Exclusive:’IDOR’ ખામીને કારણે IRCTCના લાખો મુસાફરોનો સંવેદનશીલ ડેટા જોખમમાં

Exclusive:'IDOR' ખામીને કારણે IRCTCના લાખો મુસાફરોનો સંવેદનશીલ ડેટા જોખમમાં
File Image

IRCTCની થર્ડ પાર્ટી વીમા કંપનીઓમાં લિબર્ટી જનરલ ઈન્સ્યોરન્સ લિમિટેડ અને SBI જનરલ ઈન્સ્યોરન્સ કો. લિ.નો સમાવેશ થાય છે. જૂન 2020 પછી IRCTC પોર્ટલ દ્વારા ટિકિટ બુક કરાવનારા મુસાફરોને બજાજ આલિયાન્ઝ જનરલ ઈન્સ્યોરન્સ કંપની લિમિટેડ દ્વારા વીમો પૂરો પાડવામાં આવ્યો હતો.

TV9 GUJARATI

| Edited By: Kunjan Shukal

May 17, 2022 | 5:05 PM

બ્રિટિશ ગણિતશાસ્ત્રી ક્લાઈવ હમ્બીનું (Clive Humby) કહેવું છે કે ડેટા એક પ્રકારનું નવું ઈંધણ છે અને હવે એવું લાગે છે કે આ ઈંધણ ભારતીય રેલવેના ઈ-ટિકિટ પોર્ટલમાંથી લીક થઈ રહ્યું છે. ઈન્ડિયન રેલ્વે કેટરિંગ એન્ડ ટુરિઝમ કોર્પોરેશન (IRCTC) પોર્ટલે વિશ્વનું સૌથી મોટું ટિકિટ બુકિંગ પોર્ટલ છે. વર્ષ 2021-22માં તેના પર લગભગ 4174.49 લાખ ટિકિટ બુક થઈ હતી, જેમાંથી તેને 38,178.32 કરોડ રૂપિયાની આવક થઈ હતી. પરંતુ TV9ના ખાસ ખુલાસામાં એ વાત સામે આવી છે કે આ પોર્ટલ ભલે ટિકિટિંગ સેવા વિશે અતિશયોક્તિભર્યા દાવા કરે છે, પરંતુ તેની સુરક્ષા ઘણી નબળી છે.

તપાસ દરમિયાન તે બહાર આવ્યું છે, જેને નેશનલ ક્રિટિકલ ઈન્ફર્મેશન ઈન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન સેન્ટર (NCIIPC) દ્વારા પણ સ્વીકારવામાં આવ્યું છે કે IRCTCની થર્ડ પાર્ટી ઈન્સ્યોરન્સની વેબસાઈટનો ઉપયોગ લાખો વપરાશકર્તાઓના સંવેદનશીલ ડેટાને હેક કરવા અને સંપાદિત કરવા માટે કરી શકાય છે.

જોખમમાં મુકાયેલી માહિતીમાં આઈઆરસીટીસીની વેબસાઈટ પરથી ટિકિટ બુક કરનારા લોકોના નામ, ફોન નંબર, મુસાફરીની વિગતો, નોમિનીની વિગતોનો સમાવેશ થાય છે.

જોખમમાં લાખો લોકોની માહિતી

સાયબર સિક્યોરિટી એક્સપર્ટ અવિનાશ જૈન, જેમણે થર્ડ પાર્ટી પોર્ટલની આ ખામીને પકડી હતી, જણાવ્યું હતું કે “તેમના APIમાં નંબર બદલીને, અમે કોઈપણ પેસેન્જર અને તેમના નોમિનીની માહિતી મેળવી શકીએ છીએ. આમાં ફેરફાર અથવા સુધારો પણ થઈ શકે છે. તેમના બંને API યોગ્ય સુરક્ષા પ્રણાલી દ્વારા સુરક્ષિત નથી. 3 મિનિટની અંદર અમે તેમને એક્સેસ કરવામાં સક્ષમ થયા અને લગભગ 1,000 મુસાફરોની માહિતી મેળવી.”

તેણે આગળ કહ્યું, “થોડી જ મિનિટોમાં અમારી સ્ક્રીન પર હજારો મુસાફરોનો ડેટા હતો. આ પોર્ટલને એક્સેસ કરવું ખૂબ જ સરળ છે, જેના કારણે તેની સુરક્ષા ઘણી નબળી છે. થોડા કલાકોમાં અમે લાખો મુસાફરોની માહિતી મેળવી શક્યા. આ IRCTCમાં ફરીથી કરી શકાય છે, જે અત્યાર સુધીનું સૌથી મોટું હેકિંગ હોઈ શકે છે.”

2016માં IRCTCએ તેના પોર્ટલ દ્વારા ઓનલાઈન બુક કરાયેલી તમામ ટિકિટો માટે મફત અકસ્માત વીમા કવર રજૂ કર્યું હતું. એકવાર ટિકિટ બુક થઈ જાય, IRCTC તેના થર્ડ પાર્ટી વીમા પ્રદાતા સાથે પેસેન્જરની તમામ વિગતો શેયર કરે છે. ટિકિટ બુક થયા પછી નોમિનેશનની માહિતી સંબંધિત વીમા કંપનીની સાઈટ પર ભરવાની રહેશે. જો નોમિનેશનની વિગતો ભરાઈ ન હોય તો દાવાના કિસ્સામાં કાનૂની વારસદાર સાથે સમાધાન કરવામાં આવશે.

IRCTCની થર્ડ પાર્ટી વીમા કંપનીઓમાં લિબર્ટી જનરલ ઈન્સ્યોરન્સ લિમિટેડ અને SBI જનરલ ઈન્સ્યોરન્સ કો. લિ.નો સમાવેશ થાય છે. જૂન 2020 પછી IRCTC પોર્ટલ દ્વારા ટિકિટ બુક કરાવનારા મુસાફરોને બજાજ આલિયાન્ઝ જનરલ ઈન્સ્યોરન્સ કંપની લિમિટેડ દ્વારા વીમો પૂરો પાડવામાં આવ્યો હતો.

સિક્યોરિટી એન્જિનિયર અસીમ શ્રેએ કહ્યું, “અમને બે વીમા કંપનીઓ મળી છે, બજાજ અને લિબર્ટી ઈન્સ્યોરન્સ, જેઓ તેમની વેબસાઈટમાં ખામીને કારણે મુસાફરોની માહિતીને જોખમમાં મૂકે છે. તેને IDOR (અસુરક્ષિત ડાયરેક્ટ ઑબ્જેક્ટ રેફરન્સ) કહેવામાં આવે છે. અમે આને પકડી લીધું છે. જ્યારે કોઈ મુસાફર તેની ફ્લાઈટ ટિકિટ IRCTCની એપ્લિકેશન દ્વારા બુક કરાવે છે, ત્યારે બજાજ ઈન્સ્યોરન્સની સાઈટ પર તેની માહિતી જોખમમાં મુકાય છે. લિબર્ટી ઈન્સ્યોરન્સ સાથે ટ્રેન ટિકિટ બુક કરતી વખતે આ જ વાત સામે આવી.

હેકિંગનો વીડિયો અહીં બતાવવામાં આવી રહ્યો છે

અધિકારીઓએ તેનો સ્વીકાર કર્યો હતો

આવી માહિતીનો ઉપયોગ મોટાપાયે ફિશીંગ માટે થઈ શકે છે. આવી ભૂલ અધિકારીઓની (આઈઆરસીટીસીની) આંખો ખોલવા માટે પૂરતી છે અને તેઓએ માત્ર તેમના પોર્ટલને બદલે તેમની થર્ડ પાર્ટી વેબસાઈટની ખામીઓ તપાસવી જોઈએ.

જ્યારે અમે આ થર્ડ પાર્ટી ઈન્સ્યોરન્સ કંપનીઓનો સંપર્ક કર્યો ત્યારે તેમની તરફથી કોઈ જવાબ મળ્યો ન હતો. પરંતુ નેશનલ ક્રિટિકલ ઈન્ફોર્મેશન ઈન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન સેન્ટર (NCIPC)એ આ ખામીને સ્વીકારી છે. એનસીઆઈઆઈપીસીની રચના ભારત સરકાર દ્વારા આઈટી એક્ટ, 2000ની કલમ 70 હેઠળ કરવામાં આવી હતી અને તે જટિલ માહિતી ઈન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન માટેની રાષ્ટ્રીય નોડલ એજન્સી છે.

NCIIPC દ્વારા જાહેર કરવામાં આવેલા નિવેદનમાં કહેવામાં આવ્યું છે કે “અમે તમારા દ્વારા દર્શાવવામાં આવેલી ખામીઓને સ્વીકારીએ છીએ. અમે સંબંધિત પક્ષો સાથે તેની ચકાસણી કરવાની પ્રક્રિયામાં છીએ અને તેને સુધારવા માટે જરૂરી પગલાં લઈ રહ્યા છીએ અને તમારા સહકારની રાહ જોઈ રહ્યા છીએ.”

Follow us on

Related Stories

Most Read Stories

Click on your DTH Provider to Add TV9 Gujarati