IRCTC ওয়েবসাইটে বড়সড় সুরক্ষা ত্রুটি, আপনার ট্রেন টিকিট বাতিল করতে পারে হ্যাকার

IRCTC ওয়েবসাইটের দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা যাত্রীদের বুক করা বোর্ডিং পয়েন্ট, খাবার অর্ডার, হোটেল বুকিং, ট্রাভেল প্যাকেজ ইত্যাদি পরিবর্তন এবং ট্রেনের টিকিট বাতিল করতে পারে

irctc-website-vulnerability-hacker-can-cancel-booking-train-tickets

এখনকার সময়ে আমজনতার কাছে হ্যাকিংয়ের ঘটনা কোনো নতুন বিষয় নয়। প্রায়দিনই কোনো না কোনো হ্যাকিং কেলেঙ্কারি আমাদের সামনে আসে। তবে চমকে যাওয়ার বিষয় এটাই যে, এবার হ্যাকিংয়ের সাথে নাম জড়িয়েছে ভারতীয় রেলওয়ের গুরুত্বপূর্ণ অংশ IRCTC (আইআরসিটিসি)-র। ইন্ডিয়ান কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-In)-র নিরাপত্তা গবেষক রেনগানাথন পি-এর বক্তব্য অনুযায়ী, IRCTC ওয়েবসাইটে সম্প্রতি একটি বড় দুর্বলতা পরিলক্ষিত হয়েছে, যা কোনো দুরাভিসন্ধিকে সহজেই লক্ষ লক্ষ যাত্রীর ব্যক্তিগত তথ্যে হাতিয়ে নেওয়ার সুযোগ দেয়। শুধু তাই নয়, এই IDOR (ইনসিকিউর ডাইরেক্ট অবজেক্ট রেফারেন্স) দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা যাত্রীদের বুক করা বোর্ডিং পয়েন্ট, খাবার অর্ডার, হোটেল বুকিং, ট্রাভেল প্যাকেজ ইত্যাদি পরিবর্তন এবং ট্রেনের টিকিট বাতিল করতে পারেন বলেও ওই গবেষকের মত।

IRCTC ওয়েবসাইটে নিরাপত্তা ত্রুটি

রেনগানাথন জানিয়েছেন যে তিনি গত ৩০শে আগস্ট, CERT-In (সিইআরটি-ইন)-কে আইআরসিটিসির সমস্যাটি রিপোর্ট করেন। এরপর গোটা ঘটনা জেনে, ৪ঠা সেপ্টেম্বর IDOR (আইডিওআর) দুর্বলতাটি সংস্থার তরফে ঠিক করা হয়। গত ১১ই সেপ্টেম্বর আইআরসিটিসি এই ত্রুটির কথা স্বীকার করে।

এই প্রসঙ্গে বলে রাখি, আইআরসিটিসি প্ল্যাটফর্মে দুর্বলতাটি কত দিন থেকে ছিল তা জানা করা যায়নি। তাছাড়া, এই দুর্বলতাকে কাজে লাগিয়ে কোনো যাত্রীর তথ্যের সাথে কাটাছেঁড়া করা হয়েছে কিনা বা প্ল্যাটফর্মের কোনো ইউজার এই প্রযুক্তিগত সমস্যার কারণে সরাসরি প্রভাবিত হয়েছে কিনা তাও স্পষ্ট নয়। তবে যেহেতু আইআরসিটিসি ওয়েবসাইটের মাধ্যমে বহু মানুষ টিকিট বুকিং করে থাকেন, তাই এই দুর্বলতার প্রভাব সম্পর্কে অস্বস্তি থেকে যাওয়াই স্বাভাবিক!

কীভাবে IRCTC প্ল্যাটফর্মের দুর্বলতা সামনে আসে?

রেনগানাথনের মতে, তিনি একদিন অন্যান্য সাধারণ ইউজারের মতই আইআরসিটিসিতে টিকিট বুক করছিলেন। কিন্তু তখন হঠাৎ করেই প্ল্যাটফর্মে কোনো দুর্বলতা আছে কিনা তা দেখার ইচ্ছে তাঁর মাথায় আসে। বার্প স্যুটের (ত্রুটি খোঁজা টুল) মাধ্যমে তিনি দেখেন, অ্যাকাউন্টের টিকিট হিস্ট্রি অপশনে যেকোনো টিকিটে ক্লিক করলেই অন্যের টিকিটের অ্যাক্সেস পাওয়া যাবে। সেক্ষেত্রে এই আইডিওআর দুর্বলতার মাধ্যমে বহু ইউজারের লেনদেন, টিকিটের বিবরণ (ট্রেন নম্বর, ট্রেন ছাড়ার সময়, ভ্রমণের সময়কাল, পিএনআর নম্বর, টিকিটের অবস্থা, বোর্ডিং স্টেশন, যাত্রীদের তথ্য ইত্যাদি) তাঁর হাতে এসেছে বলেও অকপটে জানিয়েছেন রেনগানাথন।

হোয়াটসঅ্যাপে খবর পেতে এখানে ক্লিক করুন

A person who enjoys creating, buying, testing, evaluating and learning about new technology.