Home Created by potrace 1.16, written by Peter Selinger 2001-2019News Created by potrace 1.16, written by Peter Selinger 2001-2019IRCTC: ऑनलाइन टिकट बुक करने वाले लाखों यात्रियों का पर्सनल डेटा खतरे में

IRCTC: ऑनलाइन टिकट बुक करने वाले लाखों यात्रियों का पर्सनल डेटा खतरे में

रिसर्चर्स का दावा है कि टिकट बुक करने के बाद ट्रेवल इंश्योरेंस लेने वाले यात्रियों का डेटा खतरे में है

Siddharth Sarathe
न्यूज
Published:
<div class="paragraphs"><p>टिकट बुक कर इंश्योरेंस लेने वाले यूजर्स का डेटा सुरक्षित नहीं&nbsp;</p></div>
i

टिकट बुक कर इंश्योरेंस लेने वाले यूजर्स का डेटा सुरक्षित नहीं 

फोटो : Quint Hindi

advertisement

IRCTC ऐप या वेबसाइट के जरिए अपना ट्रेन, फ्लाइट टिकट बुक करने वाले लाखों यात्रियों का डेटा खतरे में है. ये खतरा IRCTC से ट्रेवल इंश्योरेंस देने वाली कंपनियों के सिक्योरिटी सिस्टम में पाई गई कुछ खामियों के चलते है.

इससे टिकट बुक कर इंश्योरेंस लेने वाले यात्री के नॉमिनी का नाम, फोन नंबर, पता और मोबाइल नंबर तक हैकर को मिल सकता है. यही नहीं, सुरक्षा में लगी इस सेंध को ट्रैक करने वाले एक्सपर्ट्स की मानें तो हैकर टिकट बुक करने वाले की नॉमिनी डिटेल में बदलाव भी कर सकता है.

ये खुलासा माइक्रोसॉफ्ट के लिए काम करने वाले इंफॉर्मेशन सिक्योरिटी रिसर्चर अविनाश जैन और उनके साथी सिक्योरिटी इंजीनियर असीम श्रेय ने किया है. अविनाश इससे पहले क्रैड, मेक माय ट्रिप जैसे नामी स्टार्टअप्स की सिक्योरिटी टीम के साथ काम कर चुके हैं. ग्रोफर्स में सिक्योरिटी टीम के हेड रह चुके हैं. उन्होंने क्विंट से हुई खास बातचीत में विस्तार से बताया कि ये खतरा कितना बड़ा है और उन्होंने इसे कैसे डिटेक्ट किया.

कैसे पता चला खतरे में IRCTC पर डेटा?

नियमित तौर पर अविनाश और असीम पब्लिक डोमेन में सबसे ज्यादा उपयोग हो रहे ऐप्स, वेबसाइट्स पर मंडरा रहे खतरों को ट्रैक करते हैं. ऐसा ही करते वक्त उन्होंने IRCTC से टिकट बुक करने वालों के डेटा की सुरक्षा में हो रही एक बड़ी चूक नोटिस की. अविनाश के मुताबिक इस बग को जब उन्होंने टेस्ट किया तो 1000 लोगों के डेटा का एक्सेस मिल गया, जिन्होंने IRCTC पर टिकट बुक कराया था.

है ना चौंकाने वाली बात? लेकिन, खतरा 1000 ग्राहकों के डेटा से कहीं बड़ा है. अविनाश और असीम बताते हैं कि इस बग से वो लाखों लोगों का डेटा एक्सेस कर सकते थे पर चूंकि एक एथिकल हैकर की कुछ सीमाएं होती हैं इसलिए उन्होंने सिर्फ बग को चेक करने के लिए ये देखा था कि डेटा का एक्सेस इससे मिल सकता है या नहीं. अगर किसी हैकर के मनसूबे नेक न हों तो ग्राहकों के डेटा पर बड़ा खतरा है.

इंश्योरेंस कंपनी के सिक्योरिटी सिस्टम चाक-चौबंद नहीं

अविनाश और असीम का दावा है कि IRCTC के जरिए ट्रेवल इंश्योरेंस देने वाली दो कंपनियों के पास उपलब्ध यात्रियों का डेटा रिस्क पर है. इस तरह के रिस्क को इनसिक्योिर डायरेक्ट ऑब्जेक्ट रेफरेंस (IDOR) कहा जाता है.

यानी खतरा तब शुरू होता है जब IRCTC से टिकट बुक करने के बाद आप इंश्योरेंस के विकल्प पर क्लिक करते हैं. फिर आपका डेटा इंश्योरेंस कंपनी तक पहुंचता है.

आखिर क्या है ग्राहकों की डेटा पर सेंध मारने वाला खतरा IDOR?

दरअसल, IDOR किसी भी वेबसाइट या ऐप पर उपलब्ध डेटा की सुरक्षा में होने वाली चूक का एक प्रकार है. IDOR जहां पाया जाता है वहां हैकर सीधे तौर पर यूजर्स के डेटा को एक्सेस कर सकता है. डेटा की सुरक्षा में लगने वाली सेंध के पीछे जो चूकें होती हैं, उनको लेकर वैश्विक स्तर पर काम करने वाली नॉन प्रॉफिट संस्था OWASP ने साल 2013 में एक लिस्ट जारी की थी. इस लिस्ट में डेटा सुरक्षा में होने वाली चूक या खतरों में टॉप 10 में IDOR का भी नाम था.

ADVERTISEMENT
ADVERTISEMENT

क्यों सुरक्षित नहीं है यात्रियों का डेटा, कहां हो रही चूक?  

अविनाश के मुताबिक, जिस सर्वर में ट्रेवल इंश्योरेंस लेने वाले यात्रियों का डेटा है, वहां कुछ APIs में कुछ बदलाव करके हैकर आसानी से डेटा पा सकता है. अब ऐसा क्यों है? अविनाश ने बताया कि दोनों ही कंपनियों की APIs को रेट लिमिटिंग के जरिए सुरक्षित नहीं किया गया है. अब हमने अविनाश से पूछा कि ये रेट लिमिटिंग क्या है?

रेट लिमिटिंग के न होने से उस एंड पॉइंट तक आसानी से पहुंचा जा सकता है जहां डेटा है. रेट लिमिटिंग न होने से बार-बार हम सर्वर पर उस एंड पॉइंट तक पहुंचने के लिए रिक्वेस्ट कर सकते हैं और आसानी से पहुंच सकते हैं. जबकि, रेट लिमिट होने से सर्वर इस रिक्वेस्ट करने की प्रक्रिया को बहुत धीमा कर देता है. डेटा तक पहुंचना मुश्किल हो जाता है.

डेटा की सुरक्षा में हुई चूक को लेकर जवाबदेह है IRCTC? 

IRCTC का 2018 में जारी किया गया ये ई-टेंडर है, जो पोर्टल से ट्रेवल इंश्योरेंस देने के लिए जारी किया गया था. इस टेंडर में साफ लिखा है कि इंश्योरेंस कंपनी के पास डेटा रखने के लिए एक सिक्योर पोर्टल होना अनिवार्य है.

IRCTC इश्योरेंस के लिए टेंजर जारी करते वक्त शर्त रखता है कि पोर्टल सुरक्षित होना चाहिए

सोर्स : स्क्रीनशॉट/IRCTC

डेटा सुरक्षा में चूक को उजागर करने वाले अविनाश जैन के मुताबिक उन्होंने IRCTC को भी इस मामले की जानकारी दी है.

हमने IRCTC को भी सूरक्षा में हुई इस चूक के बारे में सूचित किया है. IRCTC की तरफ से आश्वासन दिया गया है कि इसे ठीक किया जाएगा.
अविनाश जैन

3 साल पहले भी मिली थी डेटा सुरक्षा में ऐसी ही गलती 

अविनाश और असीम साल 2018 में भी IRCTC को इस खतरे से आगाह कर चुके हैं. हमने रिसर्चर्स से पूछा कि क्या अब IRCTC ने पुराने खतरे को ठीक कर दिया है? तो अविनाश और असीम ने हमें बताया कि वो मामला किसी दूसरी इंश्योरेंस कंपनी का था. क्विंट ने IRCTC से संपर्क कर पूछा है कि क्या ये वाकई यात्रियों की डेटा में हुई बड़ी चूक का मामला है? अगर हां तो फिर इसे ठीक करने के लिए क्या किया जा रहा है? IRCTC का जवाब आते ही स्टोरी को अपडेट किया जाएगा.

IRCTC पर है करोड़ों यात्रियों का डेटा

IRCTC के ही आंकड़े बताते हैं कि हर साल ऑनलाइन टिकिट बुक करने वालों की संख्या करोड़ों में होती है. 2021-22 में 41.74 करोड़ लोगों ने IRCTC से ऑनलाइन टिकट बुक किए थे. जाहिर है यात्रियों के डेटा में इस तरह की चूक अगर वाकई है जैसा रिपोर्ट में बताया गया है तो मामला गंभीर है.

(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)

Published: undefined

ADVERTISEMENT
SCROLL FOR NEXT