ভারত সরকারের কর কর্তৃপক্ষ তার আয়কর ফাইলিং পোর্টালে একটি সুরক্ষা ত্রুটি সমাধান করেছে যা সংবেদনশীল করদাতাদের ডেটা প্রকাশ করে, টেকক্রাঞ্চ একচেটিয়াভাবে ঝুঁকেছে এবং সাদা কর্তৃপক্ষকে নিশ্চিত করেছে।
সেপ্টেম্বরে একজোড়া সুরক্ষা গবেষণাকারীদের অক্ষয় সি এবং “ভাইরাল” দ্বারা আবিষ্কার করা ত্রুটিটি যে কাউকে লগ ইন করা হয়েছে তাকে অনুমতি দিয়েছে আয়কর বিভাগের ই-ফাইলিং পোর্টাল অন্যান্য ব্যক্তির আপ-টু-ডেট ব্যক্তিগত এবং আর্থিক ডেটা অ্যাক্সেস করতে।
উন্মুক্ত ডেটাতে পূর্ণ নাম, বাড়ির ঠিকানা এবং ইমেল ঠিকানা, জন্মের তারিখ, ফোন নম্বর এবং ভারতে তাদের আয়ের উপর কর প্রদানকারী ব্যক্তিদের ব্যাংক অ্যাকাউন্টের বিবরণ অন্তর্ভুক্ত ছিল। তথ্যটি নাগরিকদের আধার নম্বরও উন্মোচিত করেছিল, এটি একটি অনন্য সরকার-বর্ণিত পরিচয়কারী পরিচয়ের প্রমাণ হিসাবে এবং সরকারী পরিষেবাগুলিতে অ্যাক্সেসের জন্য ব্যবহৃত হয়েছিল।
টেকক্রাঞ্চ পোর্টালে এই প্রতিবেদকের রেকর্ডগুলি সন্ধান করার জন্য রিজারচারদের অনুমতি দিয়ে ডেটা তার দক্ষতার সর্বোত্তমভাবে যাচাই করেছে।
সুরক্ষা গবেষকরা ২ অক্টোবর টেকক্রাঞ্চকে নিশ্চিত করেছেন যে দুর্বলতা স্থির হয়েছিল। জনসাধারণের কাছে ঝুঁকি দেওয়া, টেকক্রাঞ্চ এই গল্পটি প্রকাশ করা রোধ করে যতক্ষণ না সুরক্ষা গবেষকরা নিশ্চিত হন যে দুর্বলতা আর শোষণ করা যায় না।
ভারতীয় আয়কর বিভাগের প্রতিনিধিরা আমাদের ইমেল অনুরোধের জন্য আমাদের ইমেলটি স্বীকার করেছেন, তবে প্রেসের সময় দিয়ে আমাদের প্রশ্নের উত্তর দেননি। আয়কর বিভাগ আমাদের এই গল্পটি প্রকাশের জন্য কোনও আপত্তি উপস্থাপন করেনি।
‘অত্যন্ত কম ঝুলন্ত’ বাগ সংবেদনশীল ডেটাতে অ্যাক্সেস দিয়েছে
সুরক্ষা গবেষকরা অক্ষয় সিএস এবং “ভাইরাল” টেকক্রাঞ্চকে বলেছিলেন যে তারা সরকারী ওয়েবসাইটে তাদের সাম্প্রতিক আয়কর রিটার্ন দাখিল করার সময় দুর্বলতা আবিষ্কার করেছেন।
ভারত সরকারের জন্য যে করগুলি উন্মুক্ত করা হয় তা গণনা করতে ভারতের বাসিন্দাদের তাদের বার্ষিক উপার্জন ফাইল করতে হবে।
গবেষকরা ওয়েব পৃষ্ঠার লোড হিসাবে নেটওয়ার্ক অনুরোধে অন্য প্যানের জন্য তার প্যানটি অদলবদল করে আর্থিক ডেটা খুঁজে পেয়েছিলেন।
এটি পোস্টম্যান বা এর মতো সর্বজনীনভাবে উপলভ্য সরঞ্জামগুলি ব্যবহার করে করা যেতে পারে বার্প স্যুট (বা ওয়েব ব্রাউজারের ইন-ওয়ার্ল্ড ডেভেলপার সরঞ্জামগুলি ব্যবহার করে) এবং অন্য কারও প্যান সম্পর্কে জ্ঞান সহ, ফলাফলগুলি টেকক্রাঞ্চকে জানিয়েছে।
ট্যাক্স পোর্টালে লগ ইন করা যে কেউ এই বাগটি শোষণযোগ্য কারণ ভারতীয় আয়কর বিভাগের ব্যাক-এড সার্ভারগুলি সঠিকভাবে যাচাই করছিল না যে কোনও ব্যক্তির ডেটা অ্যাক্সেস করার জন্য কাকে অ্যাক্সেসের অনুমতি দেওয়া হয়েছিল। এই শ্রেণীর দুর্বলতা হ’ল একটি অনিরাপদ নির্দেশিত অবজেক্ট রেফারেন্স হিসাবে জ্ঞান, বা ইডোর, একটি সাধারণ এবং সাধারণ ত্রুটি যা সরকারগুলি সতর্ক করেছে যে শোষণ করা সহজ এবং বড় আকারের ডেটা লঙ্ঘন করতে পারে।
“এটি একটি বহির্মুখী কম ঝুলন্ত জিনিস, তবে এটি একটি অত্যন্ত গুরুতর কনসোর্টেস রয়েছে,” গবেষণাগুলি টেকক্রাঞ্চকে জানিয়েছে।
ব্যক্তিদের ডেটা ছাড়াও, ফলাফলগুলি বলেছে যে বাগটি ই-ফাইলিং পোর্টালের সাথে নিবন্ধিত সংস্থাগুলির সাথে সংযুক্ত ডেটাও উন্মুক্ত করেছিল।
টেকক্রাঞ্চ আলাসো যাচাই করেছে যে এই বছর তাদের আয়কর রিটার্ন দাখিল করার জন্য দম্পতি রয়েছে এমন ব্যক্তিদের উপর বাগটি ডেটা উন্মুক্ত করেছে। আমরা এমন কোনও ব্যক্তিকে আহ্বান জানিয়ে এটি নিশ্চিত করেছি যে পোর্টাল বাগটি ব্যবহার করে ফলাফলগুলি তাদের তথ্য সন্ধান করার জন্য তাদের অনুমতি দেওয়ার জন্য তাদের ট্যাক্স রিটার্ন দায়ের করেনি।
সার্টি-ইন সুরক্ষা ত্রুটি স্বীকার করে
সুরক্ষা গবেষকরা কেবল তাদের আবিষ্কারের সুরক্ষার ত্রুটি সম্পর্কে ভারতের কম্পিউটার জরুরী প্রস্তুতি দল বা সার্ট-ইনকে সতর্ক করেছিলেন, তবে ঠিক করার জন্য একটি টাইমলাইন সরবরাহ করা হয়নি।
৩০ শে সেপ্টেম্বর টেকক্রাঞ্চের সাথে যোগাযোগ করা হলে, সিআরটি-ইন প্রতিনিধি বলেছেন যে আয়কর বিভাগ ইতিমধ্যে দুর্বলতা সমাধানের জন্য কাজ করছে।
ভারতীয় অর্থ মন্ত্রক মন্তব্যের জন্য টেকক্রাঞ্চের অনুরোধটি ফেরত দেয়নি। দুর্বলতার বিষয়ে আয়কর বিভাগের কাছে পৌঁছানোর পরে, সিস্টেমের মহাপরিচালক 1 অক্টোবর টেকক্রাঞ্চের ইমেলের প্রাপ্তি স্বীকার করেছেন, তবে তিনি প্রচণ্ড মন্তব্য করেননি।
দুর্বলতা কতক্ষণ বিদ্যমান আছে বা কোনও দূষিত অভিনেতা উন্মুক্ত ডেটা অ্যাক্সেস করেছেন কিনা তা এটি অপরিবর্তিত রয়েছে। টেকক্রাঞ্চের দ্বারা জিজ্ঞাসা করা হলে সার্ট-ইন এই প্রশ্নগুলিতে সাড়া দেয়নি।
এক্সপোজড ডেটা দ্বারা প্রভাবিত ব্যবহারকারীদের সঠিক সংখ্যাটিও অপ্রত্যাশিত। আয়কর বিভাগের পোর্টালটিতে ১৩৫ মিলিয়নেরও বেশি নিবন্ধিত ব্যবহারকারীকে তালিকাভুক্ত করা হয়েছে এবং 76 76 মিলিয়নেরও বেশি ব্যবহারকারী প্রতি অর্থবছরে ২০২৪-২৫-এ আয়কর রিটার্ন দাখিল করেছেন পাবলিক ডেটা পোর্টালে নিজেই উপলব্ধ।
