भारत सरकार के कर प्राधिकरण ने अपने आयकर फाइलिंग पोर्टल में एक सुरक्षा दोष तय किया है जो संवेदनशील करदाताओं के डेटा को उजागर कर रहा था, TechCrunch ने विशेष रूप से अधिकारियों के साथ सीखा और पुष्टि की है।
सितंबर में सुरक्षा शोधकर्ताओं अक्षय सीएस और “वायरल” की एक जोड़ी द्वारा खोज की गई दोष, जो किसी को भी लॉग इन किया गया था, उसे अनुमति दी आयकर विभाग का ई-फाइलिंग पोर्टल अन्य लोगों के व्यक्तिगत और वित्तीय डेटा तक पहुंचने के लिए।
उजागर डेटा में पूर्ण नाम, घर के पते और ईमेल पते, जन्म की तारीख, फोन नंबर और बैंक खाते में उन लोगों के विवरण शामिल थे जो भारत में अपनी आय पर करों का भुगतान करते हैं। डेटा ने नागरिकों के आधार संख्या को भी उजागर किया, एक अद्वितीय सरकार द्वारा जारी पहचानकर्ता जिसे पहचान के प्रमाण के रूप में और सरकारी सेवाओं तक पहुंचने के लिए उपयोग किया जाता है।
TechCrunch ने पोर्टल पर इस रिपोर्टर के रिकॉर्ड को देखने के लिए शोधकर्ताओं को अनुमति देकर अपनी क्षमता के अनुसार डेटा को अपनी क्षमता से सत्यापित किया।
सुरक्षा शोधकर्ताओं ने 2 अक्टूबर को TechCrunch की पुष्टि की कि भेद्यता तय की गई थी। जनता के लिए जोखिम को देखते हुए, TechCrunch ने इस कहानी को तब तक प्रकाशित किया जब तक कि सुरक्षा शोधकर्ताओं ने पुष्टि नहीं की कि भेद्यता का अब शोषण नहीं किया जा सकता है।
भारतीय आयकर विभाग के प्रतिनिधियों ने हमारे ईमेल को टिप्पणी का अनुरोध करते हुए स्वीकार किया, लेकिन प्रेस समय तक हमारे सवालों का जवाब नहीं दिया। आयकर विभाग ने इस कहानी को प्रकाशित करने के लिए कोई आपत्ति नहीं पेश की।
‘बेहद कम हैंगिंग’ बग ने संवेदनशील डेटा तक पहुंच प्रदान की
सुरक्षा शोधकर्ताओं अक्षय सीएस और “वायरल” ने टेकक्रंच को बताया कि उन्होंने सरकार की वेबसाइट पर अपने हालिया आयकर रिटर्न को दर्ज करते हुए भेद्यता की खोज की।
भारत के निवासियों को भारत सरकार के लिए उन करों की गणना करने के लिए अपनी वार्षिक कमाई दर्ज करने की आवश्यकता होती है।
शोधकर्ताओं ने पाया कि जब उन्होंने भारतीय आयकर विभाग द्वारा जारी एक आधिकारिक दस्तावेज अपने स्थायी खाता संख्या (PAN) का उपयोग करके पोर्टल में हस्ताक्षर किए, तो वे वेब पेज लोड के रूप में नेटवर्क अनुरोध में एक और पैन के लिए अपने पैन को स्वैप करके किसी और के संवेदनशील वित्तीय डेटा को देख सकते थे।
यह पोस्टमैन या जैसे सार्वजनिक रूप से उपलब्ध उपकरणों का उपयोग करके किया जा सकता है बुरप सुइट (या वेब ब्राउज़र के इन-बिल्ट डेवलपर टूल का उपयोग करके) और किसी और के पैन के ज्ञान के साथ, शोधकर्ताओं ने TechCrunch को बताया।
बग किसी भी व्यक्ति द्वारा शोषक था, जो टैक्स पोर्टल में लॉग-इन था क्योंकि भारतीय आयकर विभाग के बैक-एंड सर्वर को ठीक से जाँच नहीं किया गया था, जिसे किसी व्यक्ति के संवेदनशील डेटा तक पहुंचने की अनुमति दी गई थी। भेद्यता के इस वर्ग को एक असुरक्षित प्रत्यक्ष वस्तु संदर्भ, या आइडर, एक सामान्य और सरल दोष के रूप में जाना जाता है सरकारों ने चेतावनी दी है कि शोषण करना आसान है और बड़े पैमाने पर डेटा उल्लंघनों में परिणाम हो सकता है।
“यह एक बेहद कम लटकने वाली चीज है, लेकिन एक बहुत गंभीर परिणाम है,” शोधकर्ताओं ने TechCrunch को बताया।
व्यक्तियों के डेटा के अलावा, शोधकर्ताओं ने कहा कि बग ने उन कंपनियों से जुड़े डेटा को भी उजागर किया जो ई-फाइलिंग पोर्टल के साथ पंजीकृत थे।
TechCrunch ने यह भी सत्यापित किया कि बग ने उन व्यक्तियों पर डेटा उजागर किया है, जिनके पास अभी तक इस वर्ष अपने आयकर रिटर्न दर्ज करना है। हमने एक ऐसे व्यक्ति से पूछकर इसकी पुष्टि की, जिसने अभी तक पोर्टल बग का उपयोग करके शोधकर्ताओं को अपनी जानकारी को देखने के लिए अपनी अनुमति के लिए अपना कर रिटर्न दर्ज नहीं किया था।
प्रमाण पत्र सुरक्षा दोष को स्वीकार करता है
सुरक्षा शोधकर्ताओं ने भारत की कंप्यूटर आपातकालीन तत्परता टीम, या सर्टिफिकेट को उनकी खोज के तुरंत बाद सुरक्षा दोष के लिए सतर्क किया, लेकिन फिक्स के लिए समयरेखा के साथ प्रदान नहीं किया गया।
30 सितंबर को TechCrunch द्वारा संपर्क किए जाने पर, एक प्रमाणित प्रतिनिधि ने कहा कि आयकर विभाग पहले से ही भेद्यता को ठीक करने के लिए काम कर रहा था।
भारतीय वित्त मंत्रालय ने टिप्पणी के लिए टेकक्रंच के अनुरोध को वापस नहीं किया। भेद्यता के बारे में आयकर विभाग तक पहुंचने के बाद, सिस्टम के महानिदेशक ने 1 अक्टूबर को TechCrunch के ईमेल की प्राप्ति को स्वीकार किया, लेकिन आगे टिप्पणी नहीं की।
यह स्पष्ट नहीं है कि भेद्यता कब तक अस्तित्व में है या क्या किसी दुर्भावनापूर्ण अभिनेता ने उजागर डेटा तक पहुँचा है। TechCrunch द्वारा पूछे जाने पर सर्टिफिकेट ने इन सवालों का जवाब नहीं दिया।
उजागर डेटा से प्रभावित उपयोगकर्ताओं की सटीक संख्या भी स्पष्ट नहीं है। आयकर विभाग के पोर्टल में 135 मिलियन से अधिक पंजीकृत उपयोगकर्ताओं को सूचीबद्ध किया गया है, और 76 मिलियन से अधिक उपयोगकर्ताओं ने वित्तीय वर्ष 2024-25 में आयकर रिटर्न दायर किया, प्रति, प्रति सार्वजनिक आंकड़े पोर्टल पर ही उपलब्ध है।