[X] Close

பயனர்களின் தகவல்கள் கசியும் ஆபத்தில் இருந்த ஐஆர்சிடிசி: அலெர்ட் செய்த சென்னை மாணவர்

சிறப்புக் களம்,டெக்னாலஜி

Chennai-school-student-helps-IRCTC-fix-bug-on-its-online-platform
நாள்தோறும் லட்சக்கணக்கான பேர் பயன்படுத்தும் ஐ.ஆர்.சி.டி.சி. இணையதளத்தில் இருக்கும் பாதுகாப்பற்ற அம்சங்களை கண்டறிந்து குறைபாட்டை சரிசெய்வதற்கு உதவிபுரிந்துள்ளார் சென்னையை சேர்ந்த பள்ளி மாணவர் ரங்கநாதன்.
 
சென்னையை சேர்ந்த 17 வயது பள்ளி மாணவர் ப. ரங்கநாதன், சில நாட்களுக்கு முன்பு, இந்திய ரயில்வே துறையின் அதிகாரப்பூர்வ ரயில் முன்பதிவு இணையதளமான ஐஆர்சிடிசி தளத்தில் பயணச்சீட்டு முன்பதிவு செய்ய முயன்றபோது, அதில் இருக்கும் பாதுகாப்பு குறைபாடு கொண்ட Bug ஒன்றை கண்டறிந்தார். இந்த Bug-இன் மூலம் ரயிலில் பயணிப்பதற்காக முன்பதிவு செய்தவா்கள் குறித்த அனைத்து தகவல்களையும் பதிவிறக்கம் செய்ய முடியும். இக்குறைபாடு குறித்து, மத்திய மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின், கம்ப்யூட்டர் எமர்ஜென்சி ரெஸ்பான்ஸ் டீமிற்கு (CERT) மின்னஞ்சல் மூலமாக தெரியப்படுத்தினார் ரங்கநாதன். இதையடுத்து அந்த குறைபாடு கடந்த செப்டம்பர் 5-ம் தேதி கணினி நிபுணர்களால் சரி செய்யப்பட்டது.
 
நாள்தோறும் லட்சக்கணக்கான பேர் பயன்படுத்தும் ஐஆர்சிடிசி இணையதளத்தில் இருக்கும் பாதுகாப்பற்ற அம்சங்களை கண்டறிந்து குறைபாட்டை சரிசெய்வதற்கு உதவிபுரிந்த மாணவா் ரங்கநாதனை நேரில் அழைத்து பாராட்டி வாழ்த்துத் தெரிவித்துள்ளார், தமிழக தகவல் தொழில்நுட்பத்துறை அமைச்சர் மனோ தங்கராஜ்.
 
இதுகுறித்து மாணவர் ரங்கநாதன் கூறுகையில், ''சென்னை சேலையூரில் உள்ள சீயோன்  மேல்நிலைப்பள்ளியில் +2 வணிகவியல் படித்து வருகிறேன். சைபர் செக்யூரிட்டி ஸ்டார்ட் அப் நிறுவனம் ஒன்றையும் கடந்த ஓராண்டாக நடத்தி வருகிறேன். உறவினர் ஒருவரின் ரயில் பயணத்திற்க்காக கடந்த ஆகஸ்ட் 30-ம் தேதி ஐஆர்சிடிசி தளத்தில் முன்பதிவு செய்தேன். அப்போது, ஐஆர்சிடிசி தளத்தின் கோடிங் குறித்து தற்செயலாக பார்த்தபோது IDOR எனப்படும் பாதுகாப்பு குறைபாடு கொண்ட Bug ஒன்று இருப்பதைக் கண்டுபிடித்தேன். அதாவது, முன்பதிவு செய்தவர்களின் பரிவர்த்தனை ஐடியை, கோடிங் மூலமாக எடுக்க முடிந்தது. இந்த Bug-இன் மூலம் ரயிலில் பயணிப்பதற்காக முன்பதிவு செய்தவரின் பெயர், வயது, பாலினம், பிஎன்ஆர் எண், டிக்கெட் விபரங்கள், பரிவர்த்தனை ஐடி, பரிவர்த்தனை முறை உள்ளிட்ட பயனரின் அனைத்து தகவல்களையும் பதிவிறக்கம் செய்ய முடியும்.
 
image
இதன்மூலம் முன்பதிவு செய்தவர்களுக்கு தெரியாமலேயே புறப்படும் இடத்தை மாற்றியமைப்பது, டிக்கெட்டை ரத்து செய்வது உள்ளிட்ட எல்லாவற்றையும் செய்யமுடியும். இந்தக் குறைபாடு குறித்து ஐஆர்சிடிசி தளத்தை நிர்வகிக்கும் கம்ப்யூட்டர் எமர்ஜென்சி ரெஸ்பான்ஸ் டீமிற்கு (Computer Emergency Response Team - CERT) இமெயில் மூலமாக கடந்த ஆகஸ்ட் 30-ம் தேதி தெரியப்படுத்தினேன். அதன்படி, அந்த டீம் இமெயில் மூலமாக என்னைத் தொடர்பு கொண்டு, குறைபாட்டைச் சரி செய்வதாக தெரிவித்தது. இதையடுத்து, அந்தக் குறைபாடு செப்டம்பர் 4-ம் தேதி சரிசெய்யப்பட்டது.
 
இதேபோல், ஐக்கிய நாடுகள், LinkedIn, லெனோவா, நைக் உள்ளிட்ட 25-க்கும் மேற்பட்ட சர்வதேச நிறுவனங்களின் இணையதளத்தில் இருந்த குறைபாட்டையும் கண்டறிந்துள்ளேன். அதற்காக நிறுவனங்கள் பரிசு வழங்கியும், கவுரவப்படுத்தியும் உள்ளன. மனிதர்கள் உருவாக்கும் இணையதளங்களில் குறைபாடுகள் ஏற்படுவது இயல்பானது தான். அவற்றின் பாதுகாப்பை உறுதி செய்ய குறைகளைக் கண்டறிவோரின் உதவி தவிர்க்க முடியாதது. ஆனால் வளர்ந்த நாடுகளில் அளிக்கப்படும் ஆதரவும், விழிப்புணா்வும் இந்தியாவில் போதிய அளவில் இல்லை. வருங்காலத்தில் மிகப்பெரிய மென்பொருள் தொழில்நுட்ப வல்லுநராக வருவதே எனது லட்சியம்'' என்கிறார் அவர்.
 

Advertisement

Advertisement
[X] Close