Exclusive:’IDOR’ ખામીને કારણે IRCTCના લાખો મુસાફરોનો સંવેદનશીલ ડેટા જોખમમાં
IRCTCની થર્ડ પાર્ટી વીમા કંપનીઓમાં લિબર્ટી જનરલ ઈન્સ્યોરન્સ લિમિટેડ અને SBI જનરલ ઈન્સ્યોરન્સ કો. લિ.નો સમાવેશ થાય છે. જૂન 2020 પછી IRCTC પોર્ટલ દ્વારા ટિકિટ બુક કરાવનારા મુસાફરોને બજાજ આલિયાન્ઝ જનરલ ઈન્સ્યોરન્સ કંપની લિમિટેડ દ્વારા વીમો પૂરો પાડવામાં આવ્યો હતો.
બ્રિટિશ ગણિતશાસ્ત્રી ક્લાઈવ હમ્બીનું (Clive Humby) કહેવું છે કે ડેટા એક પ્રકારનું નવું ઈંધણ છે અને હવે એવું લાગે છે કે આ ઈંધણ ભારતીય રેલવેના ઈ-ટિકિટ પોર્ટલમાંથી લીક થઈ રહ્યું છે. ઈન્ડિયન રેલ્વે કેટરિંગ એન્ડ ટુરિઝમ કોર્પોરેશન (IRCTC) પોર્ટલે વિશ્વનું સૌથી મોટું ટિકિટ બુકિંગ પોર્ટલ છે. વર્ષ 2021-22માં તેના પર લગભગ 4174.49 લાખ ટિકિટ બુક થઈ હતી, જેમાંથી તેને 38,178.32 કરોડ રૂપિયાની આવક થઈ હતી. પરંતુ TV9ના ખાસ ખુલાસામાં એ વાત સામે આવી છે કે આ પોર્ટલ ભલે ટિકિટિંગ સેવા વિશે અતિશયોક્તિભર્યા દાવા કરે છે, પરંતુ તેની સુરક્ષા ઘણી નબળી છે.
તપાસ દરમિયાન તે બહાર આવ્યું છે, જેને નેશનલ ક્રિટિકલ ઈન્ફર્મેશન ઈન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન સેન્ટર (NCIIPC) દ્વારા પણ સ્વીકારવામાં આવ્યું છે કે IRCTCની થર્ડ પાર્ટી ઈન્સ્યોરન્સની વેબસાઈટનો ઉપયોગ લાખો વપરાશકર્તાઓના સંવેદનશીલ ડેટાને હેક કરવા અને સંપાદિત કરવા માટે કરી શકાય છે.
જોખમમાં મુકાયેલી માહિતીમાં આઈઆરસીટીસીની વેબસાઈટ પરથી ટિકિટ બુક કરનારા લોકોના નામ, ફોન નંબર, મુસાફરીની વિગતો, નોમિનીની વિગતોનો સમાવેશ થાય છે.
જોખમમાં લાખો લોકોની માહિતી
સાયબર સિક્યોરિટી એક્સપર્ટ અવિનાશ જૈન, જેમણે થર્ડ પાર્ટી પોર્ટલની આ ખામીને પકડી હતી, જણાવ્યું હતું કે “તેમના APIમાં નંબર બદલીને, અમે કોઈપણ પેસેન્જર અને તેમના નોમિનીની માહિતી મેળવી શકીએ છીએ. આમાં ફેરફાર અથવા સુધારો પણ થઈ શકે છે. તેમના બંને API યોગ્ય સુરક્ષા પ્રણાલી દ્વારા સુરક્ષિત નથી. 3 મિનિટની અંદર અમે તેમને એક્સેસ કરવામાં સક્ષમ થયા અને લગભગ 1,000 મુસાફરોની માહિતી મેળવી.”
તેણે આગળ કહ્યું, “થોડી જ મિનિટોમાં અમારી સ્ક્રીન પર હજારો મુસાફરોનો ડેટા હતો. આ પોર્ટલને એક્સેસ કરવું ખૂબ જ સરળ છે, જેના કારણે તેની સુરક્ષા ઘણી નબળી છે. થોડા કલાકોમાં અમે લાખો મુસાફરોની માહિતી મેળવી શક્યા. આ IRCTCમાં ફરીથી કરી શકાય છે, જે અત્યાર સુધીનું સૌથી મોટું હેકિંગ હોઈ શકે છે.”
2016માં IRCTCએ તેના પોર્ટલ દ્વારા ઓનલાઈન બુક કરાયેલી તમામ ટિકિટો માટે મફત અકસ્માત વીમા કવર રજૂ કર્યું હતું. એકવાર ટિકિટ બુક થઈ જાય, IRCTC તેના થર્ડ પાર્ટી વીમા પ્રદાતા સાથે પેસેન્જરની તમામ વિગતો શેયર કરે છે. ટિકિટ બુક થયા પછી નોમિનેશનની માહિતી સંબંધિત વીમા કંપનીની સાઈટ પર ભરવાની રહેશે. જો નોમિનેશનની વિગતો ભરાઈ ન હોય તો દાવાના કિસ્સામાં કાનૂની વારસદાર સાથે સમાધાન કરવામાં આવશે.
IRCTCની થર્ડ પાર્ટી વીમા કંપનીઓમાં લિબર્ટી જનરલ ઈન્સ્યોરન્સ લિમિટેડ અને SBI જનરલ ઈન્સ્યોરન્સ કો. લિ.નો સમાવેશ થાય છે. જૂન 2020 પછી IRCTC પોર્ટલ દ્વારા ટિકિટ બુક કરાવનારા મુસાફરોને બજાજ આલિયાન્ઝ જનરલ ઈન્સ્યોરન્સ કંપની લિમિટેડ દ્વારા વીમો પૂરો પાડવામાં આવ્યો હતો.
સિક્યોરિટી એન્જિનિયર અસીમ શ્રેએ કહ્યું, “અમને બે વીમા કંપનીઓ મળી છે, બજાજ અને લિબર્ટી ઈન્સ્યોરન્સ, જેઓ તેમની વેબસાઈટમાં ખામીને કારણે મુસાફરોની માહિતીને જોખમમાં મૂકે છે. તેને IDOR (અસુરક્ષિત ડાયરેક્ટ ઑબ્જેક્ટ રેફરન્સ) કહેવામાં આવે છે. અમે આને પકડી લીધું છે. જ્યારે કોઈ મુસાફર તેની ફ્લાઈટ ટિકિટ IRCTCની એપ્લિકેશન દ્વારા બુક કરાવે છે, ત્યારે બજાજ ઈન્સ્યોરન્સની સાઈટ પર તેની માહિતી જોખમમાં મુકાય છે. લિબર્ટી ઈન્સ્યોરન્સ સાથે ટ્રેન ટિકિટ બુક કરતી વખતે આ જ વાત સામે આવી.
હેકિંગનો વીડિયો અહીં બતાવવામાં આવી રહ્યો છે
અધિકારીઓએ તેનો સ્વીકાર કર્યો હતો
આવી માહિતીનો ઉપયોગ મોટાપાયે ફિશીંગ માટે થઈ શકે છે. આવી ભૂલ અધિકારીઓની (આઈઆરસીટીસીની) આંખો ખોલવા માટે પૂરતી છે અને તેઓએ માત્ર તેમના પોર્ટલને બદલે તેમની થર્ડ પાર્ટી વેબસાઈટની ખામીઓ તપાસવી જોઈએ.
જ્યારે અમે આ થર્ડ પાર્ટી ઈન્સ્યોરન્સ કંપનીઓનો સંપર્ક કર્યો ત્યારે તેમની તરફથી કોઈ જવાબ મળ્યો ન હતો. પરંતુ નેશનલ ક્રિટિકલ ઈન્ફોર્મેશન ઈન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન સેન્ટર (NCIPC)એ આ ખામીને સ્વીકારી છે. એનસીઆઈઆઈપીસીની રચના ભારત સરકાર દ્વારા આઈટી એક્ટ, 2000ની કલમ 70 હેઠળ કરવામાં આવી હતી અને તે જટિલ માહિતી ઈન્ફ્રાસ્ટ્રક્ચર પ્રોટેક્શન માટેની રાષ્ટ્રીય નોડલ એજન્સી છે.
NCIIPC દ્વારા જાહેર કરવામાં આવેલા નિવેદનમાં કહેવામાં આવ્યું છે કે “અમે તમારા દ્વારા દર્શાવવામાં આવેલી ખામીઓને સ્વીકારીએ છીએ. અમે સંબંધિત પક્ષો સાથે તેની ચકાસણી કરવાની પ્રક્રિયામાં છીએ અને તેને સુધારવા માટે જરૂરી પગલાં લઈ રહ્યા છીએ અને તમારા સહકારની રાહ જોઈ રહ્યા છીએ.”