தகவல்கள் கசியும் ஆபத்தில் இருந்த ஐஆர்சிடிசி: அலெர்ட் செய்த சென்னை மாணவர்

 


நாள்தோறும் லட்சக்கணக்கான பேர் பயன்படுத்தும் ஐ.ஆர்.சி.டி.சி. இணையதளத்தில் இருக்கும் பாதுகாப்பற்ற அம்சங்களை கண்டறிந்து குறைபாட்டை சரிசெய்வதற்கு உதவிபுரிந்துள்ளார் சென்னையை சேர்ந்த பள்ளி மாணவர் ரங்கநாதன்.

 
சென்னையை சேர்ந்த 17 வயது பள்ளி மாணவர் ப. ரங்கநாதன், சில நாட்களுக்கு முன்பு, இந்திய ரயில்வே துறையின் அதிகாரப்பூர்வ ரயில் முன்பதிவு இணையதளமான ஐஆர்சிடிசி தளத்தில் பயணச்சீட்டு முன்பதிவு செய்ய முயன்றபோது, அதில் இருக்கும் பாதுகாப்பு குறைபாடு கொண்ட Bug ஒன்றை கண்டறிந்தார். இந்த Bug-இன் மூலம் ரயிலில் பயணிப்பதற்காக முன்பதிவு செய்தவா்கள் குறித்த அனைத்து தகவல்களையும் பதிவிறக்கம் செய்ய முடியும். இக்குறைபாடு குறித்து, மத்திய மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின், கம்ப்யூட்டர் எமர்ஜென்சி ரெஸ்பான்ஸ் டீமிற்கு (CERT) மின்னஞ்சல் மூலமாக தெரியப்படுத்தினார் ரங்கநாதன். இதையடுத்து அந்த குறைபாடு கடந்த செப்டம்பர் 5-ம் தேதி கணினி நிபுணர்களால் சரி செய்யப்பட்டது.
 
நாள்தோறும் லட்சக்கணக்கான பேர் பயன்படுத்தும் ஐஆர்சிடிசி இணையதளத்தில் இருக்கும் பாதுகாப்பற்ற அம்சங்களை கண்டறிந்து குறைபாட்டை சரிசெய்வதற்கு உதவிபுரிந்த மாணவா் ரங்கநாதனை நேரில் அழைத்து பாராட்டி வாழ்த்துத் தெரிவித்துள்ளார், தமிழக தகவல் தொழில்நுட்பத்துறை அமைச்சர் மனோ தங்கராஜ்.
 

இதுகுறித்து மாணவர் ரங்கநாதன் கூறுகையில்
, ''சென்னை சேலையூரில் உள்ள சீயோன்  மேல்நிலைப்பள்ளியில் +2 வணிகவியல் படித்து வருகிறேன். சைபர் செக்யூரிட்டி ஸ்டார்ட் அப் நிறுவனம் ஒன்றையும் கடந்த ஓராண்டாக நடத்தி வருகிறேன். உறவினர் ஒருவரின் ரயில் பயணத்திற்க்காக கடந்த ஆகஸ்ட் 30-ம் தேதி ஐஆர்சிடிசி தளத்தில் முன்பதிவு செய்தேன். அப்போது, ஐஆர்சிடிசி தளத்தின் கோடிங் குறித்து தற்செயலாக பார்த்தபோது IDOR எனப்படும் பாதுகாப்பு குறைபாடு கொண்ட Bug ஒன்று இருப்பதைக் கண்டுபிடித்தேன். அதாவது, முன்பதிவு செய்தவர்களின் பரிவர்த்தனை ஐடியை, கோடிங் மூலமாக எடுக்க முடிந்தது. இந்த Bug-இன் மூலம் ரயிலில் பயணிப்பதற்காக முன்பதிவு செய்தவரின் பெயர், வயது, பாலினம், பிஎன்ஆர் எண், டிக்கெட் விபரங்கள், பரிவர்த்தனை ஐடி, பரிவர்த்தனை முறை உள்ளிட்ட பயனரின் அனைத்து தகவல்களையும் பதிவிறக்கம் செய்ய முடியும்.
இதன்மூலம் முன்பதிவு செய்தவர்களுக்கு தெரியாமலேயே புறப்படும் இடத்தை மாற்றியமைப்பது, டிக்கெட்டை ரத்து செய்வது உள்ளிட்ட எல்லாவற்றையும் செய்யமுடியும். இந்தக் குறைபாடு குறித்து ஐஆர்சிடிசி தளத்தை நிர்வகிக்கும் கம்ப்யூட்டர் எமர்ஜென்சி ரெஸ்பான்ஸ் டீமிற்கு (Computer Emergency Response Team - CERT) இமெயில் மூலமாக கடந்த ஆகஸ்ட் 30-ம் தேதி தெரியப்படுத்தினேன். அதன்படி, அந்த டீம் இமெயில் மூலமாக என்னைத் தொடர்பு கொண்டு, குறைபாட்டைச் சரி செய்வதாக தெரிவித்தது. இதையடுத்து, அந்தக் குறைபாடு செப்டம்பர் 4-ம் தேதி சரிசெய்யப்பட்டது.
 
இதேபோல், ஐக்கிய நாடுகள், LinkedIn, லெனோவா, நைக் உள்ளிட்ட 25-க்கும் மேற்பட்ட சர்வதேச நிறுவனங்களின் இணையதளத்தில் இருந்த குறைபாட்டையும் கண்டறிந்துள்ளேன். அதற்காக நிறுவனங்கள் பரிசு வழங்கியும், கவுரவப்படுத்தியும் உள்ளன. மனிதர்கள் உருவாக்கும் இணையதளங்களில் குறைபாடுகள் ஏற்படுவது இயல்பானது தான். அவற்றின் பாதுகாப்பை உறுதி செய்ய குறைகளைக் கண்டறிவோரின் உதவி தவிர்க்க முடியாதது. ஆனால் வளர்ந்த நாடுகளில் அளிக்கப்படும் ஆதரவும், விழிப்புணா்வும் இந்தியாவில் போதிய அளவில் இல்லை. வருங்காலத்தில் மிகப்பெரிய மென்பொருள் தொழில்நுட்ப வல்லுநராக வருவதே எனது லட்சியம்'' என்கிறார் அவர்.