В портале для подачи налоговых деклараций Индии была обнаружена и устранена серьезная уязвимость, которая позволяла получить доступ к конфиденциальной информации налогоплательщиков. Эта ошибка безопасности была выявлена в сентябре двумя исследователями и позволяла любому, кто вошел в систему, просматривать личные и финансовые данные других пользователей.
В раскрытых данных содержались полные имена, домашние адреса, адреса электронной почты, даты рождения, номера телефонов и банковские реквизиты налогоплательщиков. Кроме того, была доступна уникальная идентификационная информация — номер Aadhaar, используемый для подтверждения личности и доступа к государственным услугам.
Ошибка заключалась в том, что при смене идентификатора налогоплательщика (PAN) в запросе к серверу через инструменты разработчика браузера или специальные программы, можно было получить данные другого человека. Это стало возможным из-за недостаточной проверки прав доступа на серверной стороне, что является примером уязвимости типа IDOR (небезопасное прямое обращение к объекту).
Данная уязвимость была признана экспертами простой для эксплуатации, но с крайне серьезными последствиями. Помимо данных физических лиц, ошибка также раскрывала информацию компаний, зарегистрированных на портале. Уязвимость затрагивала не только уже поданных налоговых деклараций, но и данные тех, кто еще не подал отчетность за текущий год.
После обнаружения ошибка была сообщена в национальную команду реагирования на компьютерные инциденты CERT-In, которая подтвердила, что работа по устранению уязвимости уже ведется. Точные сроки существования ошибки и количество пострадавших пользователей неизвестны, равно как и информация о возможных злоумышленниках, получивших доступ к данным.
Портал налоговой службы Индии насчитывает более 135 миллионов зарегистрированных пользователей, из которых свыше 76 миллионов подали налоговые декларации за финансовый год 2024-25. Учитывая масштаб платформы, потенциальные риски для безопасности данных пользователей остаются значительными.
