Placeholder canvas

17 साल के रंगनाथन ने ऑनलाइन सीखी एथिकल हैकिंग, IRCTC की वेबसाइट पर ढूंढ निकाली खामियां

Ranganathan Learned Ethical Hacking Online, Found Flaws On IRCTC

17 साल के पी रंगनाथन, कॉमर्स के स्टूडेंट हैं। लॉकडाउन के दौरान, वह पढ़ाई करते हुए ऑनलाइन एथिकल हैकिंग सीखने लगे। आज कई राष्ट्रीय और अंतरराष्ट्रीय वेबसाइट में खामियां ढूंढकर, वह उनमें सुधार करवा चुके हैं।

बाकी बच्चों की तरह पी. रंगानाथन का भी काफी समय कंप्यूटर स्क्रीन पर बीतता है, लेकिन वह ऑनलाइन गेम खेलने या फिर सीरीज देखने में अपना समय बर्बाद नहीं करते। वह अपने खाली समय में बग बाउंटी करते हैं और यही खासियत, उन्हें अन्य बच्चों से अलग बनाती है।

17 साल के पी रंगनाथन बारहवीं कक्षा के छात्र हैं। द बेटर इंडिया के साथ बात करते हुए उन्होंने बताया, “मैं कॉमर्स का स्टूडेंट हूं। मेरी दिलचस्पी बिज़नेस के बारे में जानने, उसे शुरू करने और आगे बढ़ाने में है। लेकिन बग बाउंटी का काम, मैंने लॉकडाउन में सीखा, जब स्कूल बंद थे। सब कुछ ऑनलाइन चल रहा था। तब मैंने बग बाउंटी हन्टर्स के बारे में ऑनलाइन पढ़ना शुरू किया। मेरा रुझान इस तरफ बढ़ने लगा था।” 

रेलवे की साइट पर मिली बड़ी खामी

Ethical Hacker P Renganathan
P Renganathan

रंगानाथन एक दिन अपने किसी फैमिली मेंबर के लिए ट्रेन में सीट बुक कराने के लिए IRCTC की वेबसाइट पर गए। उन्हें, वहां एक बड़ी खामी नजर आई। हालांकि यह महज एक संयोग था। वह कहते हैं, “ऐसा नहीं था कि मैं बग ढूंढ रहा था। दरअसल, मैं तो ऑनलाइन टिकट बुक करा रहा था। जैसे ही टिकट बुक कराने के लिए सारी औपचारिकताएं पूरी की, मुझे वेबसाइट पर इनसेक्योर डायरेक्ट ऑब्जेक्ट रेफ्रेंसेज़ (IDOR) वल्नरबिलिटी मिली।

आसान भाषा में समझें, तो उन्हें एक ऐसी सुरक्षा खामी मिली, जो इस ऐप के लिए एक खतरा थी। इस तरह की वल्नरबिलिटी को डेवलपर्स अक्सर अनदेखा कर देते हैं और यह सर्वर में मौजूद डेटा के लिए एक गंभीर खतरे का कारण बन जाती है। वल्नरबिलिटी और कुछ नहीं, बल्कि साइट पर मौजूद एक सुरक्षा दोष होता है, जिसे होना नहीं चाहिए।”

दरअसल, बग बाउंटी हन्टर्स का काम वेबसाइट पर मौजूद किसी भी खतरे या खामियों को ढूंढकर, उन्हें वेबसाइट के मालिक की नजर में लेकर आना होता है। विदेशों में कुछ संस्थाएं हैं, जो खामियों को खोजने और उसके बारे में बताने वाले बग हंटर्स को उनके काम का भुगतान भी करते हैं। लेकिन भारत में ऐसा नहीं होता। रंगानाथन कहते हैं, “बग बाउंटी हन्टर्स को बग की गंभीरता के आधार पर भुगतान किया जाता है। यानी ढूंढी गई खामी से जितना बड़ा नुकसान हो सकता था, उसी नुकसान को आधार बनाकर उन्हें हर्जाने के तौर पर पैसे दिए जाते हैं।”

आखिर क्या थी यह खामी?

रेलवे की वेबसाइट पर मौजूद वल्नरबिलिटी की गंभीरता के बारे में बताते हुए वह कहते हैं, “मैंने बुकिंग के समय वेबसाइट पर सुरक्षा की एक बड़ी खामी देखी। दरअसल, यह एक बग था जो मुझे दूसरे यात्रियों की सारी डिटेल, जैसे- उनका नाम, लिंग, उम्र, पीएनआर नंबर, ट्रेन का विवरण और डिपार्चर स्टेशन से जुड़ी सारी जानकारी तक पहुंचने की अनुमति दे रहा था।”

वह आगे कहते हैं, “मैं उस बग के कारण किसी यात्री की ट्रिप में बदलाव या फिर उसकी ट्रिप को कैंसिल भी कर सकता था। यहां तक कि उसके नाम से खाना भी ऑर्डर कर सकता था। ये बदलाव बड़ी ही आसानी से किए जा सकते थे और वह भी कुछ इस तरीके से कि पैसेंजर को उसका पता भी न चले।”

यह बग सुरक्षा के लिहाज से भी एक बड़ा खतरा था। अगर कोई हैकर इस तक पहुंच जाता, तो करोड़ों लोगों की डिटेल आसानी से खंगालकर उसे उड़ा सकता था। फिलहाल इस खामी को ठीक किया जा चुका है। अब हर यात्री को 13 अंकों की ट्रांजेक्शन आईडी दी जाती है।

जानकारी देने के लिए रंगनाथन को मिला प्रशंसा-पत्र

Ethical hacking finds bug in IRCTC Website
Representational image

30 अगस्त 2021 को इस खामी के बारे में पता चलने के बाद, रंगनाथन ने तुरंत भारत की कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT) को सतर्क कर दिया। CERT भारत सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की एक नोडल एजेंसी है। इसे साइबर सुरक्षा के खतरों ‘हैकिंग और फिशिंग’ से निपटने के लिए तैयार किया गया है। इसके अंतर्गत रिस्पॉन्सिबल डिस्क्लेमर प्रोग्राम भी चलाए जाते हैं। जहां एथिकल हैकर्स किसी भी वेबसाइट पर मौजूद खामियों की जानकारी मिलने पर उन्हें इन्फॉर्म कर सकते हैं।

CERT को इस बात की जानकारी देने के तुरंत आधे घंटे के अंदर रंगनाथन को एक टिकट नंबर सौंपा गया और कुछ ही दिनों बाद, इस समस्या का समाधान भी कर दिया गया। वह बताते हैं, “मैंने चार दिन बाद साइट पर जाकर देखा, तो पाया कि खामी को दूर कर दिया गया था। एक हफ्ते बाद मुझे अधिकारिक रूप से इसे ठीक किए जाने की सूचना भी भेजी गई।” कुछ समय बाद, रंगानाथन को उनके इस काम के लिए एक प्रशंसा-पत्र भी दिया गया।

कोई वॉल ऑफ फेम नहीं

ऐसे बहुत से हैकर्स हैं, जो वेबसाइट्स में बग की लगातार तलाश में रहते हैं। रंगनाथन ने बताया, “लेकिन ऐसा अधिकतर भारत से बाहर यानी विदेशों में होता है। क्योंकि नीदरलैंड और अमेरिका जैसे देश बग बाउंटी हन्टर्स को उनके काम के बदले में पैसे देते हैं और कई बार तो टी-शर्ट आदि जैसी कुछ दिलचस्प चीज़ें भी दी जाती हैं और भारत में हमें सिर्फ प्रशंसा-पत्र या ईमेल मिलता है।”

रंगानाथन के अनुसार, अमेरिका का रक्षा विभाग एक प्रोग्राम ऑफ डिस्क्लोजर चलाता है, जिसमें ऐसे एथिकल हैकर्स का नाम Hackerone के वॉल ऑफ फेम पर लिखा जाता है।

यह उनका पहला प्रयास नहीं था

Rangnathan had found a bug on LinkedIn
Rangnathan had found a bug on LinkedIn

अक्टूबर 2020 में, उन्हें लिंक्डइन की साइट पर भी एक बग मिला था। इस बग के जरिए किसी भी यूजर के फ़ोन पर सिर्फ एक इनविटेशन रिक्वेस्ट भेजकर उसे क्रैश किया जा सकता था। रंगानाथन ने बताया, “300 शब्दों में कनेक्शन रिक्वेस्ट को भेजा जा सकता था। मैंने इन शब्दों की सीमा को लाखों में कर दिया। ऐप पूरे टेक्स्ट को संभाल नहीं पाया और बदले में सिस्टम को क्रैश कर दिया। लिंक्डइन ने भी मेरे काम को माना और मुझे धन्यवाद दिया, लेकिन इसके लिए कोई भुगतान नहीं किया।”

संयुक्त राष्ट्र, बायजूस, लिंक्डइन और नाइके जैसी कुछ अन्य वेबसाइट्स हैं, जिन पर रंगानाथन ने बग ढूंढे। इसके लिए उन्हें धन्यवाद दिया गया। अभी तक रंगनाथन को इस काम के लिए 100 से अधिक डॉलर मिल चुके हैं और कई विदेशी कंपनियों से प्रशंसा भी मिली है।

आखिर में उन्होंने कहा, “बहुत से पेरेंट्स ऐसे हैं, जिन्हें बच्चों का ऑनलाइन ज्यादा समय बिताना पसंद नहीं है। लेकिन मैं जो कुछ भी कर रहा हूं, उससे मेरे माता-पिता तो बहुत खुश हैं और उन्हें मुझ पर गर्व भी है।”

मूल लेखः विद्या राजा

संपादनः अर्चना दुबे

यह भी पढ़ेंः सरकारी नौकरी: इस युनिवर्सिटी में है 62 पदों पर वैकेंसी, जल्द करें आवेदन

यदि आपको इस कहानी से प्रेरणा मिली है, या आप अपने किसी अनुभव को हमारे साथ साझा करना चाहते हो, तो हमें hindi@thebetterindia.com पर लिखें, या Facebook और Twitter पर संपर्क करें।

We at The Better India want to showcase everything that is working in this country. By using the power of constructive journalism, we want to change India – one story at a time. If you read us, like us and want this positive movement to grow, then do consider supporting us via the following buttons:

Let us know how you felt

  • love
  • like
  • inspired
  • support
  • appreciate
X