As autoridades fiscais do governo indiano fixaram uma falha de segurança no portal de declaração de imposto de renda, que publica dados sensíveis aos contribuintes.
O defeito descoberto pelo pesquisador de segurança Akshay CS e “Viral” em setembro permitiu que qualquer um conectado Portal de arquivamento eletrônico do Departamento de Imposto de Renda Acesse os mais recentes dados pessoais e financeiros de outras pessoas.
Os dados expostos incluíram os nomes, endereços domésticos e endereços de email, data de nascimento, números de telefone e detalhes da conta bancária daqueles que pagam impostos sobre sua renda indiana. Os dados também expuseram os números de Aadhaar dos cidadãos. Este é um identificador exclusivo emitido pelo governo usado como prova de identidade e usado para acessar serviços governamentais.
A TechCrunch confirmou os dados em toda a extensão de seus recursos, concedendo à permissão dos pesquisadores para pesquisar os registros do repórter no portal.
Os pesquisadores de segurança confirmaram que a vulnerabilidade foi fixada no TechCrunch em 2 de outubro. Dados os riscos ao público, o TechCrunch se absteve de publicar a história até que os pesquisadores de segurança tenham confirmado que a vulnerabilidade não pode mais ser explorada.
Representantes da agência de imposto de renda da Índia confirmaram o email solicitando comentários, mas não responderam a perguntas por tempo de relatório. O Departamento de Imposto de Renda não se opôs à publicação desta história.
Bug “muito baixo” permitiu acesso a dados confidenciais
Os pesquisadores de segurança Akshay CS e Viral disseram ao TechCrunch que descobriram a vulnerabilidade ao registrar uma recente declaração de imposto de renda no site do governo.
Os residentes indianos devem enviar receitas anuais para calcular os impostos devidos ao governo indiano.
Quando os pesquisadores assinaram o portal usando o número de conta permanente do documento oficial (PAN), emitido pela Divisão de Imposto de Renda da Índia, eles descobriram que, trocando outro PAN na solicitação de rede para PAN quando a página da web carregar, eles podiam ver os delicados dados financeiros de outras pessoas.
Este é o carteiro e Suíte Bellp (Ou usando as ferramentas de desenvolvedor embutidas do navegador da Web) e com o conhecimento de outra pessoa, o pesquisador disse ao TechCrunch.
Os servidores de back -end da agência de imposto de renda indiana não verificaram adequadamente aqueles que tiveram permissão para acessar os dados confidenciais das pessoas, para que o bug pudesse ser explorado por pessoas conectadas ao portal tributário. Essa classe de vulnerabilidades é conhecida como referências instáveis de objetos diretos ou idórdicos. O governo alerta que é fácil de usar E isso pode levar a uma enorme violação de dados.
“É muito baixo, mas tem consequências muito sérias”, disse o pesquisador à TechCrunch.
Além dos dados pessoais, os pesquisadores disseram que também publicaram dados relacionados a empresas cujos bugs foram registrados no portal de arquivamento eletrônico.
A TechCrunch também confirmou que o bug divulgou dados sobre indivíduos que ainda não apresentaram suas declarações de imposto de renda este ano. Isso foi confirmado perguntando às pessoas que ainda não apresentaram suas declarações fiscais, pedindo permissão para usar o bug do portal para permitir que os pesquisadores analisem as informações.
Certin reconhece falhas de segurança
Os pesquisadores de segurança alertaram a equipe de preparação para emergências indianas (certificado) das falhas de segurança imediatamente após a descoberta, mas não foi fornecida uma linha do tempo para correções.
Quando contatado pela TechCrunch em 30 de setembro, um representante da CERT-in disse que o departamento de imposto de renda já estava trabalhando para corrigir a vulnerabilidade.
O Tesouro da Índia não respondeu ao pedido de comentário da TechCrunch. Depois de entrar em contato com a agência de imposto de renda em relação à vulnerabilidade, o diretor de sistemas confirmou o recebimento de e -mails do TechCrunch em 1º de outubro, mas não comentou mais.
Ainda não está claro quantas vulnerabilidades existem e se as partes maliciosas têm acesso a dados expostos. O CERT-in não respondeu a essas perguntas quando solicitado pelo TechCrunch.
O número exato de usuários afetados pelos dados publicados também é desconhecido. O portal do departamento de imposto de renda lista mais de 135 milhões de usuários registrados, com mais de 76 milhões de usuários registrando declarações de imposto de renda para o ano fiscal de 2024-25. Dados públicos Pode ser usado no próprio portal.
