
இந்தியாவின் வருமான வரி வெப்சைட்டில் தரவு மீறலா? வரி செலுத்துவோர் தரவுகள் லீக் ஆனதா?
செய்தி முன்னோட்டம்
இந்தியாவின் வருமான வரி தாக்கல் போர்ட்டலில் இருந்த ஒரு பெரிய பாதுகாப்பு பாதிப்பு சரி செய்யப்பட்டுள்ளதாக டெக்க்ரஞ்ச் தெரிவித்துள்ளது. பாதுகாப்பு ஆராய்ச்சியாளர்களான அக்ஷய் சிஎஸ் மற்றும் "வைரல்" ஆகியோர் செப்டம்பரில் கண்டுபிடித்த இந்த குறைபாடு, உள்நுழைந்த பயனர்கள், பிற வரி செலுத்துவோரின் நிகழ்நேர தனிப்பட்ட மற்றும் நிதி தகவல்களை அணுக அனுமதித்தது. இதில் முழு பெயர்கள், வீட்டு முகவரிகள், மின்னஞ்சல் முகவரிகள், பிறந்த தேதிகள், தொலைபேசி எண்கள் மற்றும் வங்கி கணக்கு தகவல் போன்ற முக்கியமான விவரங்கள் அடங்கும்.
தரவு வெளிப்பாடு
தனிநபர்களின் ஆதார் எண்கள் அம்பலமானது
வருமான வரி தாக்கல் போர்ட்டலில் இருந்த பாதுகாப்பு குறைபாடு, அடையாள சரிபார்ப்பு மற்றும் அரசு சேவைகளை அணுகுவதற்கு பயன்படுத்தப்படும் அரசாங்கத்தால் வழங்கப்பட்ட தனித்துவமான அடையாள எண்ணான ஆதார் எண்களையும் அம்பலப்படுத்தியது. ஆராய்ச்சியாளர்கள் போர்ட்டலில் அதன் பதிவுகளை தேட அனுமதிப்பதன் மூலம் டெக் க்ரஞ்ச் தரவைச் சரிபார்த்தது. பாதிப்பு சரிசெய்யப்பட்டதாக ஆராய்ச்சியாளர்கள் அக்டோபர் 2 அன்று உறுதிப்படுத்தினர்.
கண்டுபிடிப்பு செயல்முறை
வரி வருமானத்தை தாக்கல் செய்யும் போது ஆராய்ச்சியாளர்கள் பிழையை கண்டறிந்தனர்
ஆராய்ச்சியாளர்கள் அரசாங்க வலைத்தளத்தில் தங்கள் சமீபத்திய வருமான வரி வருமானத்தை தாக்கல் செய்யும் போது பாதுகாப்பு குறைபாட்டைக் கண்டறிந்தனர். தங்கள் நிரந்தர கணக்கு எண்ணை (PAN) பயன்படுத்தி போர்ட்டலில் உள்நுழைவதன் மூலம், பக்கம் ஏற்றப்படும்போது நெட்வொர்க் கோரிக்கையில் தங்கள் PAN ஐ, மற்றொரு PAN உடன் மாற்றுவதன் மூலம் வேறு யாருடைய முக்கியமான நிதித் தரவையும் பார்க்க முடியும் என்பதை அவர்கள் கண்டறிந்தனர். Postman அல்லது Burp Suite போன்ற பொதுவில் கிடைக்கும் கருவிகளைப் பயன்படுத்தியும், வேறொருவரின் PAN பற்றிய அறிவை பயன்படுத்தியும் இதைச் செய்யலாம்.
விவரங்கள்
வரி போர்ட்டலில் உள்நுழைந்த எவரும் பாதிப்பை எளிதில் சுரண்ட முடியும்
வருமான வரி துறையின் பின்-இறுதி சேவையகங்கள் ஒரு நபரின் முக்கியமான தரவை யார் அணுக முடியும் என்பதை சரியாகச் சரிபார்க்காததால், வரி போர்ட்டலில் உள்நுழைந்த எவரும் இந்த பாதிப்பைப் பயன்படுத்திக் கொள்ள முடியும். இந்த வகையான பாதிப்பு பாதுகாப்பற்ற நேரடி பொருள் குறிப்பு (IDOR) என்று அழைக்கப்படுகிறது, இது அரசாங்கங்கள் எச்சரித்த ஒரு பொதுவான குறைபாடாகும். இது எளிதில் சுரண்டப்பட்டு பெரிய அளவிலான தரவு மீறல்களுக்கு வழிவகுக்கும்.
தரவு மீறல்
வரி தாக்கல் செய்யாத நபர்களின் தரவுகளையும் பிழை அம்பலப்படுத்தியது
தனிப்பட்ட தரவுகளுடன், மின்-தாக்கல் போர்ட்டலில் பதிவுசெய்யப்பட்ட நிறுவனங்கள் தொடர்பான தகவல்களையும் இந்தப் பிழை அம்பலப்படுத்தியது. நடப்பு ஆண்டிற்கான வருமான வரிக் கணக்கை தாக்கல் செய்யாத நபர்களின் தரவையும் இந்தப் பிழை அம்பலப்படுத்தியதை டெக் க்ரஞ்ச் சரிபார்த்தது. இந்த போர்டல் பிழையைப் பயன்படுத்தி ஆராய்ச்சியாளர்கள் தங்கள் தகவல்களை பார்க்க அனுமதிக்க, வரிக் கணக்கை தாக்கல் செய்யாத ஒரு நபரிடம் அனுமதி கேட்டதன் மூலம் இது உறுதிப்படுத்தப்பட்டது.