Site icon The Better India – Hindi

17 साल के रंगनाथन ने ऑनलाइन सीखी एथिकल हैकिंग, IRCTC की वेबसाइट पर ढूंढ निकाली खामियां

संघप्रिया मौर्य
Ranganathan Learned Ethical Hacking Online, Found Flaws On IRCTC

बाकी बच्चों की तरह पी. रंगानाथन का भी काफी समय कंप्यूटर स्क्रीन पर बीतता है, लेकिन वह ऑनलाइन गेम खेलने या फिर सीरीज देखने में अपना समय बर्बाद नहीं करते। वह अपने खाली समय में बग बाउंटी करते हैं और यही खासियत, उन्हें अन्य बच्चों से अलग बनाती है।

17 साल के पी रंगनाथन बारहवीं कक्षा के छात्र हैं। द बेटर इंडिया के साथ बात करते हुए उन्होंने बताया, “मैं कॉमर्स का स्टूडेंट हूं। मेरी दिलचस्पी बिज़नेस के बारे में जानने, उसे शुरू करने और आगे बढ़ाने में है। लेकिन बग बाउंटी का काम, मैंने लॉकडाउन में सीखा, जब स्कूल बंद थे। सब कुछ ऑनलाइन चल रहा था। तब मैंने बग बाउंटी हन्टर्स के बारे में ऑनलाइन पढ़ना शुरू किया। मेरा रुझान इस तरफ बढ़ने लगा था।” 

रेलवे की साइट पर मिली बड़ी खामी

P Renganathan

रंगानाथन एक दिन अपने किसी फैमिली मेंबर के लिए ट्रेन में सीट बुक कराने के लिए IRCTC की वेबसाइट पर गए। उन्हें, वहां एक बड़ी खामी नजर आई। हालांकि यह महज एक संयोग था। वह कहते हैं, “ऐसा नहीं था कि मैं बग ढूंढ रहा था। दरअसल, मैं तो ऑनलाइन टिकट बुक करा रहा था। जैसे ही टिकट बुक कराने के लिए सारी औपचारिकताएं पूरी की, मुझे वेबसाइट पर इनसेक्योर डायरेक्ट ऑब्जेक्ट रेफ्रेंसेज़ (IDOR) वल्नरबिलिटी मिली।

आसान भाषा में समझें, तो उन्हें एक ऐसी सुरक्षा खामी मिली, जो इस ऐप के लिए एक खतरा थी। इस तरह की वल्नरबिलिटी को डेवलपर्स अक्सर अनदेखा कर देते हैं और यह सर्वर में मौजूद डेटा के लिए एक गंभीर खतरे का कारण बन जाती है। वल्नरबिलिटी और कुछ नहीं, बल्कि साइट पर मौजूद एक सुरक्षा दोष होता है, जिसे होना नहीं चाहिए।”

दरअसल, बग बाउंटी हन्टर्स का काम वेबसाइट पर मौजूद किसी भी खतरे या खामियों को ढूंढकर, उन्हें वेबसाइट के मालिक की नजर में लेकर आना होता है। विदेशों में कुछ संस्थाएं हैं, जो खामियों को खोजने और उसके बारे में बताने वाले बग हंटर्स को उनके काम का भुगतान भी करते हैं। लेकिन भारत में ऐसा नहीं होता। रंगानाथन कहते हैं, “बग बाउंटी हन्टर्स को बग की गंभीरता के आधार पर भुगतान किया जाता है। यानी ढूंढी गई खामी से जितना बड़ा नुकसान हो सकता था, उसी नुकसान को आधार बनाकर उन्हें हर्जाने के तौर पर पैसे दिए जाते हैं।”

आखिर क्या थी यह खामी?

रेलवे की वेबसाइट पर मौजूद वल्नरबिलिटी की गंभीरता के बारे में बताते हुए वह कहते हैं, “मैंने बुकिंग के समय वेबसाइट पर सुरक्षा की एक बड़ी खामी देखी। दरअसल, यह एक बग था जो मुझे दूसरे यात्रियों की सारी डिटेल, जैसे- उनका नाम, लिंग, उम्र, पीएनआर नंबर, ट्रेन का विवरण और डिपार्चर स्टेशन से जुड़ी सारी जानकारी तक पहुंचने की अनुमति दे रहा था।”

वह आगे कहते हैं, “मैं उस बग के कारण किसी यात्री की ट्रिप में बदलाव या फिर उसकी ट्रिप को कैंसिल भी कर सकता था। यहां तक कि उसके नाम से खाना भी ऑर्डर कर सकता था। ये बदलाव बड़ी ही आसानी से किए जा सकते थे और वह भी कुछ इस तरीके से कि पैसेंजर को उसका पता भी न चले।”

यह बग सुरक्षा के लिहाज से भी एक बड़ा खतरा था। अगर कोई हैकर इस तक पहुंच जाता, तो करोड़ों लोगों की डिटेल आसानी से खंगालकर उसे उड़ा सकता था। फिलहाल इस खामी को ठीक किया जा चुका है। अब हर यात्री को 13 अंकों की ट्रांजेक्शन आईडी दी जाती है।

जानकारी देने के लिए रंगनाथन को मिला प्रशंसा-पत्र

Representational image

30 अगस्त 2021 को इस खामी के बारे में पता चलने के बाद, रंगनाथन ने तुरंत भारत की कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT) को सतर्क कर दिया। CERT भारत सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की एक नोडल एजेंसी है। इसे साइबर सुरक्षा के खतरों ‘हैकिंग और फिशिंग’ से निपटने के लिए तैयार किया गया है। इसके अंतर्गत रिस्पॉन्सिबल डिस्क्लेमर प्रोग्राम भी चलाए जाते हैं। जहां एथिकल हैकर्स किसी भी वेबसाइट पर मौजूद खामियों की जानकारी मिलने पर उन्हें इन्फॉर्म कर सकते हैं।

CERT को इस बात की जानकारी देने के तुरंत आधे घंटे के अंदर रंगनाथन को एक टिकट नंबर सौंपा गया और कुछ ही दिनों बाद, इस समस्या का समाधान भी कर दिया गया। वह बताते हैं, “मैंने चार दिन बाद साइट पर जाकर देखा, तो पाया कि खामी को दूर कर दिया गया था। एक हफ्ते बाद मुझे अधिकारिक रूप से इसे ठीक किए जाने की सूचना भी भेजी गई।” कुछ समय बाद, रंगानाथन को उनके इस काम के लिए एक प्रशंसा-पत्र भी दिया गया।

कोई वॉल ऑफ फेम नहीं

ऐसे बहुत से हैकर्स हैं, जो वेबसाइट्स में बग की लगातार तलाश में रहते हैं। रंगनाथन ने बताया, “लेकिन ऐसा अधिकतर भारत से बाहर यानी विदेशों में होता है। क्योंकि नीदरलैंड और अमेरिका जैसे देश बग बाउंटी हन्टर्स को उनके काम के बदले में पैसे देते हैं और कई बार तो टी-शर्ट आदि जैसी कुछ दिलचस्प चीज़ें भी दी जाती हैं और भारत में हमें सिर्फ प्रशंसा-पत्र या ईमेल मिलता है।”

रंगानाथन के अनुसार, अमेरिका का रक्षा विभाग एक प्रोग्राम ऑफ डिस्क्लोजर चलाता है, जिसमें ऐसे एथिकल हैकर्स का नाम Hackerone के वॉल ऑफ फेम पर लिखा जाता है।

यह उनका पहला प्रयास नहीं था

Rangnathan had found a bug on LinkedIn

अक्टूबर 2020 में, उन्हें लिंक्डइन की साइट पर भी एक बग मिला था। इस बग के जरिए किसी भी यूजर के फ़ोन पर सिर्फ एक इनविटेशन रिक्वेस्ट भेजकर उसे क्रैश किया जा सकता था। रंगानाथन ने बताया, “300 शब्दों में कनेक्शन रिक्वेस्ट को भेजा जा सकता था। मैंने इन शब्दों की सीमा को लाखों में कर दिया। ऐप पूरे टेक्स्ट को संभाल नहीं पाया और बदले में सिस्टम को क्रैश कर दिया। लिंक्डइन ने भी मेरे काम को माना और मुझे धन्यवाद दिया, लेकिन इसके लिए कोई भुगतान नहीं किया।”

संयुक्त राष्ट्र, बायजूस, लिंक्डइन और नाइके जैसी कुछ अन्य वेबसाइट्स हैं, जिन पर रंगानाथन ने बग ढूंढे। इसके लिए उन्हें धन्यवाद दिया गया। अभी तक रंगनाथन को इस काम के लिए 100 से अधिक डॉलर मिल चुके हैं और कई विदेशी कंपनियों से प्रशंसा भी मिली है।

आखिर में उन्होंने कहा, “बहुत से पेरेंट्स ऐसे हैं, जिन्हें बच्चों का ऑनलाइन ज्यादा समय बिताना पसंद नहीं है। लेकिन मैं जो कुछ भी कर रहा हूं, उससे मेरे माता-पिता तो बहुत खुश हैं और उन्हें मुझ पर गर्व भी है।”

मूल लेखः विद्या राजा

संपादनः अर्चना दुबे

यह भी पढ़ेंः सरकारी नौकरी: इस युनिवर्सिटी में है 62 पदों पर वैकेंसी, जल्द करें आवेदन

यदि आपको इस कहानी से प्रेरणा मिली है, या आप अपने किसी अनुभव को हमारे साथ साझा करना चाहते हो, तो हमें hindi@thebetterindia.com पर लिखें, या Facebook और Twitter पर संपर्क करें।

Exit mobile version