Податкова служба Індії усунула вразливість у своєму порталі подачі декларацій про доходи, яка піддавала ризику конфіденційні дані платників податків, про що стало відомо завдяки джерелам.
Вразливість, виявлена у вересні групою дослідників безпеки на чолі з Акшаям С. і «Віраль», дозволяла будь-кому, хто увійшов у портал електронної подачі декларацій, отримувати доступ до особистої та фінансової інформації інших осіб.
Серед виявлених даних були повні імена, домашні адреси, електронні адреси, дати народження, номери телефонів і реквізити банківських рахунків осіб, які сплачують податки в Індії. Також були оприлюднені номери Aadhaar, що є унікальним урядовим ідентифікатором для підтвердження особи та доступу до державних послуг.
Дослідники підтвердили, що вразливість була виправлена 2 жовтня. Через ризик для громадськості ми вирішили відкласти публікацію цієї новини до моменту, поки не буде підтверджено, що проблема усунена.
Представники Податкової служби Індії підтвердили отримання нашого запиту, але не дали відповіді на наші питання до моменту публікації. Податкова служба не висловила заперечень щодо публікації даної інформації.
Вразливість, що дозволила доступ до конфіденційних даних
Дослідники повідомили, що вразливість була виявлена під час подачі ними власної декларації про доходи на урядовому сайті.
Громадяни Індії зобов’язані щорічно подавати свою декларацію для розрахунку податків, які вони повинні сплатити.
Дослідники виявили, що, увійшовши в портал за допомогою свого постійного номеру рахунку (PAN), який видається податковою службою, вони могли отримати доступ до чутливих фінансових даних інших осіб, просто замінивши свій PAN на PAN іншої особи у запиті під час завантаження веб-сторінки.
Цю вразливість можна було експлуатувати за допомогою таких безкоштовних інструментів, як Postman або Burp Suite (або вбудованих розробницьких інструментів браузера). Знаючи PAN іншої особи, дослідники могли отримати доступ до її даних.
Вразливість була доступна для тих, хто увійшов у податковий портал, оскільки сервери податкової служби не здійснювали належної перевірки осіб, яким дозволено отримувати доступ до конфіденційних даних. Цей тип вразливості відомий як небезпечна пряма посилання на об’єкт, або IDOR, і є простим недоліком, про який попереджають уряди через його легкість у злому та можливість масових витоків даних.
“Це досить тривіальна помилка, але з серйозними наслідками,” зазначили дослідники.
Крім того, вразливість вплинула на дані компаній, зареєстрованих на порталі електронної подачі.
Дослідники також підтвердили, що вразливість дозволила отримувати дані про осіб, які ще не подали свої декларації про доходи за цей рік.
CERT-In підтверджує вразливість
Дослідники повідомили команді реагування на комп’ютерні надзвичайні ситуації Індії про вразливість незабаром після її виявлення, але не отримали інформації щодо термінів виправлення.
Коли з представниками CERT-In було зв’язано 30 вересня, їх представник заявив, що Податкова служба вже працює над виправленням вразливості.
Міністерство фінансів Індії не відповіло на запит про коментарі. Після звернення до Податкової служби стосовно вразливості, 1 жовтня генеральний директор систем підтвердив отримання електронного листа, проте не надав жодних додаткових коментарів.
Неясно, як довго існувала ця вразливість або чи мали доступ до оприлюднених даних якісь зловмисники. CERT-In не надала відповідей на ці питання.
Точна кількість користувачів, яким загрожували оприлюднені дані, також невідома. На порталі Податкової служби зазначено, що зареєстровано більше 135 мільйонів користувачів, і понад 76 мільйонів осіб подали декларації про доходи у фінансовому році 2024-25.
