Скандал з витоком даних: Баг в індійському порталі податку на прибуток загрожує конфіденційності мільйонів платників податків
1 min read

Скандал з витоком даних: Баг в індійському порталі податку на прибуток загрожує конфіденційності мільйонів платників податків

Плахотнюк Сергій0

Влада Індії вдалася до термінових заходів для виправлення серйозного недоліку в своєму порталі для подачі податкових декларацій, який загрожував витоку особистих даних платників податків. За інформацією, отриманою з надійних джерел, вразливість, виявлена в серпні, дозволяла будь-кому, хто увійшов до системи, переглядати конфіденційну інформацію інших користувачів, включаючи фінансові дані.

Серед вразливих даних були повні імена, адреси проживання, електронні пошти, дати народження, номери телефонів та банківські реквізити індійських платників податків. Також була доступна інформація про Aadhaar — унікальний ідентифікаційний номер, що використовується для підтвердження особи та доступу до державних послуг в Індії.

Вчені з галузі безпеки, які виявили цю небезпеку, зазначили, що недолік можна було експлуатувати, простими маніпуляціями в коді запиту, що завантажується на порталі. Вони відкрили, що, замінивши свій Постійний обліковий номер (PAN) на номер іншої людини, можна було безперешкодно отримати доступ до чутливих фінансових даних інших користувачів системи.

Розкриття вразливості стало можливим завдяки використанню стандартних інструментів для тестування веб-сайтів, таких як Postman або Burp Suite, і не вимагало значних технічних знань. Дослідники підкреслили, що система не перевіряла, хто має право на доступ до приватної інформації, що вказує на серйозні недоліки в безпеці порталу.

Подібні вразливості, які відносяться до класу insecure direct object reference (IDOR), є розповсюдженими проблемами безпеки та можуть призвести до серйозних витоків даних. Згідно з підрахунками, понад 135 мільйонів користувачів зареєстровано на порталі, і це може створити значні ризики для конфіденційності їхньої інформації.

Керівництво Індійської служби податкових зборів підтвердило отримання запиту на коментар, однак не надало конкретної інформації про наслідки вразливості чи кількість потенційно постраждалих користувачів. Офіційно залишилося незрозумілим, чи були зловмисники, які отримали доступ до викрадених даних, та як довго існував цей недолік.

Попри те, що вразливість було усунено, питання безпеки в державних установах залишається актуальним: необхідність у покращених системах захисту даних, особливо в часи цифровізації, є більшою, ніж коли-небудь.

Related Posts