חשיפת מידע רגיש בפורטל מס ההכנסה ההודי: תקלה ותיקונה
באג אבטחה משמעותי בפורטל מס ההכנסה של הודו הצליח לחשוף מידע אישי וכלכלי רגיש של משלמי המסים במדינה, כך נודע ל-TechCrunch. התקלה התגלתה בספטמבר על ידי חוקרי האבטחה אקשי CS ו"וויראל", אשר הבחינו כי כל משתמש מחובר יכול היה לגשת למידע האישי והפיננסי של אחרים. בין המידע שנחשף היו שמות מלאים, כתובות דואר אלקטרוני, תאריכי לידה, מספרי טלפון, פרטי חשבונות בנק, ואף מספר ה-Aadhaar הייחודי, המשמש כהוכחת זהות בהודו.
חוקרי האבטחה הצליחו להוכיח את קיומה של התקלה על ידי שימוש בכלים זמינים לציבור, כמו Postman או Burp Suite. הם גילו כי החלפת מספר PAN בבקשת הרשת אפשרה להם גישה למידע הרגיש של אנשים אחרים. הפגיעות, המכונה IDOR (הפניה ישירה לאובייקט בלתי מאובטחת), היא פגם נפוץ שעלול להוביל להפרות נתונים רחבות היקף.
TechCrunch, בשיתוף עם החוקרים, בדקו את המידע שנחשף ואישרו כי הפגיעות תוקנה עד ה-2 באוקטובר. למרות זאת, מחלקת מס ההכנסה של הודו נמנעה מלהגיב על שאלות הנוגעות להיקף התקלה או למשך הזמן שבו הייתה קיימת.
החוקרים דיווחו על התקלה ל-CERT-In, צוות המוכנות לחירום מחשבים של הודו, אך לא קיבלו לוח זמנים לתיקון. נציג CERT-In ציין כי מחלקת מס ההכנסה פועלת על תיקון הפגיעות, אך משרד האוצר ההודי לא הגיב לבקשת תגובה נוספת בנושא.
האירוע הזה מדגיש את חשיבות האבטחה הדיגיטלית והצורך בבדיקות מתמשכות לאבטחת מערכות מידע ממשלתיות. חשיפת מידע אישי רגיש עלולה להוביל לניצול לרעה ולהפרות פרטיות חמורות. נותר לראות האם הרשויות ההודיות יפעלו לשיפור האבטחה במערכותיהן כדי למנוע תקלות דומות בעתיד.
מה דעתכם על האירוע הזה? האם לדעתכם יש צורך בהחמרת התקנות והבדיקות על מערכות מידע ממשלתיות? נשמח לשמוע את דעתכם והצעותיכם לשיפור האבטחה.