متابعة – أمل علوي
قامت سلطة الضرائب التابعة للحكومة الهندية بإصلاح عيب أمني في بوابة إيداع ضريبة الدخل التي تعرض بيانات دافعي الضرائب الحساسة ، فقد تعلمت TechCrunch حصريًا وتأكيدها مع السلطات.
العيب ، الذي اكتشفه في سبتمبر من قبل زوج من الباحثين الأمن Akshay CS و “الفيروسي” ، سمح لأي شخص تم تسجيل الدخول إلى بوابة الإيداع الإلكترونية التابعة لضريبة الدخل للوصول إلى البيانات الشخصية والمالية من الأشخاص الآخرين.
تضمنت البيانات المكشوفة أسماء كاملة وعناوين المنزل وعناوين البريد الإلكتروني وتواريخ الميلاد وأرقام الهواتف وتفاصيل الحساب المصرفي للأشخاص الذين يدفعون ضرائب على دخلهم في الهند. كما كشفت البيانات عن عدد Aadhaar للمواطنين ، وهو معرف فريد من نوعه من الحكومة يستخدم كدليل على الهوية والوصول إلى الخدمات الحكومية.
تحقق TechCrunch من البيانات إلى أفضل ما في قدرتها من خلال منح الإذن للباحثين للبحث عن سجلات هذا المراسل على البوابة.
أكد باحثو الأمن لـ TechCrunch في 2 أكتوبر أن الضعف تم إصلاحه. بالنظر إلى المخاطر التي يتعرض لها الجمهور ، حجب TechCrunch نشر هذه القصة حتى أكد الباحثون الأمنيون أنه لم يعد من الممكن استغلال الضعف.
أقر ممثلو وزارة ضريبة الدخل الهندية على بريدنا الإلكتروني الذي يطلب التعليق ، لكنهم لم يجيبوا على أسئلتنا بحلول وقت الصحافة. لم يقدم وزارة ضريبة الدخل أي اعتراضات على نشر هذه القصة.
علة “منخفضة للغاية معلقة” تمنح الوصول إلى البيانات الحساسة
أخبر باحثو الأمن Akshay CS و “Viral” TechCrunch أنهم اكتشفوا الضعف أثناء تقديم إقرار ضريبة الدخل الأخيرة على موقع الحكومة.
يتعين على سكان الهند تقديم أرباحهم السنوية لحساب الضرائب التي يدينون بها للحكومة الهندية.
وجد الباحثون أنه عندما وقعوا على البوابة باستخدام رقم حسابهم الدائم (PAN) ، وهو مستند رسمي صادر عن وزارة ضريبة الدخل الهندية ، يمكنهم عرض البيانات المالية الحساسة لأي شخص آخر عن طريق تبديل مقلاة أخرى في طلب الشبكة مع تحميل صفحة الويب.
وقال الباحثون لـ TechCrunch ، يمكن القيام بذلك باستخدام أدوات متوفرة للجمهور مثل Postman أو Burp Suite (أو استخدام أدوات المطورين في متصفح الويب) ومع معرفة عموم شخص آخر.
كان هذا الخطأ قابلاً للاستغلال من قبل أي شخص تم تسجيل الدخول إلى بوابة الضرائب لأن الخوادم الخلفية لوزارة ضريبة الدخل الهندية لم تتحقق بشكل صحيح من سُمح للوصول إلى بيانات شخص ما حساسة للشخص. تُعرف فئة الضعف هذه بمثابة مرجع غير آمن للكائن المباشر ، أو IDOR ، وهو عيب شائع وبسيط حذرت الحكومات أنه من السهل استغلاله ويمكن أن يؤدي إلى انتهاكات بيانات واسعة النطاق.
وقال الباحثون لـ TechCrunch: “هذا شيء معلق منخفض للغاية ، ولكنه له نتيجة شديدة للغاية”.
بالإضافة إلى بيانات الأفراد ، قال الباحثون إن الأخطاء كشفت أيضًا عن البيانات المرتبطة بالشركات التي تم تسجيلها في بوابة الإيداع الإلكتروني.
تحقق TechCrunch أيضًا من أن الأخطاء المكشوفة على الأفراد الذين لم يرفعوا بعد إقرارات ضريبة الدخل هذا العام. لقد أكدنا ذلك من خلال سؤال الشخص الذي لم يقدم بعد إقراراته الضريبية بعد إذنه لإجراء الباحثين على البحث عن معلوماتهم باستخدام حشرة البوابة.
تعترف cert-in عيب الأمن
قام الباحثون الأمنيون بتنبيه فريق الاستعداد للطوارئ في الهند ، أو شهادة الأمن ، إلى عيب الأمن بعد فترة وجيزة من اكتشافهم ، لكن لم يتم تزويدهم بجدول زمني للإصلاح.
عند الاتصال به من قبل TechCrunch في 30 سبتمبر ، قال ممثل شهادة الدخل إن وزارة ضريبة الدخل كانت تعمل بالفعل على إصلاح الضعف.
لم ترد وزارة المالية الهندية طلب TechCrunch للتعليق. بعد الوصول إلى قسم ضريبة الدخل فيما يتعلق بالضعف ، أقر المدير العام للأنظمة باستلام بريد إلكتروني TechCrunch في 1 أكتوبر ، لكنه لم يعلق أكثر.
يبقى من غير الواضح المدة التي كانت فيها الضعف موجودة أو ما إذا كانت أي ممثلات ضارة قد وصلت إلى البيانات المكشوفة. لم ترد على هذه الأسئلة عند طرحها من قبل TechCrunch.
العدد الدقيق للمستخدمين المتأثرون بالبيانات المكشوفة غير واضح أيضًا. يسرد بوابة وزارة ضريبة الدخل أكثر من 135 مليون مستخدم مسجل ، وأكثر من 76 مليون مستخدم قدموا إقرارات ضريبة الدخل في السنة المالية 2024-25 ، لكل البيانات العامة متوفر على البوابة نفسها.
هذا المحتوي تم باستخدام أدوات الذكاء الإصطناعي
