Hindistan hükümetinin vergi otoritesi, duyduğu tedirginliğe son vermek için gelir vergisi tahsil portalındaki güvenlik açığını kapattı. Bu açık, gizli vergi mükellefi bilgilerini sızdırıyordu.
Güvenlik araştırmacıları Akshay CS ve “Viral” tarafından Eylül ayında keşfedilen bu açık, income tax department’ın e-Filing portalında oturum açan herkesin, başka kişilerin güncel kişisel ve finansal verilerini görmesine olanak sağlıyordu.
Sızıntıya neden olan veriler arasında tam isimler, adresler, e-posta adresleri, doğum tarihleri, telefon numaraları ve banka hesap bilgileri yer alıyordu. Ayrıca, vatandaşların kimlik kanıtı olarak kullanılan Aadhar numaraları da ifşa edilmişti.
TechCrunch, araştırmacılara izin vererek bu verilere eriştiğini doğruladı.
Güvenlik açığı 2 Ekim’de kapatıldı. Verilen halk sağlığı riskleri nedeniyle, bu haberi yayınlamadan önce açığın artık istismar edilemeyeceği doğrulandı.
Güvenlik Açığı ve Sonuçları
Akshay CS ve “Viral”, bu açığı, gelir vergisi beyannamesi verirken fark etti. Hindistan vatandaşları, yıllık kazançlarını beyan etmekle yükümlüdürler.
Araştırmacılar, e-Filing portalına giriş yaptıktan sonra, kendi Kalıcı Hesap Numaralarını (PAN) bir diğerinin PAN’i ile değiştirerek, başka bir kişinin finansal verilerine erişebildiklerini keşfettiler. Bu işlem, Postman veya Burp Suite gibi genel araçlar kullanılarak, hatta tarayıcının yerleşik geliştirici araçlarıyla sağlanabiliyordu.
Açığın neden olduğu bu problem, portalda oturum açan herhangi bir kişi tarafından istismar edilebiliyordu. Hindistan gelir idaresinin arka uç sunucuları, bir kullanıcının hangi verilere erişebileceğini doğru bir şekilde kontrol etmiyordu. Bu tür bir güvenlik açığına güvenli olmayan doğrudan nesne referansı (IDOR) denir ve bu durum büyük ölçekli veri ihlallerine neden olabilir.
Hızlı Tepki ve düzeltmeler
Güvenlik araştırmacıları, bu açığı tespit ettikten hemen sonra Hindistan’ın bilgisayar acil durum müdahale ekibine (CERT-In) bildirmişlerdir, ancak bir düzeltme için zaman çizelgesi verilmemiştir.
TechCrunch, 30 Eylül tarihinde iletişim kurduğunda, CERT-In yetkilisi, Gelir İdaresi’nin bu açığı düzeltmek için çalıştığını belirtmiştir.
Açığın ne kadar süredir var olduğu ve kötü niyetli aktörlerin ifşa edilen verilere erişip erişmediği belirsizliğini koruyor. CERT-In, bu sorulara yanıt vermedi.
Sızıntı Kapsamı ve Etkisi
Açık nedeniyle etkilenen kullanıcı sayısı da belirsiz. Gelir İdaresi’nin portalında 135 milyonun üzerinde kayıtlı kullanıcı ve 76 milyonun üzerinde kullanıcı, 2024-25 mali yılında gelir vergisi beyannamesi vermiştir.
Bu durum, dijital güvenliği tehdit eden önemli bir sorun olarak gündemdeki yerini korumaktadır. Hem bireylerin hem de şirketlerin gizli verilerinin, bu tür basit hatalar nedeniyle riske girmesi, toplumda endişe yaratmaktadır.
