Income tax portal: భారత ఆదాయపన్ను వెబ్సైట్లో సెక్యూరిటీ లోపం .. పన్ను చెల్లింపుదారుల వ్యక్తిగత సమాచారం బహిర్గతం
ఈ వార్తాకథనం ఏంటి
భారత ప్రభుత్వ ఆదాయపన్ను శాఖకు చెందిన ఇ-ఫైలింగ్ పోర్టల్లో పెద్ద ఎత్తున భద్రతా లోపం బయటపడింది. ఈ లోపం వల్ల పన్ను చెల్లింపుదారుల వ్యక్తిగత, ఆర్థిక వివరాలు బహిర్గతమైనట్టు 'టెక్క్రంచ్' ప్రత్యేకంగా వెలుగులోకి తెచ్చింది. అధికారులు ఈ లోపాన్ని ఇప్పుడు సరిచేశారు. సెప్టెంబర్లో సైబర్ సెక్యూరిటీ నిపుణులు అక్షయ్ సీ ఎస్, 'వైరల్' అనే మరో పరిశోధకుడు ఈ లోపాన్ని గుర్తించారు. వారు వెల్లడించిన వివరాల ప్రకారం, ఎవరైనా ఆదాయపన్ను శాఖ ఇ-ఫైలింగ్ వెబ్సైట్లో లాగిన్ అయిన తర్వాత, ఇతర పన్ను చెల్లింపుదారుల తాజా వ్యక్తిగత వివరాలను, బ్యాంక్ సమాచారం సహా, చూడగలిగే పరిస్థితి ఏర్పడింది.
వివరాలు
బయటపడిన వివరాల్లో ..
బయటపడిన వివరాల్లో పన్ను చెల్లింపుదారుల పూర్తి పేరు, చిరునామా, ఈమెయిల్, జన్మతేది, మొబైల్ నంబర్, బ్యాంక్ ఖాతా వివరాలు మాత్రమే కాకుండా ఆధార్ నంబర్ కూడా ఉన్నట్టు వెల్లడైంది. ఆధార్ నంబర్ ప్రభుత్వ గుర్తింపుకార్డు కావడంతో, ఇది మరింత సున్నితమైన అంశమని నిపుణులు పేర్కొన్నారు. టెక్క్రంచ్ తమ రిపోర్టర్ వ్యక్తిగత డేటాను ఈ లోపం ద్వారా సరిచూసి దాని నిజానిజాలు ధృవీకరించింది. అయితే ప్రజల భద్రత దృష్ట్యా, ఈ వార్తను వారు లోపం పూర్తిగా సరిచేయబడే వరకు బయటపెట్టలేదు. అక్టోబర్ 2న ఈ లోపం పూర్తిగా సరి అయినట్టు నిపుణులు ధృవీకరించారు. ఆదాయపన్ను శాఖ టెక్క్రంచ్ పంపిన ప్రశ్నలకు సమాధానం ఇవ్వకపోయినా, ఈ వార్తను ప్రచురించడంపై ఎలాంటి అభ్యంతరం వ్యక్తం చేయలేదు.
వివరాలు
చిన్న లోపం - పెద్ద నష్టం
అక్షయ్ సీ ఎస్,వైరల్ అనే సెక్యూరిటీ నిపుణులు తమ ఆదాయపన్ను రిటర్న్ దాఖలు చేస్తున్నప్పుడు ఈ లోపాన్ని గుర్తించారు. భారత పౌరులు ప్రతి సంవత్సరం తమ ఆదాయం ఆధారంగా పన్ను దాఖలు చేయాల్సిన అవసరం ఉంటుంది. వారు లాగిన్ అయ్యేటప్పుడు ఉపయోగించే పాన్ (Permanent Account Number) ద్వారా ఇతరుల పాన్ నంబర్ను సిస్టమ్లో మార్చి వేయడం ద్వారా, ఆ వ్యక్తుల డేటా కూడా చూడగలిగినట్టు వెల్లడించారు. ఇది సాధారణంగా అందుబాటులో ఉన్న Postman, Burp Suite వంటి టూల్స్ ద్వారా చేయగలిగే స్థాయి లోపమని చెప్పారు.
వివరాలు
చిన్న లోపం - పెద్ద నష్టం
ఈ లోపం వెనుక కారణం.. బ్యాక్ఎండ్ సర్వర్లు ఎవరు ఏ డేటా యాక్సెస్ చేయగలరో సరిగా ధృవీకరించకపోవడమేనని నిపుణులు చెప్పారు. దీనిని "Insecure Direct Object Reference (IDOR)" అనే లోపం రకంగా పిలుస్తారు. ఇది సులభంగా దాడులకు గురయ్యే సర్వసాధారణమైన భద్రతా సమస్య. "ఇది చాలా చిన్న లోపం లాగానే కనిపించినా, దాని ఫలితాలు చాలా తీవ్రమైనవి కావచ్చు," అని పరిశోధకులు టెక్క్రంచ్కి తెలిపారు. అంతేకాక, ఈ లోపం వ్యక్తులే కాదు, కంపెనీల డేటాను కూడా బయటపెట్టిందని నిపుణులు తెలిపారు. ఇంకా తమ ఆదాయపన్ను రిటర్న్ దాఖలు చేయని వ్యక్తుల డేటా కూడా అందుబాటులో ఉందని వారు ధృవీకరించారు.
వివరాలు
CERT-Inకి సమాచారం
ఈ లోపాన్ని గుర్తించిన వెంటనే నిపుణులు దేశీయ కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీం(CERT-In)కి సమాచారం అందించారు. అయితే సమస్య ఎప్పుడు పరిష్కారమవుతుందో సమయాన్నివారు వెల్లడించలేదు.టెక్క్రంచ్ సెప్టెంబర్ 30న CERT-Inను సంప్రదించగా,ఆదాయపన్ను శాఖ ఇప్పటికే లోపాన్ని సరిచేసే పనిలో ఉందని వారు తెలిపారు. అక్టోబర్ 1న ఆదాయపన్ను శాఖ సిస్టమ్స్ డైరెక్టర్ జనరల్ టెక్క్రంచ్ మెయిల్ అందుకున్నట్టు ధృవీకరించినా,దీనిపై వారు ఎటువంటి స్పందన ఇవ్వలేదు. ఈ లోపం ఎంతకాలంగా ఉందో,దానిని ఎవరైనా దుర్వినియోగం చేశారా అనే వివరాలు మాత్రం ఇంకా స్పష్టంగా తెలియరాలేదు. ప్రస్తుతం ఆదాయపన్ను వెబ్సైట్లో 13.5కోట్లకు పైగా నమోదు చేసుకున్న వినియోగదారులు ఉన్నారు. వీరిలో 2024-25ఆర్థిక సంవత్సరంలో 7.6కోట్ల మంది తమ పన్ను రిటర్న్లు దాఖలు చేసినట్టు పోర్టల్ గణాంకాలు చెబుతున్నాయి.