مرجع مالیاتی دولت هند یک نقص امنیتی را در پورتال ثبت اظهارنامه مالیاتی خود برطرف کرده است که اطلاعات حساس مالیات دهندگان را در معرض خطر قرار می داد. این خبر به طور اختصاصی توسط خبرنگار به دست آمده و با تأیید مقامات مربوطه منتشر می شود.
این نقص امنیتی که در شهریور ماه توسط دو محقق امنیتی به نام های آکشای سی اس و “ویرال” کشف شد، به هر کسی که وارد پورتال ثبت الکترونیکی اداره مالیات شده بود، اجازه می داد به اطلاعات شخصی و مالی به روز سایر افراد دسترسی پیدا کند.
اطلاعات افشا شده شامل نام کامل، آدرس منزل و آدرس ایمیل، تاریخ تولد، شماره تلفن و اطلاعات حساب بانکی افرادی بود که در هند مالیات بر درآمد خود را پرداخت می کنند. این داده ها همچنین شماره Aadhaar شهروندان را که یک شناسه منحصر به فرد صادر شده توسط دولت است و به عنوان مدرک شناسایی و برای دسترسی به خدمات دولتی استفاده می شود، در معرض دید قرار می داد.
خبرنگار با دادن اجازه به محققان برای جستجوی سوابق این گزارشگر در پورتال، تا حد امکان صحت این داده ها را تأیید کرد.
محققان امنیتی در تاریخ ۱۰ مهر به خبرنگار تأیید کردند که این آسیب پذیری برطرف شده است. با توجه به خطری که متوجه عموم مردم بود، خبرنگار انتشار این خبر را تا زمانی که محققان امنیتی تأیید کردند که دیگر نمی توان از این آسیب پذیری سوء استفاده کرد، به تعویق انداخت.
نمایندگان اداره مالیات هند دریافت ایمیل درخواست اظهار نظر ما را تأیید کردند، اما تا زمان انتشار این خبر به سؤالات ما پاسخ ندادند. اداره مالیات هیچ اعتراضی به انتشار این خبر نداشت.
نقص “بسیار ساده” دسترسی به داده های حساس را فراهم کرد
محققان امنیتی آکشای سی اس و “ویرال” به خبرنگار گفتند که این آسیب پذیری را در حین ثبت اظهارنامه مالیاتی اخیر خود در وب سایت دولت کشف کرده اند.
ساکنان هند موظفند درآمد سالانه خود را برای محاسبه مالیاتی که به دولت هند بدهکار هستند، ثبت کنند.
محققان دریافتند که وقتی با استفاده از شماره حساب دائمی (PAN) خود وارد پورتال می شوند، می توانند با تعویض PAN خود با PAN دیگری در درخواست شبکه هنگام بارگذاری صفحه وب، اطلاعات مالی حساس هر کس دیگری را مشاهده کنند.
محققان به خبرنگار گفتند که این کار را می توان با استفاده از ابزارهای در دسترس عموم مانند Postman یا Burp Suite (یا با استفاده از ابزارهای توسعه دهنده داخلی مرورگر وب) و با داشتن اطلاعات PAN شخص دیگری انجام داد.
این باگ برای هر کسی که وارد پورتال مالیاتی شده بود قابل بهره برداری بود، زیرا سرورهای پشتیبان اداره مالیات هند به درستی بررسی نمی کردند که چه کسی مجاز به دسترسی به اطلاعات حساس یک فرد است. این دسته از آسیبپذیریها به عنوان “ارجاع مستقیم ناامن به شیء” یا IDOR شناخته میشود، یک نقص رایج و ساده که دولتها هشدار دادهاند به راحتی قابل سوء استفاده است و میتواند منجر به نقض گسترده دادهها شود.
محققان به خبرنگار گفتند: “این یک موضوع بسیار ساده است، اما پیامدهای بسیار شدیدی دارد.”
محققان گفتند که علاوه بر اطلاعات افراد، این باگ اطلاعات مربوط به شرکت هایی را که در پورتال ثبت الکترونیکی ثبت شده اند نیز در معرض دید قرار داده است.
خبرنگار همچنین تأیید کرد که این باگ اطلاعات مربوط به افرادی را که هنوز اظهارنامه مالیاتی خود را در سال جاری ثبت نکرده اند، در معرض دید قرار داده است. ما این موضوع را با درخواست از شخصی که هنوز اظهارنامه مالیاتی خود را ثبت نکرده بود، برای کسب اجازه از او برای اینکه محققان با استفاده از باگ پورتال اطلاعات او را جستجو کنند، تأیید کردیم.
CERT-In نقص امنیتی را تأیید می کند
محققان امنیتی بلافاصله پس از کشف این نقص امنیتی، تیم آمادگی اضطراری رایانه هند یا CERT-In را از این موضوع مطلع کردند، اما جدول زمانی برای رفع آن ارائه نشد.
هنگامی که در تاریخ ۸ مهر توسط خبرنگار با CERT-In تماس گرفته شد، نماینده CERT-In گفت که اداره مالیات در حال حاضر برای رفع این آسیب پذیری تلاش می کند.
وزارت دارایی هند به درخواست خبرنگار برای اظهار نظر پاسخ نداد. پس از تماس با اداره مالیات در مورد این آسیب پذیری، مدیرکل سیستم ها دریافت ایمیل خبرنگار را در تاریخ ۹ مهر تأیید کرد، اما اظهار نظر بیشتری نکرد.
هنوز مشخص نیست که این آسیب پذیری چه مدت وجود داشته است یا اینکه آیا عوامل مخرب به اطلاعات افشا شده دسترسی داشته اند یا خیر. CERT-In در پاسخ به سؤالات خبرنگار به این سؤالات پاسخ نداد.
تعداد دقیق کاربران تحت تأثیر داده های افشا شده نیز مشخص نیست. پورتال اداره مالیات بیش از ۱۳۵ میلیون کاربر ثبت شده را فهرست می کند و طبق داده های عمومی موجود در خود پورتال، بیش از ۷۶ میلیون کاربر در سال مالی ۱۴۰۳-۱۴۰۴ اظهارنامه مالیاتی ثبت کرده اند.
