Las autoridades fiscales del gobierno indio han fijado un defecto de seguridad en el portal de la declaración de impuestos sobre la renta, que publica datos de contribuyentes confidenciales.
El defecto, descubierto por los investigadores de seguridad Akshay CS y «Viral» en septiembre, permitió que cualquiera inició sesión en el portal de presentación electrónica de la Oficina del Impuesto sobre el Impuesto sobre la Renta para acceder a los últimos datos personales y financieros de otras personas.
Los datos expuestos incluyeron nombre completo, dirección de la casa, dirección de correo electrónico, fecha de nacimiento, número de teléfono y detalles de la cuenta bancaria de aquellos que pagan impuestos sobre sus ingresos indios. Los datos también expusieron los números de Aadhaar de los ciudadanos. Este es un identificador único emitido por el gobierno utilizado como prueba de identidad y utilizado para acceder a los servicios gubernamentales.
TechCrunch confirmó los datos al máximo extensión de sus capacidades al otorgar permiso a los investigadores para buscar en los registros del reportero en el portal.
Los investigadores de seguridad confirmaron que la vulnerabilidad se solucionó en TechCrunch el 2 de octubre. Dados los riesgos para el público, TechCrunch se ha abstenido de publicar la historia hasta que los investigadores de seguridad hayan confirmado que la vulnerabilidad ya no puede ser explotada.
Representantes de la Agencia de Impuestos sobre la Renta de la India han confirmado el correo electrónico solicitando comentarios, pero no respondieron a las preguntas por tiempo de informe. La Oficina del Impuesto sobre la Renta no se opuso a la publicación de esta historia.
El error «muy bajo» permitió el acceso a datos confidenciales
Los investigadores de seguridad Akshay CS y Viral le dijeron a TechCrunch que descubrieron la vulnerabilidad al presentar una declaración reciente de impuestos sobre la renta en el sitio web del gobierno.
Los residentes indios deben presentar los ingresos anuales para calcular los impuestos adeudados al gobierno indio.
Cuando los investigadores firmaron el portal utilizando el Número de cuenta permanente del documento oficial (PAN), emitido por la división de impuestos sobre la renta de la India, descubrieron que al intercambiar otro PAN en la solicitud de red de PAN cuando se carga la página web, podían ver los delicados datos financieros de otros.
Esto se puede hacer utilizando herramientas públicas disponibles como Postman o Burp Suite (o utilizando herramientas de desarrollador incorporadas en un navegador web).
Los servidores de back -end de la Agencia de Impuestos sobre la Renta de la India no verificaron adecuadamente a los que se les permitió acceder a los datos confidenciales de las personas, por lo que el error podría ser explotado por las personas que iniciaron sesión en el portal fiscal. Esta clase de vulnerabilidades se conoce como referencias de objetos directos inestables como una falla común y simple que el gobierno advierte es fácil y puede conducir a infracciones masivas de datos.
«Es muy bajo, pero tiene consecuencias muy graves», dijo el investigador a TechCrunch.
Además de los datos personales, los investigadores dijeron que también publicaron datos relacionados con empresas cuyos errores estaban registrados en el portal de presentación electrónica.
TechCrunch también confirmó que el error ha publicado datos sobre personas que aún no han presentado sus declaraciones de impuestos sobre la renta este año. Esto se confirmó preguntando a las personas que aún no han presentado sus declaraciones de impuestos, pidiendo permiso para usar el error del portal para permitir que los investigadores analicen la información.
Certin reconoce fallas de seguridad
Los investigadores de seguridad advirtieron al Equipo de Preparación de Emergencias de la Computación de la India (Certificado) de fallas de seguridad inmediatamente después del descubrimiento, pero no se proporcionó una línea de tiempo para las soluciones.
Cuando TechCrunch lo contactó el 30 de septiembre, un representante de Certin dijo que la oficina del impuesto sobre la renta ya estaba trabajando para arreglar la vulnerabilidad.
El Tesoro de la India no respondió a la solicitud de comentarios de TechCrunch. Después de comunicarse con la agencia de impuestos sobre la renta con respecto a la vulnerabilidad, el director de sistemas confirmó la recepción de correos electrónicos de TechCrunch el 1 de octubre, pero no hizo más comentarios.
No está claro cuántas vulnerabilidades existen y si las partes maliciosas tienen acceso a datos expuestos. Cert-In no respondió a estas preguntas cuando TechCrunch le hizo.
También se desconoce el número exacto de usuarios afectados por los datos publicados. El portal de la Oficina de Impuestos sobre la Renta enumera a más de 135 millones de usuarios registrados, y más de 76 millones de usuarios presentaron declaraciones de impuestos sobre la renta para el año fiscal 2024-25 por cada datos disponibles públicamente disponibles en el portal mismo.
Source link
