LOADING...
இந்தியாவின் வருமான வரி வெப்சைட்டில் தரவு மீறலா? வரி செலுத்துவோர் தரவுகள் லீக் ஆனதா?
இந்த குறைபாடு, உள்நுழைந்த பயனர்கள், பிற வரி செலுத்துவோரின் நிகழ்நேர தகவல்களை அணுக அனுமதித்தது

இந்தியாவின் வருமான வரி வெப்சைட்டில் தரவு மீறலா? வரி செலுத்துவோர் தரவுகள் லீக் ஆனதா?

எழுதியவர் Venkatalakshmi V
Oct 08, 2025
10:16 am

செய்தி முன்னோட்டம்

இந்தியாவின் வருமான வரி தாக்கல் போர்ட்டலில் இருந்த ஒரு பெரிய பாதுகாப்பு பாதிப்பு சரி செய்யப்பட்டுள்ளதாக டெக்க்ரஞ்ச் தெரிவித்துள்ளது. பாதுகாப்பு ஆராய்ச்சியாளர்களான அக்ஷய் சிஎஸ் மற்றும் "வைரல்" ஆகியோர் செப்டம்பரில் கண்டுபிடித்த இந்த குறைபாடு, உள்நுழைந்த பயனர்கள், பிற வரி செலுத்துவோரின் நிகழ்நேர தனிப்பட்ட மற்றும் நிதி தகவல்களை அணுக அனுமதித்தது. இதில் முழு பெயர்கள், வீட்டு முகவரிகள், மின்னஞ்சல் முகவரிகள், பிறந்த தேதிகள், தொலைபேசி எண்கள் மற்றும் வங்கி கணக்கு தகவல் போன்ற முக்கியமான விவரங்கள் அடங்கும்.

தரவு வெளிப்பாடு

தனிநபர்களின் ஆதார் எண்கள் அம்பலமானது

வருமான வரி தாக்கல் போர்ட்டலில் இருந்த பாதுகாப்பு குறைபாடு, அடையாள சரிபார்ப்பு மற்றும் அரசு சேவைகளை அணுகுவதற்கு பயன்படுத்தப்படும் அரசாங்கத்தால் வழங்கப்பட்ட தனித்துவமான அடையாள எண்ணான ஆதார் எண்களையும் அம்பலப்படுத்தியது. ஆராய்ச்சியாளர்கள் போர்ட்டலில் அதன் பதிவுகளை தேட அனுமதிப்பதன் மூலம் டெக் க்ரஞ்ச் தரவைச் சரிபார்த்தது. பாதிப்பு சரிசெய்யப்பட்டதாக ஆராய்ச்சியாளர்கள் அக்டோபர் 2 அன்று உறுதிப்படுத்தினர்.

கண்டுபிடிப்பு செயல்முறை

வரி வருமானத்தை தாக்கல் செய்யும் போது ஆராய்ச்சியாளர்கள் பிழையை கண்டறிந்தனர்

ஆராய்ச்சியாளர்கள் அரசாங்க வலைத்தளத்தில் தங்கள் சமீபத்திய வருமான வரி வருமானத்தை தாக்கல் செய்யும் போது பாதுகாப்பு குறைபாட்டைக் கண்டறிந்தனர். தங்கள் நிரந்தர கணக்கு எண்ணை (PAN) பயன்படுத்தி போர்ட்டலில் உள்நுழைவதன் மூலம், பக்கம் ஏற்றப்படும்போது நெட்வொர்க் கோரிக்கையில் தங்கள் PAN ஐ, மற்றொரு PAN உடன் மாற்றுவதன் மூலம் வேறு யாருடைய முக்கியமான நிதித் தரவையும் பார்க்க முடியும் என்பதை அவர்கள் கண்டறிந்தனர். Postman அல்லது Burp Suite போன்ற பொதுவில் கிடைக்கும் கருவிகளைப் பயன்படுத்தியும், வேறொருவரின் PAN பற்றிய அறிவை பயன்படுத்தியும் இதைச் செய்யலாம்.

விவரங்கள்

வரி போர்ட்டலில் உள்நுழைந்த எவரும் பாதிப்பை எளிதில் சுரண்ட முடியும்

வருமான வரி துறையின் பின்-இறுதி சேவையகங்கள் ஒரு நபரின் முக்கியமான தரவை யார் அணுக முடியும் என்பதை சரியாகச் சரிபார்க்காததால், வரி போர்ட்டலில் உள்நுழைந்த எவரும் இந்த பாதிப்பைப் பயன்படுத்திக் கொள்ள முடியும். இந்த வகையான பாதிப்பு பாதுகாப்பற்ற நேரடி பொருள் குறிப்பு (IDOR) என்று அழைக்கப்படுகிறது, இது அரசாங்கங்கள் எச்சரித்த ஒரு பொதுவான குறைபாடாகும். இது எளிதில் சுரண்டப்பட்டு பெரிய அளவிலான தரவு மீறல்களுக்கு வழிவகுக்கும்.

தரவு மீறல்

வரி தாக்கல் செய்யாத நபர்களின் தரவுகளையும் பிழை அம்பலப்படுத்தியது

தனிப்பட்ட தரவுகளுடன், மின்-தாக்கல் போர்ட்டலில் பதிவுசெய்யப்பட்ட நிறுவனங்கள் தொடர்பான தகவல்களையும் இந்தப் பிழை அம்பலப்படுத்தியது. நடப்பு ஆண்டிற்கான வருமான வரிக் கணக்கை தாக்கல் செய்யாத நபர்களின் தரவையும் இந்தப் பிழை அம்பலப்படுத்தியதை டெக் க்ரஞ்ச் சரிபார்த்தது. இந்த போர்டல் பிழையைப் பயன்படுத்தி ஆராய்ச்சியாளர்கள் தங்கள் தகவல்களை பார்க்க அனுமதிக்க, வரிக் கணக்கை தாக்கல் செய்யாத ஒரு நபரிடம் அனுமதி கேட்டதன் மூலம் இது உறுதிப்படுத்தப்பட்டது.