දුරකථන සන්නිවේදන ජාලයක ප්‍රධාන වගකීම් අතුරින් එකක් වන්නේ තම ග්‍රාහකයන්ගේ පෞද්ගලික තොරතුරු වල රහස්‍යභාවය රැකීමයි. නමුත් අපට ආරංචි වූවේ Sri Lankaවේ ප්‍රමුඛ පෙලේ දුරකථන සන්නිවේදන සේවා සපයන ආයතනයක් වන Mobitel සමාගමේ SIM Change option එක හරහා පරිශීලකයන්ගේ ජංගම දුරකථන අංකයට අදාල ජාතික හැඳුනුම් පත් අංක ලබාගත හැකි බවයි. දිලුම් නවංජන විසින් මේ පිළිබඳ සොයාගෙන ඇති අතර එය Mobitel සමාගමට දැනුම් දීමෙන් අනතුරුව එය ප්‍රතිචාර නොදැවීම හේතුවෙන් 2020 ජූනි 20 දින ඔහු බ්ලොග් සටහනක් මගින් එය ප්‍රකාශයට පත් කර ඇත.

Mobitel API expose NIC number
Nothing Personal
දිලුම් නවන්ජන විසින් ඔහුගේ බ්ලොග් අඩවියේ තැබූ බ්ලොග් සටහන

එම බ්ලොග් සටහනට අනුව මෙය form validation එකක ඇති ප්‍රශ්නයකි. ඔහු මේ බව සොයාගත් විගසම Mobitel ආයතනයට දන්වා ඇති අතර ඒ සඳහා ඔහු පහතාකාරයෙන් Mobitel සමාගම සම්බන්ධ කරගෙන ඇත.

  • ඊමේල් පණිවුඩ දෙකක්
  • Mobitel සමාගමේ Facebook පිටුව හරහා සම්බන්ධ වීම
  • Mobitel ආයතනයේ සේවය කරන ඔහුගේ මිතුරෙකු හරහා දැනුම් දීම

මේ කිසිවකටත් ඔහුට ප්‍රතිචාරයක් නොලැබුනු බැවින් ඔහු විසින් එය බග් එකක් නොව feature එකක් ලෙස සලකා මෙම form validation එකේ දුර්වලතාවය හෙලි කර ඇත.

එහිදී ඔහු විසින් භාවිතා කර ඇත්තේ පහත දැක්වෙන Sim Change form එකයි.

ඉහත දැක්වෙන ආකාරයට අපට submission form එක හරහා තොරතුරු ලබා ගැනීමට නම් ඉහත fields 4ටම data ලබා දිය යුතුය. ඒ එක් එක් field එකට ඔවුන් විසින් data validate කරන්න API calls 4ක් භාවිතා කරනවා.

පළවෙනි API call එකෙන් ඔවුන් mobile number එක backend එකට යවලා පරීක්ෂා කරනවා එය නිවැරදිද නැද්ද යන වග. දෙවෙනි API call එකේදි නැවතත් ඔවුන් විසින් mobile number එක පමණක් යවනවා NIC number එක validate කරන්න. ඉන් පසුව එම API call එකට ප්‍රතිචාර ලෙස ඔබ විසින් ඇතුලත් කල mobile number එකට අදාල NIC එක ලබාදෙනවා. එහිදී එම දුරකථන අංකයට අදාල NIC number එක වැරදි හෝ නිවැරදිද යන්න වග පරීක්ෂා කරනු ලබන්නේ frontend එකේදීය.

ඒ අනුව ඕනෑම කෙනෙකුට හැකියාව පවතිනවා Sim Change form එක හරහා ඕනෑම Mobitel number එකකට අදාලව ලියාපදිංචිව ඇති NIC number එක බලාගත හැකියි.

අවසාන වශයෙන් දිලුම් විසින් සටහනක් තබා පවසා ඇත්තේ, කිසිවෙකුත් මෙම NIC validation API එක හරහා සියළුම Mobitel numbers වලට අදාල NIC numbers download කර නොගනී ලෙස සිතන බවයි.