IRCTC ওয়েবসাইটে বড়সড় সুরক্ষা ত্রুটি, আপনার ট্রেন টিকিট বাতিল করতে পারে হ্যাকার

IRCTC ওয়েবসাইটের দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা যাত্রীদের বুক করা বোর্ডিং পয়েন্ট, খাবার অর্ডার, হোটেল বুকিং, ট্রাভেল প্যাকেজ ইত্যাদি পরিবর্তন এবং ট্রেনের টিকিট বাতিল করতে পারে

এখনকার সময়ে আমজনতার কাছে হ্যাকিংয়ের ঘটনা কোনো নতুন বিষয় নয়। প্রায়দিনই কোনো না কোনো হ্যাকিং কেলেঙ্কারি আমাদের সামনে আসে। তবে চমকে যাওয়ার বিষয় এটাই যে, এবার হ্যাকিংয়ের সাথে নাম জড়িয়েছে ভারতীয় রেলওয়ের গুরুত্বপূর্ণ অংশ IRCTC (আইআরসিটিসি)-র। ইন্ডিয়ান কম্পিউটার ইমার্জেন্সি রেসপন্স টিম (CERT-In)-র নিরাপত্তা গবেষক রেনগানাথন পি-এর বক্তব্য অনুযায়ী, IRCTC ওয়েবসাইটে সম্প্রতি একটি বড় দুর্বলতা পরিলক্ষিত হয়েছে, যা কোনো দুরাভিসন্ধিকে সহজেই লক্ষ লক্ষ যাত্রীর ব্যক্তিগত তথ্যে হাতিয়ে নেওয়ার সুযোগ দেয়। শুধু তাই নয়, এই IDOR (ইনসিকিউর ডাইরেক্ট অবজেক্ট রেফারেন্স) দুর্বলতাকে কাজে লাগিয়ে হ্যাকাররা যাত্রীদের বুক করা বোর্ডিং পয়েন্ট, খাবার অর্ডার, হোটেল বুকিং, ট্রাভেল প্যাকেজ ইত্যাদি পরিবর্তন এবং ট্রেনের টিকিট বাতিল করতে পারেন বলেও ওই গবেষকের মত।

IRCTC ওয়েবসাইটে নিরাপত্তা ত্রুটি

রেনগানাথন জানিয়েছেন যে তিনি গত ৩০শে আগস্ট, CERT-In (সিইআরটি-ইন)-কে আইআরসিটিসির সমস্যাটি রিপোর্ট করেন। এরপর গোটা ঘটনা জেনে, ৪ঠা সেপ্টেম্বর IDOR (আইডিওআর) দুর্বলতাটি সংস্থার তরফে ঠিক করা হয়। গত ১১ই সেপ্টেম্বর আইআরসিটিসি এই ত্রুটির কথা স্বীকার করে।

এই প্রসঙ্গে বলে রাখি, আইআরসিটিসি প্ল্যাটফর্মে দুর্বলতাটি কত দিন থেকে ছিল তা জানা করা যায়নি। তাছাড়া, এই দুর্বলতাকে কাজে লাগিয়ে কোনো যাত্রীর তথ্যের সাথে কাটাছেঁড়া করা হয়েছে কিনা বা প্ল্যাটফর্মের কোনো ইউজার এই প্রযুক্তিগত সমস্যার কারণে সরাসরি প্রভাবিত হয়েছে কিনা তাও স্পষ্ট নয়। তবে যেহেতু আইআরসিটিসি ওয়েবসাইটের মাধ্যমে বহু মানুষ টিকিট বুকিং করে থাকেন, তাই এই দুর্বলতার প্রভাব সম্পর্কে অস্বস্তি থেকে যাওয়াই স্বাভাবিক!

কীভাবে IRCTC প্ল্যাটফর্মের দুর্বলতা সামনে আসে?

রেনগানাথনের মতে, তিনি একদিন অন্যান্য সাধারণ ইউজারের মতই আইআরসিটিসিতে টিকিট বুক করছিলেন। কিন্তু তখন হঠাৎ করেই প্ল্যাটফর্মে কোনো দুর্বলতা আছে কিনা তা দেখার ইচ্ছে তাঁর মাথায় আসে। বার্প স্যুটের (ত্রুটি খোঁজা টুল) মাধ্যমে তিনি দেখেন, অ্যাকাউন্টের টিকিট হিস্ট্রি অপশনে যেকোনো টিকিটে ক্লিক করলেই অন্যের টিকিটের অ্যাক্সেস পাওয়া যাবে। সেক্ষেত্রে এই আইডিওআর দুর্বলতার মাধ্যমে বহু ইউজারের লেনদেন, টিকিটের বিবরণ (ট্রেন নম্বর, ট্রেন ছাড়ার সময়, ভ্রমণের সময়কাল, পিএনআর নম্বর, টিকিটের অবস্থা, বোর্ডিং স্টেশন, যাত্রীদের তথ্য ইত্যাদি) তাঁর হাতে এসেছে বলেও অকপটে জানিয়েছেন রেনগানাথন।

হোয়াটসঅ্যাপে খবর পেতে এখানে ক্লিক করুন

সবার আগে খবর পেতে Google News-এ ফলো করুন