ஐஆர்சிடிசி

தாம்பரம் பள்ளி மாணவர் கண்டுபிடித்த குறைபாடு; 4 நாட்களில் திருத்தம் – IRCTC சந்தித்த பாதுகாப்பு சர்ச்சைகள்!

இந்திய ரயில்வேயின் இணையதளமான IRCTC-யின் அதிகாரப்பூர்வ இணையதளத்தில் இருந்த பாதுகாப்புக் குறைபாட்டை சென்னை தாம்பரத்தைச் சேர்ந்த பள்ளி மாணவர் கண்டுபிடித்துச் சொல்லவே, அது சரி செய்யப்பட்டிருக்கிறது. என்ன நடந்தது?

IRCTC இணையதளம்

ஐஆர்சிடிசி
ஐஆர்சிடிசி

மத்திய ரயில்வே அமைச்சகத்தின் நேரடிக் கட்டுப்பாட்டில் இயங்கும் இந்திய ரயில்வேயின் டிக்கெட் புக்கிங் இணையதளமாக https://www.irctc.co.in/ இருக்கிறது. இதில், டிக்கெட் புக்கிங் தவிர சுற்றுலா, உணவு ஆர்டர், விமான டிக்கெட் முன்பதிவு போன்ற வசதிகளும் அளிக்கப்பட்டு வருகின்றன. 1999-ம் ஆண்டு செப்டம்பர் 27-ம் தேதி தொடங்கப்பட்ட IRCTC இணையதளம் மூலம் தினசரி லட்சக்கணக்கான பயணிகள் டிக்கெட் புக்கிங் உள்ளிட்ட சேவைகளைப் பெற்று வருகின்றனர். 2015 ஏப்ரல் மாதத்தில் மட்டும் சுமார் 13,40,000 டிக்கெட்டுகள் ஒரே நாளில் முன்பதிவு செய்யப்பட்ட சாதனையை IRCTC படைத்தது. இணையதளம் மட்டுமல்லாது செல்போன் செயலி வழியாகவும் சேவை வழங்கப்பட்டு வருகிறது.

தேசிய பங்குச் சந்தையில் கடந்த 2019-ல் பட்டியலிடப்பட்ட இந்த நிறுவனம், பொதுத்துறை நிறுவனமாகியது. நிறுவனத்தின் 87% பங்குகளை சொந்தமாக வைத்துக்கொண்ட மத்திய அரசு, மீதமிருக்கும் பங்குகள் மூலம் முதலீட்டைப் பொதுமக்களிடமிருந்து திரட்டியது. 2020 டிசம்பரில் கூடுதலாக 20% பங்குகள் ஏலம் விடப்பட்ட நிலையில், மத்திய அரசிடம் தற்போது 67% பங்குகளே கைவசமிருக்கின்றன. இந்த நிறுவனத்துக்குச் சொந்தமாக `RailNeer’ என்ற பெயரில் குடிநீர் தயாரிப்பு ஆலைகளும் இருக்கின்றன. இந்திய அளவில் ரயில்கள் தொடர்பாக டிக்கெட் புக்கிங், உணவு ஆர்டர் போன்றவற்றுக்கான பிரத்யேக உரிமை இந்த நிறுவனத்திடம் மட்டுமே இருக்கிறது. அதேபோல், இந்திய அளவிலும் வெளிநாடுகளிலும் சுற்றுலா பேக்கேஜ் வசதியையும் மக்களுக்கு அளித்து வருகிறது.

சர்ச்சைகள்

ஐஆர்சிடிசி
ஐஆர்சிடிசி

அதேநேரம், பயனாளர்களின் தனிப்பட்ட தகவல்களை உரிய முறையில் பாதுகாக்க நடவடிக்கை எடுக்கப்படவில்லை என ஐஆர்சிடிசி இணையதளம் குறித்து அவ்வப்போது சர்ச்சைகள் எழுவதுண்டு. கடந்த 2016-ல் ஐஆர்சிடிசி இணையதளத்தில் இருந்து ஒரு கோடி பயனாளர்களின் தகவல்கள் கசிந்ததாக மகாராஷ்டிரா மாநிலத்தைச் சேர்ந்த சைபர் செக்யூரிட்டி வல்லுநர்கள் கண்டுபிடித்து புகார் அளித்தனர். ஆனால், பயனாளர்கள் தகவல்கள் கசிவு தகவலை ஐஆர்சிடிசி நிர்வாகம் மறுத்தது. அதேபோல், 2018-ல் ஐஆர்சிடிசி-யின் மொபைல் ஆப்பில் அளிக்கப்பட்டு வந்த இலவச காப்பீடு திட்டத்தை கிளிக் செய்தால், மற்றொரு காப்பீட்டு நிறுவனத்தின் இணையதள பக்கத்துக்கு ரீ-டைரக்ட் செய்யப்படுவதாக அவினாஷ் ஜெயின் என்ற சைபர் செக்யூரிட்டி ஆய்வாளர் புகார் எழுப்பியிருந்தார். சுமார் இரண்டு வருடங்களாக தோராயமாக 20,000 பயனாளர்களின் தகவல்கள் இதன்மூலம் கசிந்திருப்பதாகவும் அவர் குற்றச்சாட்டை முன்வைத்தார். இதனால், உடனடியாக சுதாரித்துக் கொண்டு இலவச காப்பீட்டு வசதியை நிறுத்தப்பட்டு, பாதுகாப்புக் குறைபாடும் சரிசெய்யப்பட்டது.

2020 அக்டோபரில் மிகப்பெரிய சர்ச்சையில் சிக்கியது ஐஆர்சிடிசி. அதன் அதிகாரப்பூர்வ இணையதளத்தில் கண்டுபிடிக்கப்பட்ட பாதுகாப்புக் குறைபாட்டால், சுமார் 9,00,000 பயனாளர்களின் பெயர்கள், தொலைபேசி எண்கள், பிறந்த தேதி, திருமணம் குறித்த தகவல்கள், வீட்டு முகவரி, பாலினம், அவர்கள் பயணம் தொடர்பான தகவல்கள் கசிந்ததாகப் புகார் எழுந்தது. ஆனால், நிர்வாகம் தரப்பில் மறுப்புத் தெரிவிக்கப்பட்டது. அதே மாதத்தில், பயனாளர்கள் தொடர்பான தகவல்களை ஹோட்டல்கள், டாக்ஸி புக்கிங் ஆகியவற்றுக்காக மூன்றாம் தரப்பிடம் பகிர்ந்துகொள்வதாக ஐஆர்சிடிசி நிர்வாகம் ஒப்புக்கொண்டது.

ரயில்வேக்குச் சொந்தமான சொத்துகளைப் பயன்படுத்தி வருமானம் பார்ப்பது குறித்து செய்தியாளர்களிடம் பேசிய அப்போதைய ரயில்வே துறை அமைச்சர் பியூஷ் கோயல் கூறிய ஒரு கருத்து பெரும் அதிர்வலைகளை ஏற்படுத்தியது. அந்த செய்தியாளர் சந்திப்பில் பேசிய பியூஷ் கோயல், ரயில்வேயிடம் தனிநபர்கள் குறித்த மிகப்பெரிய அளவிலான டேட்டா இருக்கிறது. அவற்றை எப்படிப் பயன்படுத்துவது என்பது குறித்து ஆலோசித்து வருகிறோம்’’ என்று அவர் கூறிய கருத்து மிகப்பெரிய சர்ச்சையை ஏற்படுத்தியது. இது மக்களின் தனியுரிமைக் கொள்கைக்கு மிகப்பெரிய அச்சுறுத்தல் என்ற விமர்சனம் அப்போது எழுந்தது. பயனாளர்கள் டிக்கெட் புக்கிங்கின் போது கொடுத்த இ-மெயில் முகவரியைப் பயன்படுத்தி அவற்றுக்கு,பிரதமர் மோடி மற்றும் அவரது தலைமையிலான அரசு சீக்கியர்களுக்கு செய்த நலத்திட்டங்கள்’ என்ற தலைப்பில் 2 கோடிக்கும் அதிகமான இ-மெயில்கள் அனுப்பப்பட்டன. மத்திய அரசின் புதிய வேளாண் சட்டங்களை எதிர்த்து போராட்டம் நடந்துகொண்டிருந்தபோது பயனாளர்கள் ஒப்புதலின்றி இதுபோன்ற இ-மெயிலை ஐஆர்சிடிசி அனுப்பியது விவாதத்தைக் கிளப்பியது.

தாம்பரம் மாணவரின் கண்டுபிடிப்பு!

ரெங்கநாதன்
ரெங்கநாதன்

இந்தநிலையில், ஐஆர்சிடிசி இணையதளத்தில் Insecure Direct Object References (IDOR) என்ற பாதுகாப்புக் குறைபாடு இருப்பதை சென்னை தாம்பரம் தனியார் பள்ளி ஒன்றில் 12-ம் வகுப்புப் படிக்கும் பி.ரங்கநாதன் என்ற மாணவர் கண்டுபிடித்திருக்கிறார். இதுகுறித்து ஐஆர்சிடிசி-யின் தொழில்நுட்பப் பிரிவுக்குத் தகவல் தெரிவிக்கப்பட்டு, அதை 4 நாட்களில் சரிசெய்திருக்கிறார்கள். இதுகுறித்து பேசிய மத்திய ரயில்வேத் துறை அதிகாரி ஒருவர், `ஐஆர்சிடிசி இணையதளத்தில் இருக்கும் பாதுகாப்புக் குறைபாடு குறித்து ஆகஸ்ட் 30-ம் தேதி தகவல் கிடைத்தது. அந்த பிரச்னை செப்டம்பர் 2-ம் தேதி சரி செய்யப்பட்டது’’ என்று தெரிவித்தார்.

இதுகுறித்து மாணவர் ரங்கநாதன், `ஐஆர்சிடிசி இணையதளத்தில் கடந்த ஆகஸ்ட் 30-ல் டிக்கெட் புக் செய்ய முயற்சித்தேன். அப்போது, எதேச்சையாக IDOR குறைபாடு இருப்பதை நான் கண்டுபிடித்தேன். இதன்மூலம் லட்சக்கணக்கான பயனாளர்களின் பண பரிவர்த்தனைத் தகவல்கள் கசிய வாய்ப்பிருக்கிறது. இதுகுறித்து, இந்திய கணினி அவசரக் குழுவுக்கு (CERT-In) இ-மெயிலில் புகாரளித்தேன்.

ரெங்கநாதன்
ரெங்கநாதன்

இந்தப் பாதுகாப்புக் குறைபாடு இருக்கையில், ஹேக் செய்யப்பட்டால் எந்தவொரு பயணியின் டிக்கெட்டையும் கேன்சல் செய்ய முடியும். உங்களது டிக்கெட் புக்கிங் ஹிஸ்டரிக்குப் போய் அதை மாற்றியமைக்கவும் முடியும். அதேபோல், பண பரிவர்த்தனைகளின்போது அளிக்கப்படும் பிரத்யேக டிரான்ஸ்சேக்‌ஷன் எண்ணை மாற்றியமைத்து மற்ற டிக்கெட்டுகளுக்கான அக்ஸஸையும் இதன்மூலம் பெற முடியும்’’ என்று மத்திய மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின் கீழ் இயங்கும் CERT-In-க்கு அனுப்பிய இ-மெயிலில் தெரிவித்திருந்தார். பாதுகாப்புக் குறைபாட்டைக் கண்டுபிடித்து நிவர்த்தி செய்ய உதவியதற்காக மாணவர் ரங்கநாதனுக்கு நன்றி தெரிவித்து ஐஆர்சிடிசி தரப்பில் செப்டம்பர் 11-ல் இ-மெயில் அனுப்பப்பட்டிருக்கிறது. அதேபோல், மாணவர் கண்டுபிடித்த பாதுகாப்புக் குறைபாடு சரிசெய்யப்பட்டதாகவும் ஐஆர்சிடிசி தரப்பில் மெயிலில் குறிப்பிடப்பட்டிருக்கிறது.

எத்திக்கல் ஹேக்கராகவும் ஆய்வாளராகவும் தன்னை அடையாளப்படுத்திக் கொள்ளும் மாணவர் ரங்கநாதன், இணையதள பாதுகாப்புக் குறித்து தொடர்ச்சியாக செயல்பட்டு வருபவர். இவர் ஏற்கனவே, லிங்க்டு இன், ஐக்கிய நாடுகள் அவை, பைஜூஸ், நைக், லெனோவா, அப்ஸ்டாக்ஸ் ஆகியவற்றின் இணையதளங்களில் இருக்கும் குறைபாடுகள் குறித்து கண்டறிந்து சொல்லியிருக்கிறார். இதற்காக, அந்த நிறுவனங்களிடமிருந்து ரங்கநாதன் பாராட்டையும் பெற்றிருக்கிறார்.

Also Read – குஜராத்தில் கைப்பற்றப்பட்ட ரூ.20,900 கோடி ஆப்கானிஸ்தான் ஹெராயின்… சென்னைப் பெண் கைதானது எப்படி?

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top