[ad_1]
ভারত সরকারের কর কর্তৃপক্ষ তার আয়কর ফাইলিং পোর্টালে একটি সুরক্ষা ত্রুটি সমাধান করেছে যা সংবেদনশীল করদাতাদের ডেটা প্রকাশ করছিল, টেকক্রাঞ্চ কর্তৃপক্ষের সাথে একচেটিয়াভাবে শিখেছে এবং নিশ্চিত করেছে।
সেপ্টেম্বরে একজোড়া নিরাপত্তা গবেষক অক্ষয় সিএস এবং “ভাইরাল” দ্বারা আবিষ্কার করা এই ত্রুটিটি যে কাউকে লগ ইন করা হয়েছে তাকে অনুমতি দিয়েছে আয়কর বিভাগের ই-ফাইলিং পোর্টাল অন্যান্য ব্যক্তির আপ-টু-ডেট ব্যক্তিগত এবং আর্থিক ডেটা অ্যাক্সেস করতে।
উন্মুক্ত ডেটাতে পূর্ণ নাম, বাড়ির ঠিকানা এবং ইমেল ঠিকানা, জন্মের তারিখ, ফোন নম্বর এবং ভারতে তাদের আয়ের উপর কর প্রদানকারী ব্যক্তিদের ব্যাংক অ্যাকাউন্টের বিবরণ অন্তর্ভুক্ত ছিল। তথ্যের পরিচয় প্রমাণ হিসাবে এবং সরকারী পরিষেবাগুলিতে অ্যাক্সেসের জন্য ব্যবহৃত একটি অনন্য সরকার-জারিযুক্ত সনাক্তকারী নাগরিকদের আধার নম্বরও উন্মুক্ত করেছিল।
টেকক্রাঞ্চটি পোর্টালে এই প্রতিবেদকের রেকর্ডগুলি সন্ধান করার জন্য গবেষকদের অনুমতি দিয়ে ডেটা তার দক্ষতার সর্বোত্তমভাবে যাচাই করেছে।
সুরক্ষা গবেষকরা ২ অক্টোবর টেকক্রাঞ্চকে নিশ্চিত করেছেন যে দুর্বলতা স্থির হয়েছিল। জনসাধারণের কাছে ঝুঁকি দেওয়া, টেকক্রাঞ্চ এই গল্পটি প্রকাশ করা রোধ করে যতক্ষণ না সুরক্ষা গবেষকরা নিশ্চিত হন যে দুর্বলতা আর শোষণ করা যায় না।
ভারতীয় আয়কর বিভাগের প্রতিনিধিরা আমাদের ইমেলটির অনুরোধের বিষয়ে স্বীকার করেছেন, তবে প্রেসের সময় দিয়ে আমাদের প্রশ্নের উত্তর দেননি। আয়কর বিভাগ আমাদের এই গল্পটি প্রকাশের জন্য কোনও আপত্তি উপস্থাপন করেনি।
‘অত্যন্ত কম ঝুলন্ত’ বাগ সংবেদনশীল ডেটাতে অ্যাক্সেস দিয়েছে
সুরক্ষা গবেষকরা অক্ষয় সিএস এবং “ভাইরাল” টেকক্রাঞ্চকে বলেছিলেন যে তারা সরকারী ওয়েবসাইটে তাদের সাম্প্রতিক আয়কর রিটার্ন দাখিল করার সময় দুর্বলতা আবিষ্কার করেছেন।
ভারতের বাসিন্দাদের ভারত সরকারের কাছে যে করগুলি তাদের ow ণী গণনা করতে তাদের বার্ষিক উপার্জন দায়ের করতে হবে।
গবেষকরা আবিষ্কার করেছেন যে তারা যখন ভারতীয় আয়কর বিভাগ দ্বারা জারি করা একটি সরকারী নথি তাদের স্থায়ী অ্যাকাউন্ট নম্বর (PAN) ব্যবহার করে পোর্টালে সাইন ইন করেছে, তখন তারা ওয়েব পৃষ্ঠার লোড হিসাবে নেটওয়ার্ক অনুরোধে অন্য প্যানের জন্য তাদের প্যানটি অদলবদল করে অন্য কারও সংবেদনশীল আর্থিক তথ্য দেখতে পারে।
এটি পোস্টম্যান বা বার্প স্যুট (বা ওয়েব ব্রাউজারের অন্তর্নির্মিত বিকাশকারী সরঞ্জামগুলি ব্যবহার করে) এবং অন্য কারও প্যান সম্পর্কে জ্ঞানের সাথে প্রকাশ্যে উপলভ্য সরঞ্জামগুলি ব্যবহার করে করা যেতে পারে, গবেষকরা টেকক্রাঞ্চকে বলেছেন।
ট্যাক্স পোর্টালে লগ ইন করা যে কেউ এই বাগটি ব্যবহারযোগ্য কারণ ভারতীয় আয়কর বিভাগের ব্যাক-এন্ড সার্ভারগুলি সঠিকভাবে যাচাই করছিল না যে একজন ব্যক্তির সংবেদনশীল ডেটা অ্যাক্সেস করার অনুমতি দেওয়া হয়েছিল। এই শ্রেণীর দুর্বলতা একটি অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স বা আইডোর হিসাবে পরিচিত, একটি সাধারণ এবং সাধারণ ত্রুটি যা সরকারগুলি সতর্ক করেছে যে তারা শোষণ করা সহজ এবং এর ফলে বড় আকারের ডেটা লঙ্ঘন হতে পারে।
“এটি একটি অত্যন্ত কম ঝুলন্ত জিনিস, তবে একটি খুব মারাত্মক পরিণতি রয়েছে,” গবেষকরা টেকক্রাঞ্চকে বলেছেন।
ব্যক্তিদের ডেটা ছাড়াও গবেষকরা বলেছিলেন যে বাগটি ই-ফাইলিং পোর্টালে নিবন্ধিত সংস্থাগুলির সাথে সম্পর্কিত ডেটাও উন্মুক্ত করেছিল।
টেকক্রাঞ্চ আরও যাচাই করেছে যে বাগটি এই বছর তাদের আয়কর রিটার্ন ফাইল করতে পারে এমন ব্যক্তিদের উপর ডেটা উন্মুক্ত করেছে। আমরা এমন কোনও ব্যক্তিকে জিজ্ঞাসা করে এটি নিশ্চিত করেছি যারা এখনও তাদের পোর্টাল বাগটি ব্যবহার করে গবেষকদের তাদের তথ্য সন্ধান করার অনুমতি দেওয়ার জন্য তাদের ট্যাক্স রিটার্ন দায়ের করেনি।
সার্টি-ইন সুরক্ষা ত্রুটি স্বীকার করে
সুরক্ষা গবেষকরা তাদের আবিষ্কারের পরপরই ভারতের কম্পিউটার জরুরী প্রস্তুতি দল বা সার্টি-ইন সুরক্ষার ত্রুটি সম্পর্কে সতর্ক করেছিলেন, তবে তাদের ঠিক করার জন্য একটি টাইমলাইন সরবরাহ করা হয়নি।
৩০ সেপ্টেম্বর টেকক্রাঞ্চের সাথে যোগাযোগ করা হলে, একজন সার্টি-ইন প্রতিনিধি বলেছিলেন যে আয়কর বিভাগ ইতিমধ্যে দুর্বলতা সমাধানের জন্য কাজ করছে।
ভারতীয় অর্থ মন্ত্রক মন্তব্যের জন্য টেকক্রাঞ্চের অনুরোধটি ফেরত দেয়নি। দুর্বলতা সম্পর্কে আয়কর বিভাগের কাছে পৌঁছানোর পরে, সিস্টেমের মহাপরিচালক 1 অক্টোবর টেকক্রাঞ্চের ইমেল প্রাপ্তি স্বীকার করেছেন, তবে আর কোনও মন্তব্য করেননি।
দুর্বলতা কত দিন বিদ্যমান রয়েছে বা কোনও দূষিত অভিনেতা উন্মুক্ত ডেটা অ্যাক্সেস করেছেন কিনা তা এখনও স্পষ্ট নয়। টেকক্রাঞ্চের দ্বারা জিজ্ঞাসা করা হলে সার্ট-ইন এই প্রশ্নগুলিতে সাড়া দেয়নি।
উন্মুক্ত ডেটা দ্বারা প্রভাবিত ব্যবহারকারীদের সঠিক সংখ্যাটিও অস্পষ্ট। আয়কর বিভাগের পোর্টালটিতে ১৩৫ মিলিয়নেরও বেশি নিবন্ধিত ব্যবহারকারীকে তালিকাভুক্ত করা হয়েছে এবং 76 76 মিলিয়নেরও বেশি ব্যবহারকারী প্রতি অর্থবছরে ২০২৪-২৫-এ আয়কর রিটার্ন দাখিল করেছেন পাবলিক ডেটা পোর্টালে নিজেই উপলব্ধ।
[ad_2]
