Search Icon
Nav Arrow
Ranganathan Learned Ethical Hacking Online, Found Flaws On IRCTC

17 साल के रंगनाथन ने ऑनलाइन सीखी एथिकल हैकिंग, IRCTC की वेबसाइट पर ढूंढ निकाली खामियां

17 साल के पी रंगनाथन, कॉमर्स के स्टूडेंट हैं। लॉकडाउन के दौरान, वह पढ़ाई करते हुए ऑनलाइन एथिकल हैकिंग सीखने लगे। आज कई राष्ट्रीय और अंतरराष्ट्रीय वेबसाइट में खामियां ढूंढकर, वह उनमें सुधार करवा चुके हैं।

Advertisement

बाकी बच्चों की तरह पी. रंगानाथन का भी काफी समय कंप्यूटर स्क्रीन पर बीतता है, लेकिन वह ऑनलाइन गेम खेलने या फिर सीरीज देखने में अपना समय बर्बाद नहीं करते। वह अपने खाली समय में बग बाउंटी करते हैं और यही खासियत, उन्हें अन्य बच्चों से अलग बनाती है।

17 साल के पी रंगनाथन बारहवीं कक्षा के छात्र हैं। द बेटर इंडिया के साथ बात करते हुए उन्होंने बताया, “मैं कॉमर्स का स्टूडेंट हूं। मेरी दिलचस्पी बिज़नेस के बारे में जानने, उसे शुरू करने और आगे बढ़ाने में है। लेकिन बग बाउंटी का काम, मैंने लॉकडाउन में सीखा, जब स्कूल बंद थे। सब कुछ ऑनलाइन चल रहा था। तब मैंने बग बाउंटी हन्टर्स के बारे में ऑनलाइन पढ़ना शुरू किया। मेरा रुझान इस तरफ बढ़ने लगा था।” 

रेलवे की साइट पर मिली बड़ी खामी

Ethical Hacker P Renganathan
P Renganathan

रंगानाथन एक दिन अपने किसी फैमिली मेंबर के लिए ट्रेन में सीट बुक कराने के लिए IRCTC की वेबसाइट पर गए। उन्हें, वहां एक बड़ी खामी नजर आई। हालांकि यह महज एक संयोग था। वह कहते हैं, “ऐसा नहीं था कि मैं बग ढूंढ रहा था। दरअसल, मैं तो ऑनलाइन टिकट बुक करा रहा था। जैसे ही टिकट बुक कराने के लिए सारी औपचारिकताएं पूरी की, मुझे वेबसाइट पर इनसेक्योर डायरेक्ट ऑब्जेक्ट रेफ्रेंसेज़ (IDOR) वल्नरबिलिटी मिली।

आसान भाषा में समझें, तो उन्हें एक ऐसी सुरक्षा खामी मिली, जो इस ऐप के लिए एक खतरा थी। इस तरह की वल्नरबिलिटी को डेवलपर्स अक्सर अनदेखा कर देते हैं और यह सर्वर में मौजूद डेटा के लिए एक गंभीर खतरे का कारण बन जाती है। वल्नरबिलिटी और कुछ नहीं, बल्कि साइट पर मौजूद एक सुरक्षा दोष होता है, जिसे होना नहीं चाहिए।”

दरअसल, बग बाउंटी हन्टर्स का काम वेबसाइट पर मौजूद किसी भी खतरे या खामियों को ढूंढकर, उन्हें वेबसाइट के मालिक की नजर में लेकर आना होता है। विदेशों में कुछ संस्थाएं हैं, जो खामियों को खोजने और उसके बारे में बताने वाले बग हंटर्स को उनके काम का भुगतान भी करते हैं। लेकिन भारत में ऐसा नहीं होता। रंगानाथन कहते हैं, “बग बाउंटी हन्टर्स को बग की गंभीरता के आधार पर भुगतान किया जाता है। यानी ढूंढी गई खामी से जितना बड़ा नुकसान हो सकता था, उसी नुकसान को आधार बनाकर उन्हें हर्जाने के तौर पर पैसे दिए जाते हैं।”

आखिर क्या थी यह खामी?

रेलवे की वेबसाइट पर मौजूद वल्नरबिलिटी की गंभीरता के बारे में बताते हुए वह कहते हैं, “मैंने बुकिंग के समय वेबसाइट पर सुरक्षा की एक बड़ी खामी देखी। दरअसल, यह एक बग था जो मुझे दूसरे यात्रियों की सारी डिटेल, जैसे- उनका नाम, लिंग, उम्र, पीएनआर नंबर, ट्रेन का विवरण और डिपार्चर स्टेशन से जुड़ी सारी जानकारी तक पहुंचने की अनुमति दे रहा था।”

वह आगे कहते हैं, “मैं उस बग के कारण किसी यात्री की ट्रिप में बदलाव या फिर उसकी ट्रिप को कैंसिल भी कर सकता था। यहां तक कि उसके नाम से खाना भी ऑर्डर कर सकता था। ये बदलाव बड़ी ही आसानी से किए जा सकते थे और वह भी कुछ इस तरीके से कि पैसेंजर को उसका पता भी न चले।”

यह बग सुरक्षा के लिहाज से भी एक बड़ा खतरा था। अगर कोई हैकर इस तक पहुंच जाता, तो करोड़ों लोगों की डिटेल आसानी से खंगालकर उसे उड़ा सकता था। फिलहाल इस खामी को ठीक किया जा चुका है। अब हर यात्री को 13 अंकों की ट्रांजेक्शन आईडी दी जाती है।

जानकारी देने के लिए रंगनाथन को मिला प्रशंसा-पत्र

Ethical hacking finds bug in IRCTC Website
Representational image

30 अगस्त 2021 को इस खामी के बारे में पता चलने के बाद, रंगनाथन ने तुरंत भारत की कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT) को सतर्क कर दिया। CERT भारत सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की एक नोडल एजेंसी है। इसे साइबर सुरक्षा के खतरों ‘हैकिंग और फिशिंग’ से निपटने के लिए तैयार किया गया है। इसके अंतर्गत रिस्पॉन्सिबल डिस्क्लेमर प्रोग्राम भी चलाए जाते हैं। जहां एथिकल हैकर्स किसी भी वेबसाइट पर मौजूद खामियों की जानकारी मिलने पर उन्हें इन्फॉर्म कर सकते हैं।

CERT को इस बात की जानकारी देने के तुरंत आधे घंटे के अंदर रंगनाथन को एक टिकट नंबर सौंपा गया और कुछ ही दिनों बाद, इस समस्या का समाधान भी कर दिया गया। वह बताते हैं, “मैंने चार दिन बाद साइट पर जाकर देखा, तो पाया कि खामी को दूर कर दिया गया था। एक हफ्ते बाद मुझे अधिकारिक रूप से इसे ठीक किए जाने की सूचना भी भेजी गई।” कुछ समय बाद, रंगानाथन को उनके इस काम के लिए एक प्रशंसा-पत्र भी दिया गया।

Advertisement

कोई वॉल ऑफ फेम नहीं

ऐसे बहुत से हैकर्स हैं, जो वेबसाइट्स में बग की लगातार तलाश में रहते हैं। रंगनाथन ने बताया, “लेकिन ऐसा अधिकतर भारत से बाहर यानी विदेशों में होता है। क्योंकि नीदरलैंड और अमेरिका जैसे देश बग बाउंटी हन्टर्स को उनके काम के बदले में पैसे देते हैं और कई बार तो टी-शर्ट आदि जैसी कुछ दिलचस्प चीज़ें भी दी जाती हैं और भारत में हमें सिर्फ प्रशंसा-पत्र या ईमेल मिलता है।”

रंगानाथन के अनुसार, अमेरिका का रक्षा विभाग एक प्रोग्राम ऑफ डिस्क्लोजर चलाता है, जिसमें ऐसे एथिकल हैकर्स का नाम Hackerone के वॉल ऑफ फेम पर लिखा जाता है।

यह उनका पहला प्रयास नहीं था

Rangnathan had found a bug on LinkedIn
Rangnathan had found a bug on LinkedIn

अक्टूबर 2020 में, उन्हें लिंक्डइन की साइट पर भी एक बग मिला था। इस बग के जरिए किसी भी यूजर के फ़ोन पर सिर्फ एक इनविटेशन रिक्वेस्ट भेजकर उसे क्रैश किया जा सकता था। रंगानाथन ने बताया, “300 शब्दों में कनेक्शन रिक्वेस्ट को भेजा जा सकता था। मैंने इन शब्दों की सीमा को लाखों में कर दिया। ऐप पूरे टेक्स्ट को संभाल नहीं पाया और बदले में सिस्टम को क्रैश कर दिया। लिंक्डइन ने भी मेरे काम को माना और मुझे धन्यवाद दिया, लेकिन इसके लिए कोई भुगतान नहीं किया।”

संयुक्त राष्ट्र, बायजूस, लिंक्डइन और नाइके जैसी कुछ अन्य वेबसाइट्स हैं, जिन पर रंगानाथन ने बग ढूंढे। इसके लिए उन्हें धन्यवाद दिया गया। अभी तक रंगनाथन को इस काम के लिए 100 से अधिक डॉलर मिल चुके हैं और कई विदेशी कंपनियों से प्रशंसा भी मिली है।

आखिर में उन्होंने कहा, “बहुत से पेरेंट्स ऐसे हैं, जिन्हें बच्चों का ऑनलाइन ज्यादा समय बिताना पसंद नहीं है। लेकिन मैं जो कुछ भी कर रहा हूं, उससे मेरे माता-पिता तो बहुत खुश हैं और उन्हें मुझ पर गर्व भी है।”

मूल लेखः विद्या राजा

संपादनः अर्चना दुबे

यह भी पढ़ेंः सरकारी नौकरी: इस युनिवर्सिटी में है 62 पदों पर वैकेंसी, जल्द करें आवेदन

यदि आपको इस कहानी से प्रेरणा मिली है, या आप अपने किसी अनुभव को हमारे साथ साझा करना चाहते हो, तो हमें hindi@thebetterindia.com पर लिखें, या Facebook और Twitter पर संपर्क करें।

Advertisement
close-icon
_tbi-social-media__share-icon