IRCTC: ऑनलाइन टिकट बुक करने वाले लाखों यात्रियों का पर्सनल डेटा खतरे में

IRCTC ऐप या वेबसाइट के जरिए अपना ट्रेन, फ्लाइट टिकट बुक करने वाले लाखों यात्रियों का डेटा खतरे में है. ये खतरा IRCTC से ट्रेवल इंश्योरेंस देने वाली कंपनियों के सिक्योरिटी सिस्टम में पाई गई कुछ खामियों के चलते है.

इससे टिकट बुक कर इंश्योरेंस लेने वाले यात्री के नॉमिनी का नाम, फोन नंबर, पता और मोबाइल नंबर तक हैकर को मिल सकता है. यही नहीं, सुरक्षा में लगी इस सेंध को ट्रैक करने वाले एक्सपर्ट्स की मानें तो हैकर टिकट बुक करने वाले की नॉमिनी डिटेल में बदलाव भी कर सकता है.

ये खुलासा माइक्रोसॉफ्ट के लिए काम करने वाले इंफॉर्मेशन सिक्योरिटी रिसर्चर अविनाश जैन और उनके साथी सिक्योरिटी इंजीनियर असीम श्रेय ने किया है. अविनाश इससे पहले क्रैड, मेक माय ट्रिप जैसे नामी स्टार्टअप्स की सिक्योरिटी टीम के साथ काम कर चुके हैं. ग्रोफर्स में सिक्योरिटी टीम के हेड रह चुके हैं. उन्होंने क्विंट से हुई खास बातचीत में विस्तार से बताया कि ये खतरा कितना बड़ा है और उन्होंने इसे कैसे डिटेक्ट किया.

नियमित तौर पर अविनाश और असीम पब्लिक डोमेन में सबसे ज्यादा उपयोग हो रहे ऐप्स, वेबसाइट्स पर मंडरा रहे खतरों को ट्रैक करते हैं. ऐसा ही करते वक्त उन्होंने IRCTC से टिकट बुक करने वालों के डेटा की सुरक्षा में हो रही एक बड़ी चूक नोटिस की. अविनाश के मुताबिक इस बग को जब उन्होंने टेस्ट किया तो 1000 लोगों के डेटा का एक्सेस मिल गया, जिन्होंने IRCTC पर टिकट बुक कराया था.

है ना चौंकाने वाली बात? लेकिन, खतरा 1000 ग्राहकों के डेटा से कहीं बड़ा है. अविनाश और असीम बताते हैं कि इस बग से वो लाखों लोगों का डेटा एक्सेस कर सकते थे पर चूंकि एक एथिकल हैकर की कुछ सीमाएं होती हैं इसलिए उन्होंने सिर्फ बग को चेक करने के लिए ये देखा था कि डेटा का एक्सेस इससे मिल सकता है या नहीं. अगर किसी हैकर के मनसूबे नेक न हों तो ग्राहकों के डेटा पर बड़ा खतरा है.

अविनाश और असीम का दावा है कि IRCTC के जरिए ट्रेवल इंश्योरेंस देने वाली दो कंपनियों के पास उपलब्ध यात्रियों का डेटा रिस्क पर है. इस तरह के रिस्क को इनसिक्योिर डायरेक्ट ऑब्जेक्ट रेफरेंस (IDOR) कहा जाता है.

दरअसल, IDOR किसी भी वेबसाइट या ऐप पर उपलब्ध डेटा की सुरक्षा में होने वाली चूक का एक प्रकार है. IDOR जहां पाया जाता है वहां हैकर सीधे तौर पर यूजर्स के डेटा को एक्सेस कर सकता है. डेटा की सुरक्षा में लगने वाली सेंध के पीछे जो चूकें होती हैं, उनको लेकर वैश्विक स्तर पर काम करने वाली नॉन प्रॉफिट संस्था OWASP ने साल 2013 में एक लिस्ट जारी की थी. इस लिस्ट में डेटा सुरक्षा में होने वाली चूक या खतरों में टॉप 10 में IDOR का भी नाम था.

अविनाश के मुताबिक, जिस सर्वर में ट्रेवल इंश्योरेंस लेने वाले यात्रियों का डेटा है, वहां कुछ APIs में कुछ बदलाव करके हैकर आसानी से डेटा पा सकता है. अब ऐसा क्यों है? अविनाश ने बताया कि दोनों ही कंपनियों की APIs को रेट लिमिटिंग के जरिए सुरक्षित नहीं किया गया है. अब हमने अविनाश से पूछा कि ये रेट लिमिटिंग क्या है?

रेट लिमिटिंग के न होने से उस एंड पॉइंट तक आसानी से पहुंचा जा सकता है जहां डेटा है. रेट लिमिटिंग न होने से बार-बार हम सर्वर पर उस एंड पॉइंट तक पहुंचने के लिए रिक्वेस्ट कर सकते हैं और आसानी से पहुंच सकते हैं. जबकि, रेट लिमिट होने से सर्वर इस रिक्वेस्ट करने की प्रक्रिया को बहुत धीमा कर देता है. डेटा तक पहुंचना मुश्किल हो जाता है.

IRCTC का 2018 में जारी किया गया ये ई-टेंडर है, जो पोर्टल से ट्रेवल इंश्योरेंस देने के लिए जारी किया गया था. इस टेंडर में साफ लिखा है कि इंश्योरेंस कंपनी के पास डेटा रखने के लिए एक सिक्योर पोर्टल होना अनिवार्य है.

डेटा सुरक्षा में चूक को उजागर करने वाले अविनाश जैन के मुताबिक उन्होंने IRCTC को भी इस मामले की जानकारी दी है.

अविनाश और असीम साल 2018 में भी IRCTC को इस खतरे से आगाह कर चुके हैं. हमने रिसर्चर्स से पूछा कि क्या अब IRCTC ने पुराने खतरे को ठीक कर दिया है? तो अविनाश और असीम ने हमें बताया कि वो मामला किसी दूसरी इंश्योरेंस कंपनी का था. क्विंट ने IRCTC से संपर्क कर पूछा है कि क्या ये वाकई यात्रियों की डेटा में हुई बड़ी चूक का मामला है? अगर हां तो फिर इसे ठीक करने के लिए क्या किया जा रहा है? IRCTC का जवाब आते ही स्टोरी को अपडेट किया जाएगा.

IRCTC के ही आंकड़े बताते हैं कि हर साल ऑनलाइन टिकिट बुक करने वालों की संख्या करोड़ों में होती है. 2021-22 में 41.74 करोड़ लोगों ने IRCTC से ऑनलाइन टिकट बुक किए थे. जाहिर है यात्रियों के डेटा में इस तरह की चूक अगर वाकई है जैसा रिपोर्ट में बताया गया है तो मामला गंभीर है.