IRCTC वेबसाइट और मोबाइल ऐप पर भी पसर्नल डाटा चोरी का खतरा

0
963

बेंगलुरु। देश की सबसे बड़ी ई-कॉमर्स वेबसाइट इंडियन रेलवे कैटरिंग ऐंड टूरिज्म कॉर्पोरेशन (IRCTC) को अपनी वेबसाइट और ऐप में एक बड़ी खामी दूर करने में दो साल लग गए। हैकरों ने इस खामी को जरिया बनाया होता तो लाखों यात्रियों की पर्सनल इंफॉर्मेशन उनके हाथ लग गई होती।

सिक्यॉरिटी एडवाइजर अविनाश जैन ने कहा वह खामी IRCTC की वेबसाइट और मोबाइल ऐप लिंक में पकड़ी थी, जो फ्री ट्रैवल इंश्योरेंस के लिए थर्ड पार्टी इंश्योरेंस कंपनी से कनेक्ट होता है। उस बग के चलते हैकर्स को यात्रियों के नाम, उम्र, लिंग, यात्रा के विवरण और इंश्योरेंस नॉमिनी के नाम, उम्र और मोबाइल नंबर की जानकारी हो गई होती।

इसके बारे में IRCTC को तुरंत लिखित जानकारी देने वाले जैन ने कहा, ‘बग की जानकारी होने के 10 मिनट के भीतर हमने करीब 1000 यात्रियों और उनके इंश्योरेंस नॉमिनी की जानकारी पढ़ ली थी।’ IRCTC को बग की जानकारी 14 अगस्त को दी गई थी। यह खामी 29 अगस्त को दूर की जा सकी। रेलवे ने पहली सितंबर से मुफ्त अनिवार्य यात्रा बीमा देना बंद करने का निर्णय किया था।

उस दिन से यूजर्स को ट्रैवल इंश्योरेंस चुनने का विकल्प दिया जाने लगा। दिसंबर 2016 में IRCTC ने उसकी वेबसाइट या मोबाइल ऐप के जरिए टिकट बुक कराने वालों के लिए बाई डिफॉल्ट फ्री ट्रैवल इंश्योरेंस शुरू किया था। इसके तहत यात्रियों के विवरण थर्ड पार्टी इंश्योरर्स को दिए जाते थे। टिकट बुक होने के बाद नॉमिनी डिटेल्स संबंधित बीमा कंपनी की वेबसाइट पर भरी जाती हैं, जिससे यात्री के लिए एक एनक्रिप्टेड ट्रांजैक्शन आईडी जेनरेट होता है।

NASA, गूगल, पेटीएम सहित कई संस्थाओं और कंपनियों से अपने इसी तरह के काम के लिए पुरस्कार पा चुके जैन ने कहा, ‘यात्री की पर्सनल डिटेल्स हासिल करने के लिए हमें ट्रांजैक्शन आईडी और पैसेंजर नेम रिकॉर्ड नंबर का वैलिड कॉम्बिनेशन चाहिए था। हम एनक्रिप्टेड डेटा को डिकोड कर हम किसी भी यात्री की डिटेल्स हासिल कर सकते हैं।’