बाकी बच्चों की तरह पी. रंगानाथन का भी काफी समय कंप्यूटर स्क्रीन पर बीतता है, लेकिन वह ऑनलाइन गेम खेलने या फिर सीरीज देखने में अपना समय बर्बाद नहीं करते। वह अपने खाली समय में बग बाउंटी करते हैं और यही खासियत, उन्हें अन्य बच्चों से अलग बनाती है।
17 साल के पी रंगनाथन बारहवीं कक्षा के छात्र हैं। द बेटर इंडिया के साथ बात करते हुए उन्होंने बताया, “मैं कॉमर्स का स्टूडेंट हूं। मेरी दिलचस्पी बिज़नेस के बारे में जानने, उसे शुरू करने और आगे बढ़ाने में है। लेकिन बग बाउंटी का काम, मैंने लॉकडाउन में सीखा, जब स्कूल बंद थे। सब कुछ ऑनलाइन चल रहा था। तब मैंने बग बाउंटी हन्टर्स के बारे में ऑनलाइन पढ़ना शुरू किया। मेरा रुझान इस तरफ बढ़ने लगा था।”
रेलवे की साइट पर मिली बड़ी खामी
रंगानाथन एक दिन अपने किसी फैमिली मेंबर के लिए ट्रेन में सीट बुक कराने के लिए IRCTC की वेबसाइट पर गए। उन्हें, वहां एक बड़ी खामी नजर आई। हालांकि यह महज एक संयोग था। वह कहते हैं, “ऐसा नहीं था कि मैं बग ढूंढ रहा था। दरअसल, मैं तो ऑनलाइन टिकट बुक करा रहा था। जैसे ही टिकट बुक कराने के लिए सारी औपचारिकताएं पूरी की, मुझे वेबसाइट पर इनसेक्योर डायरेक्ट ऑब्जेक्ट रेफ्रेंसेज़ (IDOR) वल्नरबिलिटी मिली।
आसान भाषा में समझें, तो उन्हें एक ऐसी सुरक्षा खामी मिली, जो इस ऐप के लिए एक खतरा थी। इस तरह की वल्नरबिलिटी को डेवलपर्स अक्सर अनदेखा कर देते हैं और यह सर्वर में मौजूद डेटा के लिए एक गंभीर खतरे का कारण बन जाती है। वल्नरबिलिटी और कुछ नहीं, बल्कि साइट पर मौजूद एक सुरक्षा दोष होता है, जिसे होना नहीं चाहिए।”
दरअसल, बग बाउंटी हन्टर्स का काम वेबसाइट पर मौजूद किसी भी खतरे या खामियों को ढूंढकर, उन्हें वेबसाइट के मालिक की नजर में लेकर आना होता है। विदेशों में कुछ संस्थाएं हैं, जो खामियों को खोजने और उसके बारे में बताने वाले बग हंटर्स को उनके काम का भुगतान भी करते हैं। लेकिन भारत में ऐसा नहीं होता। रंगानाथन कहते हैं, “बग बाउंटी हन्टर्स को बग की गंभीरता के आधार पर भुगतान किया जाता है। यानी ढूंढी गई खामी से जितना बड़ा नुकसान हो सकता था, उसी नुकसान को आधार बनाकर उन्हें हर्जाने के तौर पर पैसे दिए जाते हैं।”
आखिर क्या थी यह खामी?
रेलवे की वेबसाइट पर मौजूद वल्नरबिलिटी की गंभीरता के बारे में बताते हुए वह कहते हैं, “मैंने बुकिंग के समय वेबसाइट पर सुरक्षा की एक बड़ी खामी देखी। दरअसल, यह एक बग था जो मुझे दूसरे यात्रियों की सारी डिटेल, जैसे- उनका नाम, लिंग, उम्र, पीएनआर नंबर, ट्रेन का विवरण और डिपार्चर स्टेशन से जुड़ी सारी जानकारी तक पहुंचने की अनुमति दे रहा था।”
वह आगे कहते हैं, “मैं उस बग के कारण किसी यात्री की ट्रिप में बदलाव या फिर उसकी ट्रिप को कैंसिल भी कर सकता था। यहां तक कि उसके नाम से खाना भी ऑर्डर कर सकता था। ये बदलाव बड़ी ही आसानी से किए जा सकते थे और वह भी कुछ इस तरीके से कि पैसेंजर को उसका पता भी न चले।”
यह बग सुरक्षा के लिहाज से भी एक बड़ा खतरा था। अगर कोई हैकर इस तक पहुंच जाता, तो करोड़ों लोगों की डिटेल आसानी से खंगालकर उसे उड़ा सकता था। फिलहाल इस खामी को ठीक किया जा चुका है। अब हर यात्री को 13 अंकों की ट्रांजेक्शन आईडी दी जाती है।
जानकारी देने के लिए रंगनाथन को मिला प्रशंसा-पत्र
30 अगस्त 2021 को इस खामी के बारे में पता चलने के बाद, रंगनाथन ने तुरंत भारत की कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT) को सतर्क कर दिया। CERT भारत सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की एक नोडल एजेंसी है। इसे साइबर सुरक्षा के खतरों ‘हैकिंग और फिशिंग’ से निपटने के लिए तैयार किया गया है। इसके अंतर्गत रिस्पॉन्सिबल डिस्क्लेमर प्रोग्राम भी चलाए जाते हैं। जहां एथिकल हैकर्स किसी भी वेबसाइट पर मौजूद खामियों की जानकारी मिलने पर उन्हें इन्फॉर्म कर सकते हैं।
CERT को इस बात की जानकारी देने के तुरंत आधे घंटे के अंदर रंगनाथन को एक टिकट नंबर सौंपा गया और कुछ ही दिनों बाद, इस समस्या का समाधान भी कर दिया गया। वह बताते हैं, “मैंने चार दिन बाद साइट पर जाकर देखा, तो पाया कि खामी को दूर कर दिया गया था। एक हफ्ते बाद मुझे अधिकारिक रूप से इसे ठीक किए जाने की सूचना भी भेजी गई।” कुछ समय बाद, रंगानाथन को उनके इस काम के लिए एक प्रशंसा-पत्र भी दिया गया।
कोई वॉल ऑफ फेम नहीं
ऐसे बहुत से हैकर्स हैं, जो वेबसाइट्स में बग की लगातार तलाश में रहते हैं। रंगनाथन ने बताया, “लेकिन ऐसा अधिकतर भारत से बाहर यानी विदेशों में होता है। क्योंकि नीदरलैंड और अमेरिका जैसे देश बग बाउंटी हन्टर्स को उनके काम के बदले में पैसे देते हैं और कई बार तो टी-शर्ट आदि जैसी कुछ दिलचस्प चीज़ें भी दी जाती हैं और भारत में हमें सिर्फ प्रशंसा-पत्र या ईमेल मिलता है।”
रंगानाथन के अनुसार, अमेरिका का रक्षा विभाग एक प्रोग्राम ऑफ डिस्क्लोजर चलाता है, जिसमें ऐसे एथिकल हैकर्स का नाम Hackerone के वॉल ऑफ फेम पर लिखा जाता है।
यह उनका पहला प्रयास नहीं था
अक्टूबर 2020 में, उन्हें लिंक्डइन की साइट पर भी एक बग मिला था। इस बग के जरिए किसी भी यूजर के फ़ोन पर सिर्फ एक इनविटेशन रिक्वेस्ट भेजकर उसे क्रैश किया जा सकता था। रंगानाथन ने बताया, “300 शब्दों में कनेक्शन रिक्वेस्ट को भेजा जा सकता था। मैंने इन शब्दों की सीमा को लाखों में कर दिया। ऐप पूरे टेक्स्ट को संभाल नहीं पाया और बदले में सिस्टम को क्रैश कर दिया। लिंक्डइन ने भी मेरे काम को माना और मुझे धन्यवाद दिया, लेकिन इसके लिए कोई भुगतान नहीं किया।”
संयुक्त राष्ट्र, बायजूस, लिंक्डइन और नाइके जैसी कुछ अन्य वेबसाइट्स हैं, जिन पर रंगानाथन ने बग ढूंढे। इसके लिए उन्हें धन्यवाद दिया गया। अभी तक रंगनाथन को इस काम के लिए 100 से अधिक डॉलर मिल चुके हैं और कई विदेशी कंपनियों से प्रशंसा भी मिली है।
आखिर में उन्होंने कहा, “बहुत से पेरेंट्स ऐसे हैं, जिन्हें बच्चों का ऑनलाइन ज्यादा समय बिताना पसंद नहीं है। लेकिन मैं जो कुछ भी कर रहा हूं, उससे मेरे माता-पिता तो बहुत खुश हैं और उन्हें मुझ पर गर्व भी है।”
मूल लेखः विद्या राजा
संपादनः अर्चना दुबे
यह भी पढ़ेंः सरकारी नौकरी: इस युनिवर्सिटी में है 62 पदों पर वैकेंसी, जल्द करें आवेदन
यदि आपको इस कहानी से प्रेरणा मिली है, या आप अपने किसी अनुभव को हमारे साथ साझा करना चाहते हो, तो हमें hindi@thebetterindia.com पर लिखें, या Facebook और Twitter पर संपर्क करें।