- IRCTC के ऑनलाइन टिकटिंग प्लेटफॉर्म पर बग मिला।
- लाखों यूजर्स की निजी जानकारी पर हमला हो सकता था।
- स्कूली छात्र के अलर्ट के आधार पर लाखों यूजर्स के रिकॉर्ड के संभावित हैक को रोका जा सका।
चेन्नई के एक 17 वर्षीय स्कूली छात्र ने इंडियन रेलवे कैटरिंग एंड टूरिज्म कॉरपोरेशन (IRCTC) के ऑनलाइन टिकटिंग प्लेटफॉर्म में एक बग पकड़ा। न्यूज रिपोर्ट के अनुसार इससे लाखों यूजर्स की निजी जानकारी पर हमला हो सकता था। IRCTC ने भी स्वीकार किया। हालांकि बग को ठीक कर दिया गया। स्कूली छात्र के अलर्ट के आधार पर कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT) भारत ने आईआरसीटीसी की भेद्यता को चिह्नित किया और इसे ठीक किया, इस प्रकार सबसे बड़े ऑनलाइन टिकट आरक्षण पोर्टल से लाखों यूजर्स के रिकॉर्ड के संभावित हैक को रोका जा सका।
न्यूज रिपोर्ट के अनुसार चेन्नई के तांबरम के 17 वर्षीय कक्षा 12 के छात्र पी रंगनाथन ने कहा कि उन्होंने कुछ दिन पहले IRCTC के पोर्टल में लॉग इन करके एक ट्रेन टिकट आरक्षित करने की कोशिश की, जिसके दौरान उन्हें सिस्टम में कुछ भेद्यताएं (vulnerabilities) मिलीं जो सेक्युरिटी फीचर से समझौता कर सकती थीं।
रंगनाथन अन्य यात्रियों के बारे में डेटा जैसे नाम, लिंग और उम्र और यात्रा से संबंधित डेटा जैसे पीएनआर नंबर, ट्रेन डिटेल, प्रस्थान स्टेशन और यात्रा के डेटा तक पहुंच सकते थे, जो कि प्लेटफॉर्म पर क्रिटिकल ऑब्जेक्ट डायरेक्ट रेफरेंश (IDOR) भेद्यता की वजह से है। उन्होंने कहा कि एक हैकर भेद्यता के कारण उनकी जानकारी के बिना यात्री का टिकट रद्द करने में सक्षम हो सकता है और इससे लाखों यात्रियों का डेटा लीक होने का खतरा होता है।
उन्होंने कहा कि चूंकि बैक-एंड कोड समान है, कोई हैकर खाना ऑर्डर करने, बोर्डिंग स्टेशन बदलने और यहां तक कि वास्तविक यात्री की जानकारी के बिना टिकट रद्द करने में सक्षम होता। घरेलू/अंतरराष्ट्रीय पर्यटन, बस टिकट और होटल बुकिंग जैसी अन्य सेवाएं अन्य यात्रियों के यूजर प्रोफाइल में संभव होतीं। सबसे महत्वपूर्ण बात, लाखों यात्रियों के एक विशाल डेटाबेस के लीक होने का खतरा था।
इससे पहले 30 अगस्त को इन्होंने ने CERT भारत के समक्ष इस मुद्दे को उठाया था, जिसने तत्काल आईआरसीटीसी को सूचित किया था। रिपोर्ट में दिखाया गया है कि आईआरसीटीसी द्वारा पांच दिन बाद बग को ठीक कर दिया गया।