Income Tax website: ഇന്ത്യൻ ടാക്സ് വെബ്സൈറ്റിൽ ഗുരുതര സുരക്ഷാ വീഴ്ച: 13.5 കോടി ആളുകളുടെ രഹസ്യ വിവരങ്ങൾ അപകടത്തിൽ
security flaw in India’s tax website put sensitive user data at risk: മാസങ്ങളോളം ഈ വെബ്സൈറ്റിൽ ഒരു വലിയ സുരക്ഷാ പിഴവുണ്ടായിരുന്നു. ടാക്സ് ഫയൽ ചെയ്യാനായി ലോഗിൻ ചെയ്ത ആർക്കും, നെറ്റ്വർക്ക് റിക്വസ്റ്റിലെ (Network Request) ഒരു നമ്പർ മാത്രം മാറ്റി മറ്റൊരാളുടെ വ്യക്തിഗത, സാമ്പത്തിക വിവരങ്ങൾ മുഴുവൻ കാണാൻ കഴിയുമായിരുന്നു.
ന്യൂഡൽഹി: ഓൺലൈനായി ടാക്സ് ഫയൽ ചെയ്യുന്നത് തന്നെ പലർക്കും തലവേദനയാണ്. എന്നാൽ, നമ്മുടെ സ്വകാര്യ വിവരങ്ങൾ സൂക്ഷിക്കുന്ന സർക്കാർ വെബ്സൈറ്റിൽ തന്നെ ഗുരുതരമായ സുരക്ഷാ വീഴ്ച കണ്ടെത്തിയാലോ? ഇന്ത്യയുടെ ആദായ നികുതി ഇ-ഫയലിങ് പോർട്ടലിൽ അടുത്തിടെ സംഭവിച്ചത് അതാണ്.
മാസങ്ങളോളം ഈ വെബ്സൈറ്റിൽ ഒരു വലിയ സുരക്ഷാ പിഴവുണ്ടായിരുന്നു. ടാക്സ് ഫയൽ ചെയ്യാനായി ലോഗിൻ ചെയ്ത ആർക്കും, നെറ്റ്വർക്ക് റിക്വസ്റ്റിലെ (Network Request) ഒരു നമ്പർ മാത്രം മാറ്റി മറ്റൊരാളുടെ വ്യക്തിഗത, സാമ്പത്തിക വിവരങ്ങൾ മുഴുവൻ കാണാൻ കഴിയുമായിരുന്നു.
ഈ പിഴവ് ഇപ്പോൾ പരിഹരിച്ചെങ്കിലും, നമ്മുടെ ഡിജിറ്റൽ സംവിധാനങ്ങൾ എത്രത്തോളം ദുർബലമാണെന്ന് ഇത് കാണിച്ചുതരുന്നു. പോർട്ടലിൽ 13.5 കോടിയിലധികം രജിസ്റ്റർ ചെയ്ത ഉപയോക്താക്കൾ ഉള്ളതിനാൽ, ഒരു ചെറിയ പിഴവ് പോലും വലിയൊരു ദേശീയ സുരക്ഷാ ഭീഷണിയായി മാറും.
Also read – എച്ച്എംഡിയുടെ ‘കോമൺ മാൻ സ്മാർട്ട്ഫോൺ’ എത്തി: ‘ടച്ച് 4 ജി’ ഹൈബ്രിഡ് ഫോൺ ഇന്ത്യയിൽ
ചോരാൻ സാധ്യതയുണ്ടായിരുന്നത്?
ടാക്സ് ഫയൽ ചെയ്യുന്നതിനിടെ സുരക്ഷാ ഗവേഷകരാണ് ഈ പിഴവ് കണ്ടെത്തിയത്. ഒരു യൂസറുടെ സ്ഥിരം അക്കൗണ്ട് നമ്പർ (PAN) മാറ്റി മറ്റൊരാളുടേത് നൽകിയപ്പോൾ, ആ വ്യക്തിയുടെ എല്ലാ വിവരങ്ങളും ലഭിച്ചു. ചോരാൻ സാധ്യതയുണ്ടായിരുന്ന പ്രധാന വിവരങ്ങൾ ഇവയാണ്:
- പൂർണ്ണമായ പേര്, ജനനത്തീയതി, വിലാസം
- ഫോൺ നമ്പറും ഇമെയിൽ വിലാസവും
- ബാങ്ക് അക്കൗണ്ട് വിവരങ്ങൾ
- ആധാർ നമ്പർ
വ്യക്തികളുടെ വിവരങ്ങൾ മാത്രമല്ല, ഇ-ഫയലിങ് സൈറ്റിൽ രജിസ്റ്റർ ചെയ്ത കമ്പനികളുടെ വിശദാംശങ്ങളും ഇങ്ങനെ പുറത്തുവരാൻ സാധ്യതയുണ്ടായിരുന്നു.
പ്രശ്നം എത്ര ഗുരുതരമാണ്?
സൈബർ സുരക്ഷാ ഭാഷയിൽ ഇതിനെ IDOR (Insecure Direct Object Reference) എന്നാണ് പറയുന്നത്. ലളിതമായി പറഞ്ഞാൽ, വെബ്സൈറ്റ് ചെയ്യേണ്ടിയിരുന്ന ഏറ്റവും അടിസ്ഥാനപരമായ ഒരു സുരക്ഷാ പരിശോധന ഇവിടെ ഉണ്ടായിരുന്നില്ല. ആധാറുമായി ബന്ധിപ്പിച്ച പാൻ കാർഡ് വിവരങ്ങൾ ചോരുന്നത് ഐഡന്റിറ്റി മോഷണത്തിന് (Identity Theft) വരെ വഴിവെച്ചേക്കാം.
ഈ സുരക്ഷാ വീഴ്ച എത്രനാൾ നിലനിന്നു, എത്രപേർ ഇത് ദുരുപയോഗം ചെയ്തു എന്നതിനെക്കുറിച്ച് വ്യക്തതയില്ല. വിഷയം ശ്രദ്ധയിൽപ്പെട്ടിട്ടുണ്ടെന്ന് CERT-In (ഇന്ത്യയുടെ സൈബർ എമർജൻസി റെസ്പോൺസ് ടീം) സ്ഥിരീകരിച്ചെങ്കിലും, ധനമന്ത്രാലയം കൂടുതൽ വിവരങ്ങൾ നൽകിയിട്ടില്ല. ഒക്ടോബർ 2-ന് ഈ പിഴവ് പരിഹരിച്ചു. എന്നാൽ, ഈ വിഷയത്തിൽ അധികൃതരുടെ ഭാഗത്തുനിന്നുള്ള മൗനം, തങ്ങളുടെ സാമ്പത്തിക വിവരങ്ങൾ ഈ പോർട്ടലിൽ വിശ്വസിച്ചേൽപ്പിച്ച ലക്ഷക്കണക്കിന് ആളുകളിൽ ആശങ്കയുണ്ടാക്കുന്നുണ്ട്.
