أصلحت هيئة الضرائب التابعة للحكومة الهندية ثغرة أمنية في بوابة إيداع ضريبة الدخل الخاصة بها والتي كانت تكشف بيانات حساسة لدافعي الضرائب، حسبما علمت TechCrunch حصريًا وأكدته مع السلطات.
سمح الخلل، الذي اكتشفه اثنان من الباحثين الأمنيين Akshay CS و”Viral” في سبتمبر/أيلول، لأي شخص قام بتسجيل الدخول إلى بوابة الإيداع الإلكتروني التابعة لإدارة ضريبة الدخل بالوصول إلى البيانات الشخصية والمالية المحدثة لأشخاص آخرين.
وتضمنت البيانات المكشوفة الأسماء الكاملة وعناوين المنازل وعناوين البريد الإلكتروني وتواريخ الميلاد وأرقام الهواتف وتفاصيل الحسابات المصرفية للأشخاص الذين يدفعون ضرائب على دخلهم في الهند. كشفت البيانات أيضًا عن رقم Aadhaar للمواطنين، وهو معرف فريد صادر عن الحكومة يستخدم كدليل على الهوية وللوصول إلى الخدمات الحكومية.
قامت TechCrunch بالتحقق من البيانات بأفضل ما لديها من خلال منح الإذن للباحثين للبحث في سجلات هذا المراسل على البوابة.
أكد الباحثون الأمنيون لـ TechCrunch في 2 أكتوبر أنه تم إصلاح الثغرة الأمنية. ونظرًا للخطر الذي يتعرض له الجمهور، امتنع موقع TechCrunch عن نشر هذه القصة حتى أكد الباحثون الأمنيون أنه لم يعد من الممكن استغلال الثغرة الأمنية.
واعترف ممثلو إدارة ضريبة الدخل الهندية بالبريد الإلكتروني الذي أرسلناه لطلب التعليق، لكنهم لم يجيبوا على أسئلتنا حتى وقت نشر المقالة. ولم تبد دائرة ضريبة الدخل أي اعتراض على نشر هذه القصة.
خطأ “منخفض للغاية” يمنح إمكانية الوصول إلى البيانات الحساسة
أخبر الباحثون الأمنيون Akshay CS و”Viral” موقع TechCrunch أنهم اكتشفوا الثغرة الأمنية أثناء تقديم إقرار ضريبة الدخل الأخير على الموقع الإلكتروني الحكومي.
يُطلب من المقيمين في الهند تقديم أرباحهم السنوية لحساب الضرائب المستحقة للحكومة الهندية.
وجد الباحثون أنه عند تسجيل الدخول إلى البوابة باستخدام رقم الحساب الدائم (PAN)، وهو مستند رسمي صادر عن إدارة ضريبة الدخل الهندية، يمكنهم عرض البيانات المالية الحساسة لأي شخص آخر عن طريق استبدال رقم PAN الخاص بهم برقم PAN آخر في طلب الشبكة أثناء تحميل صفحة الويب.
يمكن القيام بذلك باستخدام الأدوات المتاحة للجمهور مثل Postman أو Burp Suite (أو باستخدام أدوات المطور المدمجة في متصفح الويب) ومع معرفة PAN لشخص آخر، كما قال الباحثون لـ TechCrunch.
كان هذا الخطأ قابلاً للاستغلال من قبل أي شخص قام بتسجيل الدخول إلى بوابة الضرائب لأن الخوادم الخلفية لإدارة ضريبة الدخل الهندية لم تكن تتحقق بشكل صحيح من المسموح له بالوصول إلى البيانات الحساسة للشخص. تُعرف هذه الفئة من الثغرات الأمنية باسم مرجع الكائن المباشر غير الآمن، أو IDOR، وهو عيب شائع وبسيط حذرت الحكومات من سهولة استغلاله ويمكن أن يؤدي إلى خروقات واسعة النطاق للبيانات.
وقال الباحثون لـ TechCrunch: “هذا أمر بسيط للغاية، ولكن له عواقب وخيمة للغاية”.
وبالإضافة إلى بيانات الأفراد، قال الباحثون إن الخلل كشف أيضًا عن بيانات مرتبطة بالشركات المسجلة في بوابة الإيداع الإلكتروني.
كما تحققت TechCrunch أيضًا من أن الخطأ كشف عن بيانات عن الأفراد الذين لم يقدموا بعد إقرارات ضريبة الدخل الخاصة بهم هذا العام. لقد أكدنا ذلك من خلال مطالبة الشخص الذي لم يقدم بعد إقراراته الضريبية بالسماح للباحثين بالبحث عن معلوماته باستخدام خطأ البوابة.
يقر CERT-In بوجود ثغرة أمنية
وقام الباحثون الأمنيون بتنبيه فريق الاستعداد لطوارئ الكمبيوتر في الهند، أو CERT-In، إلى الثغرة الأمنية بعد وقت قصير من اكتشافهم، ولكن لم يتم تزويدهم بجدول زمني للإصلاح.
عندما اتصلت TechCrunch في 30 سبتمبر، قال ممثل CERT-In إن إدارة ضريبة الدخل كانت تعمل بالفعل على إصلاح الثغرة الأمنية.
ولم ترد وزارة المالية الهندية على طلب TechCrunch للتعليق. وبعد التواصل مع إدارة ضريبة الدخل فيما يتعلق بالثغرة الأمنية، أقر المدير العام للأنظمة باستلام البريد الإلكتروني من TechCrunch في الأول من أكتوبر، لكنه لم يعلق أكثر.
ولا يزال من غير الواضح مدة وجود الثغرة الأمنية أو ما إذا كان أي جهات ضارة قد تمكنت من الوصول إلى البيانات المكشوفة. لم يستجب CERT-In لهذه الأسئلة عندما طرحها موقع TechCrunch.
العدد الدقيق للمستخدمين المتأثرين بالبيانات المكشوفة غير واضح أيضًا. تسرد بوابة دائرة ضريبة الدخل أكثر من 135 مليون مستخدم مسجل، وأكثر من 76 مليون مستخدم قدموا إقرارات ضريبة الدخل في السنة المالية 2024-2025، وفقًا للبيانات العامة المتاحة على البوابة نفسها.
