Search Icon
Nav Arrow
Ranganathan Learned Ethical Hacking Online, Found Flaws On IRCTC

17 साल के रंगनाथन ने ऑनलाइन सीखी एथिकल हैकिंग, IRCTC की वेबसाइट पर ढूंढ निकाली खामियां

17 साल के पी रंगनाथन, कॉमर्स के स्टूडेंट हैं। लॉकडाउन के दौरान, वह पढ़ाई करते हुए ऑनलाइन एथिकल हैकिंग सीखने लगे। आज कई राष्ट्रीय और अंतरराष्ट्रीय वेबसाइट में खामियां ढूंढकर, वह उनमें सुधार करवा चुके हैं।

बाकी बच्चों की तरह पी. रंगानाथन का भी काफी समय कंप्यूटर स्क्रीन पर बीतता है, लेकिन वह ऑनलाइन गेम खेलने या फिर सीरीज देखने में अपना समय बर्बाद नहीं करते। वह अपने खाली समय में बग बाउंटी करते हैं और यही खासियत, उन्हें अन्य बच्चों से अलग बनाती है।

17 साल के पी रंगनाथन बारहवीं कक्षा के छात्र हैं। द बेटर इंडिया के साथ बात करते हुए उन्होंने बताया, “मैं कॉमर्स का स्टूडेंट हूं। मेरी दिलचस्पी बिज़नेस के बारे में जानने, उसे शुरू करने और आगे बढ़ाने में है। लेकिन बग बाउंटी का काम, मैंने लॉकडाउन में सीखा, जब स्कूल बंद थे। सब कुछ ऑनलाइन चल रहा था। तब मैंने बग बाउंटी हन्टर्स के बारे में ऑनलाइन पढ़ना शुरू किया। मेरा रुझान इस तरफ बढ़ने लगा था।” 

रेलवे की साइट पर मिली बड़ी खामी

Ethical Hacker P Renganathan
P Renganathan

रंगानाथन एक दिन अपने किसी फैमिली मेंबर के लिए ट्रेन में सीट बुक कराने के लिए IRCTC की वेबसाइट पर गए। उन्हें, वहां एक बड़ी खामी नजर आई। हालांकि यह महज एक संयोग था। वह कहते हैं, “ऐसा नहीं था कि मैं बग ढूंढ रहा था। दरअसल, मैं तो ऑनलाइन टिकट बुक करा रहा था। जैसे ही टिकट बुक कराने के लिए सारी औपचारिकताएं पूरी की, मुझे वेबसाइट पर इनसेक्योर डायरेक्ट ऑब्जेक्ट रेफ्रेंसेज़ (IDOR) वल्नरबिलिटी मिली।

Advertisement

आसान भाषा में समझें, तो उन्हें एक ऐसी सुरक्षा खामी मिली, जो इस ऐप के लिए एक खतरा थी। इस तरह की वल्नरबिलिटी को डेवलपर्स अक्सर अनदेखा कर देते हैं और यह सर्वर में मौजूद डेटा के लिए एक गंभीर खतरे का कारण बन जाती है। वल्नरबिलिटी और कुछ नहीं, बल्कि साइट पर मौजूद एक सुरक्षा दोष होता है, जिसे होना नहीं चाहिए।”

दरअसल, बग बाउंटी हन्टर्स का काम वेबसाइट पर मौजूद किसी भी खतरे या खामियों को ढूंढकर, उन्हें वेबसाइट के मालिक की नजर में लेकर आना होता है। विदेशों में कुछ संस्थाएं हैं, जो खामियों को खोजने और उसके बारे में बताने वाले बग हंटर्स को उनके काम का भुगतान भी करते हैं। लेकिन भारत में ऐसा नहीं होता। रंगानाथन कहते हैं, “बग बाउंटी हन्टर्स को बग की गंभीरता के आधार पर भुगतान किया जाता है। यानी ढूंढी गई खामी से जितना बड़ा नुकसान हो सकता था, उसी नुकसान को आधार बनाकर उन्हें हर्जाने के तौर पर पैसे दिए जाते हैं।”

आखिर क्या थी यह खामी?

रेलवे की वेबसाइट पर मौजूद वल्नरबिलिटी की गंभीरता के बारे में बताते हुए वह कहते हैं, “मैंने बुकिंग के समय वेबसाइट पर सुरक्षा की एक बड़ी खामी देखी। दरअसल, यह एक बग था जो मुझे दूसरे यात्रियों की सारी डिटेल, जैसे- उनका नाम, लिंग, उम्र, पीएनआर नंबर, ट्रेन का विवरण और डिपार्चर स्टेशन से जुड़ी सारी जानकारी तक पहुंचने की अनुमति दे रहा था।”

Advertisement

वह आगे कहते हैं, “मैं उस बग के कारण किसी यात्री की ट्रिप में बदलाव या फिर उसकी ट्रिप को कैंसिल भी कर सकता था। यहां तक कि उसके नाम से खाना भी ऑर्डर कर सकता था। ये बदलाव बड़ी ही आसानी से किए जा सकते थे और वह भी कुछ इस तरीके से कि पैसेंजर को उसका पता भी न चले।”

यह बग सुरक्षा के लिहाज से भी एक बड़ा खतरा था। अगर कोई हैकर इस तक पहुंच जाता, तो करोड़ों लोगों की डिटेल आसानी से खंगालकर उसे उड़ा सकता था। फिलहाल इस खामी को ठीक किया जा चुका है। अब हर यात्री को 13 अंकों की ट्रांजेक्शन आईडी दी जाती है।

जानकारी देने के लिए रंगनाथन को मिला प्रशंसा-पत्र

Ethical hacking finds bug in IRCTC Website
Representational image

30 अगस्त 2021 को इस खामी के बारे में पता चलने के बाद, रंगनाथन ने तुरंत भारत की कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT) को सतर्क कर दिया। CERT भारत सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की एक नोडल एजेंसी है। इसे साइबर सुरक्षा के खतरों ‘हैकिंग और फिशिंग’ से निपटने के लिए तैयार किया गया है। इसके अंतर्गत रिस्पॉन्सिबल डिस्क्लेमर प्रोग्राम भी चलाए जाते हैं। जहां एथिकल हैकर्स किसी भी वेबसाइट पर मौजूद खामियों की जानकारी मिलने पर उन्हें इन्फॉर्म कर सकते हैं।

Advertisement

CERT को इस बात की जानकारी देने के तुरंत आधे घंटे के अंदर रंगनाथन को एक टिकट नंबर सौंपा गया और कुछ ही दिनों बाद, इस समस्या का समाधान भी कर दिया गया। वह बताते हैं, “मैंने चार दिन बाद साइट पर जाकर देखा, तो पाया कि खामी को दूर कर दिया गया था। एक हफ्ते बाद मुझे अधिकारिक रूप से इसे ठीक किए जाने की सूचना भी भेजी गई।” कुछ समय बाद, रंगानाथन को उनके इस काम के लिए एक प्रशंसा-पत्र भी दिया गया।

कोई वॉल ऑफ फेम नहीं

ऐसे बहुत से हैकर्स हैं, जो वेबसाइट्स में बग की लगातार तलाश में रहते हैं। रंगनाथन ने बताया, “लेकिन ऐसा अधिकतर भारत से बाहर यानी विदेशों में होता है। क्योंकि नीदरलैंड और अमेरिका जैसे देश बग बाउंटी हन्टर्स को उनके काम के बदले में पैसे देते हैं और कई बार तो टी-शर्ट आदि जैसी कुछ दिलचस्प चीज़ें भी दी जाती हैं और भारत में हमें सिर्फ प्रशंसा-पत्र या ईमेल मिलता है।”

रंगानाथन के अनुसार, अमेरिका का रक्षा विभाग एक प्रोग्राम ऑफ डिस्क्लोजर चलाता है, जिसमें ऐसे एथिकल हैकर्स का नाम Hackerone के वॉल ऑफ फेम पर लिखा जाता है।

Advertisement

यह उनका पहला प्रयास नहीं था

Rangnathan had found a bug on LinkedIn
Rangnathan had found a bug on LinkedIn

अक्टूबर 2020 में, उन्हें लिंक्डइन की साइट पर भी एक बग मिला था। इस बग के जरिए किसी भी यूजर के फ़ोन पर सिर्फ एक इनविटेशन रिक्वेस्ट भेजकर उसे क्रैश किया जा सकता था। रंगानाथन ने बताया, “300 शब्दों में कनेक्शन रिक्वेस्ट को भेजा जा सकता था। मैंने इन शब्दों की सीमा को लाखों में कर दिया। ऐप पूरे टेक्स्ट को संभाल नहीं पाया और बदले में सिस्टम को क्रैश कर दिया। लिंक्डइन ने भी मेरे काम को माना और मुझे धन्यवाद दिया, लेकिन इसके लिए कोई भुगतान नहीं किया।”

संयुक्त राष्ट्र, बायजूस, लिंक्डइन और नाइके जैसी कुछ अन्य वेबसाइट्स हैं, जिन पर रंगानाथन ने बग ढूंढे। इसके लिए उन्हें धन्यवाद दिया गया। अभी तक रंगनाथन को इस काम के लिए 100 से अधिक डॉलर मिल चुके हैं और कई विदेशी कंपनियों से प्रशंसा भी मिली है।

आखिर में उन्होंने कहा, “बहुत से पेरेंट्स ऐसे हैं, जिन्हें बच्चों का ऑनलाइन ज्यादा समय बिताना पसंद नहीं है। लेकिन मैं जो कुछ भी कर रहा हूं, उससे मेरे माता-पिता तो बहुत खुश हैं और उन्हें मुझ पर गर्व भी है।”

Advertisement

मूल लेखः विद्या राजा

संपादनः अर्चना दुबे

यह भी पढ़ेंः सरकारी नौकरी: इस युनिवर्सिटी में है 62 पदों पर वैकेंसी, जल्द करें आवेदन

Advertisement

यदि आपको इस कहानी से प्रेरणा मिली है, या आप अपने किसी अनुभव को हमारे साथ साझा करना चाहते हो, तो हमें hindi@thebetterindia.com पर लिखें, या Facebook और Twitter पर संपर्क करें।

close-icon
_tbi-social-media__share-icon