L’autorité fiscale du gouvernement indien a fixé une faille de sécurité dans son portail de dossier fiscal des revenus qui était les données des contribuables sensibles à l’exposition, TechCrunch a exclusivement appris et confirmé par les autorités.
Le défaut, découvert en septembre par une paire de chercheurs en sécurité Akshay CS et «viraux», a permis à toute personne connectée au portail de dépôt électronique du Département de l’impôt sur le revenu d’accéder aux données personnelles et financières à jour d’autres personnes.
Les données exposées comprenaient des noms complets, des adresses personnelles, des adresses e-mail, des dates de naissance, des numéros de téléphone et des détails du compte bancaire des personnes qui paient des impôts sur leurs revenus en Inde. Les données ont également exposé le numéro Aadhaar des citoyens, un identifiant unique émis par le gouvernement utilisé comme preuve d’identité et pour accéder aux services gouvernementaux.
TechCrunch a vérifié les données au mieux de ses capacités en accordant aux chercheurs la permission de regarder les enregistrements de ce journaliste sur le portail.
Les chercheurs en sécurité ont confirmé à TechCrunch le 2 octobre que la vulnérabilité était fixée. Compte tenu du risque pour le public, TechCrunch a refusé de publier cette unité d’histoire, les chercheurs en sécurité ont confirmé que la vulnérabilité ne peut pas être exploitée depuis longtemps.
Les représentants du Département de l’impôt sur le revenu indien ont reconnu pour un e-mail demandant des commentaires, mais n’ont pas répondu à nos questions à l’heure de la presse. Le service de l’impôt sur le revenu n’a présenté aucune objection à notre publication de cette histoire.
Un bogue « extrêmement bas » accorde l’accès aux données sensibles
Les chercheurs en sécurité Akshay CS et «Viral» ont déclaré à TechCrunch qu’ils avaient découvert la vulnérabilité tandis que le doigt leur récent retour fiscal sur le site Web du gouvernement.
Les résidents de l’Inde sont tenus de déposer leurs gains annuels pour calculer les impôts qu’ils doivent au gouvernement indien.
Les chercheurs ont constaté que lorsqu’ils sont le portail en utilisant leur numéro de compte permanent (PAN), un document officiel émis par le service d’impôt indien des insuments, ils pourraient voir les données financières sensibles de quelqu’un d’autre en échangeant leur PAN contre un autre PAN dans la demande de réseau comme page Web.
Cela pourrait être fait à l’aide d’outils accessibles au public comme Postman ou Burp Suite (ou en utilisant les outils de développeur intégrés du navigateur Web) et avec la connaissance de la PAN de quelqu’un d’autre, ont déclaré aux chercheurs à TechCrunch.
Le bogue a été exploitable par quiconque a été connecté au portail fiscal parce que les serveurs back-end du département fiscal des INDICS INDIAN ne vérifiaient pas correctement qui a été autorisé à accéder aux données de sensibilisation d’une personne. Cette classe de vulnérabilité est naine en tant que référence d’objet direct non sécurisé, ou IDOR, un défaut commun et simple qui gouverne a averti est facile à exploiter et peut entraîner des violations de données à grande échelle.
« Il s’agit d’une chose extrêmement bas, mais qui a une conséquence très grave », a déclaré les chercheurs à TechCrunch.
En plus des données des individus, les chercheurs ont déclaré que le bogue exposait également les données associées aux entreprises que nous avons enregistrées au portail de dépôt électronique.
TechCrunch a également vérifié que les données de l’exposition de bogues sur les personnes qui n’ont pas encore produit leurs déclarations de revenus entrantes cette année. Nous avons confirmé cela en demandant à une personne qui n’avait pas encore fui sa déclaration de revenus pour que les chercheurs regardent leurs informations en utilisant le bogue du portail.
Certn reconnaît une faille de sécurité
Les chercheurs en sécurité alerté l’équipe de préparation aux urgences informatiques de l’Inde en Inde, ou certificat, au défaut de sécurité peu après leur découverte, mais nous ne sommes pas probides avec un calendrier pour le correctif.
Lorsque les contacts de TechCrunch le 30 septembre, un représentant de certificat ont déclaré que le service de l’impôt sur le revenu travaillait déjà pour corriger la vulnérabilité.
Le ministre indien des Finances n’a pas retourné la demande de commentaires de TechCrunch. Après avoir contacté le service de l’impôt sur le revenu en regardant la vulnérabilité, le directeur général des systèmes a reconnu la réception de l’e-mail de TechCrunch le 1er octobre, mais n’a pas fait plus loin.
On ne sait pas combien de temps la vulnérabilité a existé ou où les acteurs malveillants ont accédé aux données de l’exposition. Le certificat ne répond pas à ces questions lorsqu’on lui a posé la possibilité de TechCrunch.
Le nombre exact d’utilisateurs a un impact sur les données de l’exposition n’est pas non plus claire. Le portail du Département de l’impôt sur le revenu répertorie plus de 135 millions d’utilisateurs enregistrés et plus de 76 millions d’utilisateurs ont produit des déclarations de revenus au cours de l’exercice 2024-25, selon les données publiques disponibles sur le portail lui-même.

