ஐஆர்சிடிசி இணையதளத்தில் முன்பதிவு விவரங்கள் பாதுகாப்பில் குறைபாடு: சென்னையைச் சேர்ந்த பள்ளி மாணவன் கண்டுபிடித்தார்
ஐஆர்சிடிசி இணையதளத்தில் முன்பதிவு விவரங்கள் பாதுகாப்பில் உள்ள குறைபாட்டை சென்னையைச் சேர்ந்த 17 வயது பள்ளி மாணவன் கண்டு பிடித்துள்ளார். ரயில் முன்பதிவு தளமான ஐஆர்சிடிசி-யில் முன்பதிவு செய்த நபர்களுக்குத் தெரியாமலேயே அவர்களின் பயண விவரத்தை காணவும், புறப்படும் இடத்தை மாற்றவும், டிக்கெட்டை ரத்து செய்யவும் கூடிய ‘பாதுகாப்பற்ற நேரடி குறிப்புகள்’ (IDOR)) என்றகுறைபாட்டை, சென்னை தாம்பரத்தைச் சேர்ந்த பா.ரங்கநாதன் என்ற 17 வயது பள்ளி மாணவன்கண்டறிந்துள்ளார். இவர் சென்னைசேலையூரில் உள்ள சியான்மெட்ரிக்குலேஷன் மேல்நிலைப்பள்ளியில் 12-ம் வகுப்பு வணிகவியல் பிரிவில் படித்து வருகிறார்.
இதுகுறித்து மாணவன் ரங்கநாதன் கூறியதாவது:
உறவினர் ஒருவரின் ரயில்பயணத்துக்காக கடந்த ஆக.30-ம்தேதி ஐஆர்சிடிசி தளத்தில் முன்பதிவு செய்தேன். அப்போது,வலைதளம் இயங்கும் மென்பொருள் மொழி (Coding) குறித்து தற்செயலாக ஆராய்ந்தபோது, அதில் சில குறைபாடு இருப்பதைக் கண்டுபிடித்தேன். அதாவது, முன்பதிவு செய்தவர்களின் பரிவர்த்தனை ஐடியை கோடிங் மூலமாக எடுக்க முடிந்தது.
இதன்மூலம் முன்பதிவு செய்தவர்களுக்கு தெரியாமலேயே உணவு ஆர்டர், புறப்படும் இடத்தைமாற்றியமைப்பது, டிக்கெட்டை ரத்து செய்வது உள்ளிட்ட எல்லாவற்றையும் செய்யமுடியும். இவை சாதாரணமாகத் தெரிந்தாலும், ரயிலில் முன்பதிவு செய்து பயணம் செய்யும் லட்சக்கணக்கான மக்களின் தரவுகள் தவறான நபர்களின் கைகளில் கிடைக்க அதிக வாய்ப்பு உள்ளது.
இந்தக் குறைபாடு குறித்து இந்தியக் கணினி அவசர நடவடிக்கை குழுவுக்கு (CERT-IN) மின்னஞ்சல் மூலமாக ஆக.30-ம்தேதி தெரியப்படுத்தினேன். அதன்படி, அக்குழு 2 மணி நேரத்தில் மின்னஞ்சல் மூலமாக என்னைத் தொடர்பு கொண்டு, குறைபாட்டைச் சரி செய்வதாக உறுதியளித்தது. அதன்படி, இந்தக் குறைபாடு செப்.4-ம் தேதி சரிசெய்யப்பட்டது.
இதேபோல், ஐநா, லிங்க்டுஇன்,லினோவா, நைக் உள்ளிட்ட 20-க்கும் மேற்பட்ட சர்வதேசநிறுவனங்களின் இணையதளத்திலிருந்த குறைபாட்டையும் கண்டறிந்துள்ளேன். அதற்காக நிறுவனங்கள் பரிசு வழங்கியும், கவுரவப்படுத்தியும் உள்ளன. வருங்காலத்தில் மிகப்பெரிய மென்பொருள் தொழில்நுட்ப வல்லுநராக வருவதே எனது லட்சியம். இவ்வாறு அவர் தெரிவித்தார்"
ஐஆர்சிடிசி இணையதளத்தில் முன்பதிவு விவரங்கள் பாதுகாப்பில் உள்ள குறைபாட்டை சென்னையைச் சேர்ந்த 17 வயது பள்ளி மாணவன் கண்டு பிடித்துள்ளார். ரயில் முன்பதிவு தளமான ஐஆர்சிடிசி-யில் முன்பதிவு செய்த நபர்களுக்குத் தெரியாமலேயே அவர்களின் பயண விவரத்தை காணவும், புறப்படும் இடத்தை மாற்றவும், டிக்கெட்டை ரத்து செய்யவும் கூடிய ‘பாதுகாப்பற்ற நேரடி குறிப்புகள்’ (IDOR)) என்றகுறைபாட்டை, சென்னை தாம்பரத்தைச் சேர்ந்த பா.ரங்கநாதன் என்ற 17 வயது பள்ளி மாணவன்கண்டறிந்துள்ளார். இவர் சென்னைசேலையூரில் உள்ள சியான்மெட்ரிக்குலேஷன் மேல்நிலைப்பள்ளியில் 12-ம் வகுப்பு வணிகவியல் பிரிவில் படித்து வருகிறார்.
இதுகுறித்து மாணவன் ரங்கநாதன் கூறியதாவது:
உறவினர் ஒருவரின் ரயில்பயணத்துக்காக கடந்த ஆக.30-ம்தேதி ஐஆர்சிடிசி தளத்தில் முன்பதிவு செய்தேன். அப்போது,வலைதளம் இயங்கும் மென்பொருள் மொழி (Coding) குறித்து தற்செயலாக ஆராய்ந்தபோது, அதில் சில குறைபாடு இருப்பதைக் கண்டுபிடித்தேன். அதாவது, முன்பதிவு செய்தவர்களின் பரிவர்த்தனை ஐடியை கோடிங் மூலமாக எடுக்க முடிந்தது.
இதன்மூலம் முன்பதிவு செய்தவர்களுக்கு தெரியாமலேயே உணவு ஆர்டர், புறப்படும் இடத்தைமாற்றியமைப்பது, டிக்கெட்டை ரத்து செய்வது உள்ளிட்ட எல்லாவற்றையும் செய்யமுடியும். இவை சாதாரணமாகத் தெரிந்தாலும், ரயிலில் முன்பதிவு செய்து பயணம் செய்யும் லட்சக்கணக்கான மக்களின் தரவுகள் தவறான நபர்களின் கைகளில் கிடைக்க அதிக வாய்ப்பு உள்ளது.
இந்தக் குறைபாடு குறித்து இந்தியக் கணினி அவசர நடவடிக்கை குழுவுக்கு (CERT-IN) மின்னஞ்சல் மூலமாக ஆக.30-ம்தேதி தெரியப்படுத்தினேன். அதன்படி, அக்குழு 2 மணி நேரத்தில் மின்னஞ்சல் மூலமாக என்னைத் தொடர்பு கொண்டு, குறைபாட்டைச் சரி செய்வதாக உறுதியளித்தது. அதன்படி, இந்தக் குறைபாடு செப்.4-ம் தேதி சரிசெய்யப்பட்டது.
இதேபோல், ஐநா, லிங்க்டுஇன்,லினோவா, நைக் உள்ளிட்ட 20-க்கும் மேற்பட்ட சர்வதேசநிறுவனங்களின் இணையதளத்திலிருந்த குறைபாட்டையும் கண்டறிந்துள்ளேன். அதற்காக நிறுவனங்கள் பரிசு வழங்கியும், கவுரவப்படுத்தியும் உள்ளன. வருங்காலத்தில் மிகப்பெரிய மென்பொருள் தொழில்நுட்ப வல்லுநராக வருவதே எனது லட்சியம். இவ்வாறு அவர் தெரிவித்தார்"
No comments:
Post a Comment