ثغرة خطيرة في بوابة الضرائب الهندية كشفت بيانات الملايين من دافعي الضرائب

أصلحت السلطات الضريبية في الهند ثغرة أمنية في بوابة تقديم الإقرارات الضريبية الإلكترونية، كانت تتيح الوصول إلى بيانات حساسة تخص المواطنين.

سمحت الثغرة، التي اكتشفها الباحثان الأمنيان "أكشاي سي إس" و"فيرال" في سبتمبر الماضي، لأي مستخدم مسجل في موقع الضرائب الهندي بالاطلاع على بيانات شخصية ومالية محدثة لمستخدمين آخرين.

وشملت المعلومات المكشوفة الأسماء الكاملة والعناوين وأرقام الهواتف والبريد الإلكتروني وتفاصيل الحسابات البنكية، إضافة إلى رقم الهوية الحكومية "آدهار" الذي يُستخدم لإثبات الهوية والوصول إلى الخدمات الرسمية، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".

أكدت الجهات الأمنية أن الثغرة أُغلقت في الثاني من أكتوبر بعد إخطار السلطات، بينما امتنعت مصلحة الضرائب الهندية عن التعليق على تفاصيل التحقيق أو المدة التي كانت فيها الثغرة نشطة.

أوضحا الباحثان أن الخطأ الأمني كان بسيطًا لكنه بالغ الخطورة، إذ مكّن أي مستخدم من تغيير رقم الحساب الضريبي "PAN" في الطلب الشبكي للوصول إلى بيانات أي شخص آخر، وهو ما يُعرف بثغرة "المرجع المباشر غير الآمن" (IDOR)، وهي من أكثر أنواع الثغرات شيوعًا وسهولة في الاستغلال.

شملت الثغرة بيانات الشركات المسجلة على المنصة الإلكترونية.

وقدّر الموقع عدد المتأثرين المحتملين بالملايين، إذ تضم بوابة الضرائب الهندية أكثر من 135 مليون مستخدم مسجل، وقدم نحو 76 مليون شخص إقراراتهم الضريبية خلال العام المالي 2024-2025.

أكدت هيئة الطوارئ المعلوماتية الهندية (CERT-In) علمها بالثغرة، مشيرة إلى أن وزارة المالية تعمل على تعزيز آليات الحماية لتفادي تكرار مثل هذه الحوادث مستقبلاً، بينما لم يُعرف بعد ما إذا كانت البيانات قد استُغلت من قبل جهات خبيثة قبل اكتشاف الخلل.