Óriási adatbiztonsági rés az adóhivatalnál
Súlyos biztonsági hibát találtak India online adóbevallási rendszerében, amely az ország adófizetőinek különösen érzékeny személyes és pénzügyi adatait tette hozzáférhetővé. A problémára két biztonsági kutató, Akshay CS és Viral bukkant rá szeptemberben, miközben saját adóbevallásukat akarták benyújtani. A hibát kihasználva bármely bejelentkezett felhasználó hozzáférhetett mások friss személyes és banki adataihoz, címéhez, e-mail-címéhez, születési idejéhez, telefonszámához, sőt még az Aadhaar-azonosítójához is. Az Aadhaar egyedi, állami azonosító, amely kulcsfontosságú a személyazonosság igazolásához, illetve több állami szolgáltatás igénybevételéhez.
Könnyen kihasználható biztonsági hiba
A kutatók elmondták, hogy a portálra PAN-azonosítóval (India hivatalos adóazonosítója) lehetett belépni. Ezután, ha valaki a saját PAN-számát egy másik felhasználóéval cserélte ki – például ismert szoftverekkel, egyszerű webes fejlesztői eszközzel vagy nyilvánosan elérhető programokkal –, máris mások adatait lekérdezhette. Fontos megjegyezni, hogy ezt a hibát kizárólag belépett felhasználók tudták kihasználni, de így is több mint 135 millió regisztrált felhasználó adatai váltak sebezhetővé, ráadásul a 2024–2025-ös pénzügyi évben több mint 76 millióan adtak le adóbevallást. Ennek ellenére a hiba annyira alapvetőnek számít a kiberbiztonságban, hogy meglepően könnyen kihasználható volt, és súlyos következményekkel járt.
A hatóságok lassú reakciója és az érintettek száma
A problémát a kutatók a CERT-In nevű indiai kiberbiztonsági ügyeleti szolgálatnak jelentették röviddel a felfedezés után. A szervezet elismerte a hiba létezését, de nem árult el ütemtervet a javításról. Miután az adóhivatalt is értesítették, október elejére sikerült orvosolni a sebezhetőséget. Ugyanakkor továbbra sem tudható pontosan, mióta állt fenn a probléma, vagy hogy illetéktelenek milyen mértékben férhettek hozzá az érzékeny adatokhoz. Nem világos az sem, hogy céges felhasználók vagy még be nem nyújtott adóbevallások is érintettek voltak-e, de a szakértők szerint a veszély valós volt. Mindezt figyelembe véve az ilyen biztonsági hibák komoly veszélyt jelentenek a lakosság és a cégek adatainak védelmére, hiszen az információvesztés következménye személyes és gazdasági szempontból is súlyos lehet.
