17 साल के एथिकल हैकर रंगनाथन बने यूथ इंसपीरेशन, IRCTC से लेकर LinkedIn जैसी साइट्स पर निकाली खामियां

17 साल के पी रंगनाथन कॉमर्स के छात्र हैं। लॉकडाउन के दौरान उन्होंने पढ़ाई के दौरान ऑनलाइन एथिकल हैकिंग सीखना शुरू किया। आज उन्होंने कई राष्ट्रीय और अंतरराष्ट्रीय वेबसाइटों में खामियां ढूंढ़कर उन्हें सुधारा है।

अन्य बच्चों की तरह, पी. रंगनाथन भी कंप्यूटर स्क्रीन पर काफी समय बिताते हैं, लेकिन वह अपना समय ऑनलाइन गेम खेलने या सीरीज देखने में बर्बाद नहीं करते हैं। वह अपने खाली समय में बग बाउंटी करते हैं और यही खासियत उन्हें दूसरे बच्चों से अलग बनाती है।

रेलवे साइट पर मिली बड़ी खामी

एक दिन रंगनाथन अपने परिवार के एक सदस्य के लिए ट्रेन में सीट बुक करने के लिए आईआरसीटीसी (IRCTC) की वेबसाइट पर गए। उन्होंने वहां एक बड़ी खामी पाई। हालांकि यह महज एक संयोग था। वे कहते हैं, ''ऐसा नहीं था कि मैं बग ढूंढ रहा था, दरअसल, मैं ऑनलाइन टिकट बुक कर रहा था। जैसे ही मैंने टिकट बुकिंग के लिए सभी औपचारिकताएं पूरी कीं, मुझे वेबसाइट पर असुरक्षित प्रत्यक्ष वस्तु आईडीओआर भेद्यता मिली।

सीधे शब्दों में कहें तो, उन्हें एक सुरक्षा खामी मिली जो इस ऐप के लिए खतरा थी। इस प्रकार की भेद्यता को अक्सर डेवलपर्स द्वारा अनदेखा कर दिया जाता है और यह सर्वर पर डेटा के लिए एक गंभीर खतरा बन जाता है। एक भेद्यता और कुछ नहीं बल्कि साइट पर एक सुरक्षा खामी है, जो वहां नहीं होनी चाहिए।"

दरअसल, बग बाउंटी हंटर्स का काम वेबसाइट पर मौजूद किसी भी खतरे या खामियों को ढूंढ़ना और उन्हें वेबसाइट के मालिक के संज्ञान में लाना है। विदेशों में ऐसे संगठन हैं जो बग हंटर्स को उनके काम के लिए भुगतान करते हैं ताकि वे खामियों का पता लगा सकें और रिपोर्ट कर सकें। लेकिन भारत में ऐसा नहीं होता है। रंगनाथन कहते हैं, "बग बाउंटी हंटर्स को बग की गंभीरता के आधार पर भुगतान किया जाता है। यानी जितने नुकसान का पता लगाया गया दोष से हो सकता था, उस नुकसान के आधार पर उन्हें मुआवजे के तौर पर पैसा दिया जाता है.

यह बग क्या था?

रेलवे की वेबसाइट पर भेद्यता की गंभीरता के बारे में विस्तार से बताते हुए, वे कहते हैं, “मैंने बुकिंग के समय वेबसाइट पर एक बड़ी सुरक्षा खामी देखी। दरअसल, यह एक बग था जो मुझे अन्य यात्रियों के सभी विवरण जैसे उनका नाम, लिंग, आयु, पीएनआर नंबर, ट्रेन विवरण और प्रस्थान स्टेशन की जानकारी तक पहुंचने की अनुमति दे रहा था।

वह आगे कहते हैं, “मैं उस बग के कारण किसी यात्री की यात्रा बदल सकता था या उसकी यात्रा रद्द भी कर सकता था। उनके नाम पर खाना भी मंगवा सकते थे। ये बदलाव बहुत आसानी से किए जा सकते थे और वो भी इस तरह से कि यात्री को पता भी नहीं चलता।

सुरक्षा के लिहाज से भी यह बग एक बड़ा खतरा था। अगर कोई हैकर इस तक पहुंच जाता तो वह आसानी से करोड़ों लोगों की डीटेल्स को खंगाल कर उड़ा सकता था, फिलहाल इस खामी को दूर कर लिया गया है। अब हर यात्री को 13 अंकों की ट्रांजेक्शन आईडी दी जाएगी।

रंगनाथन को जानकारी देने पर मिला प्रशंसा पत्र

रंगनाथन ने 30 अगस्त 2021 को दोष के बारे में जागरूक होने के बाद तुरंत भारत की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी) को सतर्क कर दिया। सीईआरटी इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय, भारत सरकार की एक नोडल एजेंसी है। इसे साइबर सुरक्षा खतरों 'हैकिंग और फ़िशिंग' से निपटने के लिए डिज़ाइन किया गया है। इसके तहत रिस्पॉन्सिबल डिस्क्लेमर प्रोग्राम भी चलाए जाते हैं। जहां एथिकल हैकर्स उन्हें किसी भी वेबसाइट पर मौजूद खामियों की जानकारी दे सकते हैं।

सीईआरटी को इसकी सूचना दिए जाने के आधे घंटे के भीतर रंगनाथन को टिकट नंबर दे दिया गया और कुछ दिनों बाद समस्या का समाधान भी हो गया। वे कहते हैं, “मैंने चार दिनों के बाद साइट का दौरा किया और पाया कि खराबी को ठीक कर लिया गया है। एक हफ्ते बाद, मुझे इसे आधिकारिक तौर पर ठीक करने के लिए एक अधिसूचना भी भेजी गई थी। कुछ समय बाद, रंगनाथन को उनके काम के लिए एक प्रशस्ति पत्र भी दिया गया।

रंगनाथन ने साबित किया प्रसिद्धि की कोई दीवार नहीं होती

कई हैकर्स हैं जो लगातार वेबसाइटों में बग्स की तलाश में रहते हैं। रंगनाथन ने कहा, 'लेकिन ऐसा ज्यादातर भारत के बाहर यानी विदेशों में होता है। क्योंकि नीदरलैंड और यूएसए जैसे देश बग बाउंटी हंटर्स को उनके काम के लिए पैसे देते हैं और कभी-कभी कुछ दिलचस्प चीजें जैसे टी-शर्ट आदि भी दी जाती हैं और भारत में हमें केवल प्रशंसापत्र या ईमेल मिलते हैं।

रंगनाथन के मुताबिक, अमेरिकी रक्षा विभाग खुलासे का एक कार्यक्रम चलाता है, जिसमें वॉल ऑफ फेम ऑफ हैकरोन पर ऐसे एथिकल हैकर्स के नाम लिखे होते हैं।

यह उनका पहला प्रयास नहीं था

अक्टूबर 2020 में, उन्हें लिंक्डइन की साइट पर एक बग भी मिला। इस बग के जरिए किसी भी यूजर का फोन सिर्फ एक इनविटेशन रिक्वेस्ट भेजकर क्रैश हो सकता है। रंगनाथन ने कहा, “कनेक्शन अनुरोध 300 शब्दों में भेजा जा सकता था। मैंने इन शब्दों की सीमा लाखों तक बढ़ा दी है। ऐप पूरे टेक्स्ट को हैंडल नहीं कर सका और बदले में सिस्टम क्रैश हो गया। लिंक्डइन ने भी मेरे काम को स्वीकार किया और मुझे धन्यवाद दिया, लेकिन इसके लिए भुगतान नहीं किया।"

UN, BYGU'S, LinkedIn और Nike कुछ अन्य वेबसाइटें हैं जिन पर रंगनाथन को बग मिले। इसके लिए उनका धन्यवाद किया गया। रंगनाथन को अब तक इस काम के लिए 100 डॉलर से ज्यादा मिल चुके हैं और कई विदेशी कंपनियों से तारीफ भी मिल चुकी है।

उन्होंने यह कहते हुए निष्कर्ष निकाला, “कई माता-पिता हैं जो बच्चों को ऑनलाइन बहुत अधिक समय बिताना पसंद नहीं करते हैं। लेकिन मैं जो कुछ भी कर रहा हूं, मेरे माता-पिता बहुत खुश हैं और उन्हें भी मुझ पर गर्व है।”

यह भी पढ़ें: आइस ऐज के विशालकाय ‘मैमथ’ की होगी धरती पर वापसी, वैज्ञानिक कर सकते हैं इस असंभव कार्य को मुमकिन