Ошибка безопасности в индийском налоговом портале раскрыла конфиденциальные данные налогоплательщиков

Налоговое управление правительства Индии устранило уязвимость безопасности на своем портале для подачи налоговых деклараций, которая раскрывала конфиденциальные данные налогоплательщиков, о чем эксклюзивно стало известно TechCrunch и было подтверждено властями.

Уязвимость, обнаруженная в сентябре двумя исследователями в области безопасности Акшаем CS и «Viral», позволяла любому, кто входил в портал электронной подачи деклараций налогового департамента, получать доступ к актуальным личным и финансовым данным других людей.

Раскрытые данные включали полные имена, домашние адреса и адреса электронной почты, даты рождения, номера телефонов и банковские реквизиты лиц, платящих налоги с доходов в Индии. Также был раскрыт номер Aadhaar — уникальный государственный идентификатор, используемый для подтверждения личности и доступа к государственным услугам.

TechCrunch проверил данные настолько хорошо, насколько это было в его силах, предоставив исследователям разрешение просмотреть записи этого репортера на портале.

2 октября специалисты по безопасности подтвердили изданию TechCrunch, что уязвимость устранена. Учитывая риск для общественности, TechCrunch воздержался от публикации этой статьи до тех пор, пока специалисты по безопасности не подтвердят, что эксплуатация уязвимости больше невозможна.

Представители Налогового управления Индии подтвердили получение нашего письма с просьбой прокомментировать ситуацию, но не ответили на наши вопросы к моменту публикации. Налоговое управление не возражало против публикации этой статьи.

«Чрезвычайно низко висящая» ошибка предоставила доступ к конфиденциальным данным

Исследователи безопасности Акшай CS и «Viral» рассказали TechCrunch, что обнаружили уязвимость во время подачи недавней налоговой декларации на правительственном сайте.

Жители Индии обязаны декларировать свой годовой доход для расчета налогов, которые они должны уплатить индийскому правительству.

Исследователи обнаружили, что, когда люди входили на портал, используя свой постоянный номер счета (PAN), официальный документ, выдаваемый индийским налоговым управлением, они могли просматривать конфиденциальные финансовые данные любого другого человека, подменив свой PAN на другой PAN в сетевом запросе при загрузке веб-страницы.

Исследователи сообщили TechCrunch, что это можно сделать с помощью общедоступных инструментов, таких как Postman или Burp Suite (или с помощью встроенных в веб-браузер инструментов разработчика), а также зная PAN другого пользователя.

Уязвимость могла быть использована любым пользователем, вошедшим в налоговый портал, поскольку внутренние серверы индийского налогового управления не проверяли должным образом, кому разрешен доступ к конфиденциальным данным пользователя. Этот класс уязвимостей известен как небезопасная прямая ссылка на объект (IDOR) – распространённая и простая уязвимость, которую, по предупреждениям правительств, легко эксплуатировать, что может привести к масштабным утечкам данных.

«Это крайне несложная задача, но она может иметь очень серьезные последствия», — сообщили исследователи в интервью TechCrunch.

Исследователи заявили, что помимо данных отдельных лиц ошибка также раскрыла данные, связанные с компаниями, зарегистрированными на портале электронной подачи документов.

TechCrunch также подтвердил, что ошибка раскрыла данные о лицах, которые ещё не подали налоговые декларации в этом году. Мы подтвердили это, запросив разрешение у человека, который ещё не подал налоговые декларации, чтобы исследователи смогли найти его информацию, используя ошибку портала.

CERT-In признал уязвимость системы безопасности

Исследователи безопасности уведомили индийскую группу готовности к чрезвычайным ситуациям в сфере компьютерной безопасности (CERT-In) об уязвимости вскоре после ее обнаружения, но не получили никаких сроков ее устранения.

Представитель CERT-In, с которым связался TechCrunch 30 сентября, сообщил, что Налоговое управление уже работает над устранением уязвимости.

Министерство финансов Индии не ответило на запрос TechCrunch о комментарии. После обращения в Департамент подоходного налога по поводу уязвимости, генеральный директор по системам 1 октября подтвердил получение письма TechCrunch, но не стал давать дальнейших комментариев.

Остаётся неясным, как долго существует уязвимость и получили ли злоумышленники доступ к раскрытым данным. В CERT-In не ответили на эти вопросы TechCrunch.

Точное число пользователей, пострадавших от раскрытия данных, также неизвестно. Согласно общедоступным данным, доступным на самом портале, на портале Налогового управления зарегистрировано более 135 миллионов пользователей, и более 76 миллионов пользователей подали налоговые декларации в 2024-2025 финансовом году.

Источник: techcrunch.com