स्कूली छात्र के अलार्म बजने के बाद भारत का सबसे बड़ा ई-टिकटिंग प्लेटफॉर्म आईआरसीटीसी ने बग को ठीक किया

इंडियन रेलवे कैटरिंग एंड टूरिज्म कॉरपोरेशन लिमिटेड (IRCTC) ने अपने ई-टिकटिंग प्लेटफॉर्म पर एक बग को ठीक किया, जब शहर के एक प्लस टू बालक ने असुरक्षित प्रत्यक्ष वस्तु संदर्भ (IDOR) की उपस्थिति पर अलार्म उठाया – एक प्रकार का एक्सेस कंट्रोल भेद्यता बुकिंग साइट में।

एक वरिष्ठ अधिकारी ने मंगलवार को कहा कि आईआरसीटीसी की आईटी विंग ने शिकायत पर ध्यान दिया और रिपोर्ट की गई भेद्यता के मुद्दे को तुरंत हल किया।

“हमारी ई-टिकटिंग प्रणाली (अब) अच्छी तरह से सुरक्षित है। 30 अगस्त को इस मुद्दे की सूचना दी गई थी और इसे 2 सितंबर को तय किया गया था।

आईडीओआर, एक प्रकार का एक्सेस कंट्रोल भेद्यता, तब उत्पन्न होता है जब कोई एप्लिकेशन उपयोगकर्ता द्वारा प्रदत्त इनपुट का उपयोग सीधे वस्तुओं तक पहुंचने के लिए करता है।

“जब मैं 30 अगस्त को टिकट बुक करने की कोशिश कर रहा था, तब मुझे गलती से एक महत्वपूर्ण आईडीओआर का पता चला जो लाखों यात्रियों के लेन-देन के विवरण को लीक कर देता है। यह सबसे आम बग था। तुरंत, मैंने इसके बारे में भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) को सूचना दी, “यहां तांबरम के एक निजी स्कूल के प्लस टू के छात्र पी रंगनाथन ने कहा।

“मैंने एक महत्वपूर्ण IDOR खोजा है जो लाखों यात्रियों के लेन-देन के विवरण को लीक करता है। अपने खाते के टिकट इतिहास पर जाएं, किसी भी टिकट पर burp सुइट चालू होने पर क्लिक करें। अब दूसरे के टिकट तक पहुंच प्राप्त करने के लिए लेनदेन आईडी बदलें, आपको सभी संवेदनशील विवरण मिल जाएंगे। आप किसी का टिकट रद्द भी कर सकते हैं या कुछ भी दुर्भावनापूर्ण कर सकते हैं, ”उन्होंने केंद्रीय इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के तहत सीईआरटी-इन को एक ईमेल शिकायत में कहा।

एक शमन के रूप में, रेंगनाथन, जो खुद को एथिकल हैकर और साइबर सुरक्षा शोधकर्ता के रूप में पहचानते हैं, ने कहा कि बुक किए गए उपयोगकर्ता और टिकट को मान्य किया जाना चाहिए ताकि बुक किए गए उपयोगकर्ता को छोड़कर कोई और इसे एक्सेस न कर सके।

11 सितंबर, 2021 को, उन्हें सीईआरटी-इन को घटना की रिपोर्ट करने के लिए धन्यवाद देने के लिए एक मेल प्राप्त हुआ और यह भी पुष्टि हुई कि संबंधित अधिकारियों द्वारा “रिपोर्ट की गई भेद्यता को हल कर लिया गया है”।

वर्तमान में वाणिज्य समूह में काम कर रहे रंगनाथन को लिंक्डइन, संयुक्त राष्ट्र, BYJU’s, Nike, Lenovo, Upstox द्वारा उनके वेब अनुप्रयोगों में सुरक्षा कमजोरियों की रिपोर्ट करने के लिए स्वीकार किया गया है।

तमिलनाडु भर में स्कूल 1 सितंबर को केवल नौवीं से बारहवीं कक्षा के लिए फिर से खोले गए।

“मैंने महामारी के कारण ऑनलाइन कक्षाओं का विकल्प चुना है,” उन्होंने कहा।

.