகள் குறித்து கண்டறிந்து சொல்லியிருக்கிறார். இதற்காக, அந்த நிறுவனங்களிடமிருந்து ரங்கநாதன் பாராட்டையும் பெற்றிருக்கிறார்.

    Also Read – குஜராத்தில் கைப்பற்றப்பட்ட ரூ.20,900 கோடி ஆப்கானிஸ்தான் ஹெராயின்… சென்னைப் பெண் கைதானது எப்படி?


    Like it? Share with your friends!

    597

    What's Your Reaction?

    lol lol
    16
    lol
    love love
    12
    love
    omg omg
    4
    omg
    hate hate
    12
    hate

    0 Comments

    Leave a Reply

  • Choose A Format
    Personality quiz
    Series of questions that intends to reveal something about the personality
    Trivia quiz
    Series of questions with right and wrong answers that intends to check knowledge
    Poll
    Voting to make decisions or determine opinions
    Story
    Formatted Text with Embeds and Visuals
    List
    The Classic Internet Listicles
    Countdown
    The Classic Internet Countdowns
    Open List
    Submit your own item and vote up for the best submission
    Ranked List
    Upvote or downvote to decide the best list item
    Meme
    Upload your own images to make custom memes
    Video
    Youtube and Vimeo Embeds
    Audio
    Soundcloud or Mixcloud Embeds
    Image
    Photo or GIF
    Gif
    GIF format
    இந்தியாவில் இருக்கும் ‘7 Lakefront Stay’ ஸ்பாட்ஸ்! புகழ்பெற்ற இந்த நடனக் கலைகள் எந்த மாநிலத்தைச் சேர்ந்ததுனு தெரியுமா? காஷ்மீரில் மிஸ் பண்ணக் கூடாத ‘Tourist Spots’ மகரஜோதி நேரம் ஐயப்ப சுவாமிகள் கவனிக்க வேண்டிய 18 விஷயங்கள்! 2022-ல் ஹிட் அடித்த டாப் 15 ‘தமிழ் சீரியல்கள்’