Vulnerabilitatea portalului fiscal din India
Autoritatea fiscală din India a remediat o vulnerabilitate de securitate în portalul său de depunere a impozitelor pe venit, care expunea date sensibile ale contribuabililor. Această problemă a fost descoperită în septembrie de doi cercetători în securitate, Akshay CS și „Viral”.
Informații expuse
Vulnerabilitatea permitea oricărei persoane care era conectată la portalul e-Filing al departamentului de impozite pe venit să acceseze datele personale și financiare actualizate ale altor utilizatori. Datele expuse includeau nume complete, adrese de acasă, adrese de email, date de naștere, numere de telefon și detalii despre conturile bancare ale contribuabililor din India. De asemenea, informațiile includeau numărul Aadhaar, un identificator unic emis de guvern.
Confirmarea remedierii
Pe 2 octombrie, cercetătorii au confirmat că vulnerabilitatea a fost rezolvată. Datorită riscurilor pentru public, informațiile despre această problemă au fost reținute până la confirmarea remedierii. Reprezentanții Departamentului de Impozite din India au recunoscut primirea solicitării de comentarii, dar nu au oferit răspunsuri până la momentul publicării.
Detalii tehnice ale vulnerabilității
Cercetătorii au identificat vulnerabilitatea în timp ce își depuneau propria declarație de impozit. Aceștia au descoperit că, atunci când se conectau la portal folosind numărul lor de cont permanent (PAN), puteau vizualiza datele sensibile ale altor utilizatori prin înlocuirea PAN-ului lor cu un alt PAN în cererea de rețea. Această acțiune putea fi realizată cu ajutorul unor instrumente disponibile public, precum Postman sau Burp Suite.
Tipologia vulnerabilității
Vulnerabilitatea provenea dintr-o verificare insuficientă a accesului utilizatorilor pe serverele de back-end ale Departamentului de Impozite, fiind clasificată ca un caz de referință directă nesigură (IDOR), un tip comun de eroare care poate provoca breșe majore de date. Cercetătorii au descris bug-ul ca fiind „extrem de ușor de exploatat, dar cu consecințe severe”.
Implicarea CERT-In
Cercetătorii au alertat echipa de răspuns la urgențe cibernetice din India (CERT-In) imediat după descoperirea vulnerabilității, dar nu au primit un termen pentru rezolvare. Un reprezentant CERT-In a confirmat pe 30 septembrie că Departamentul de Impozite lucra deja la remedierea problemei.
Impactul asupra utilizatorilor
Numărul exact de utilizatori afectați de datele expuse nu este clar. Portalul Departamentului de Impozite are peste 135 de milioane de utilizatori înregistrați, iar peste 76 de milioane de utilizatori au depus declarații de impozit pentru anul financiar 2024-2025.
Concluzie
Remedierea rapidă a acestei vulnerabilități este esențială pentru protecția datelor personale ale contribuabililor din India, având în vedere numărul mare de utilizatori afectați și riscurile asociate cu expunerea informațiilor sensibile.




