Vulnerabilità nel portale delle tasse in India ha messo a rischio i dati sensibili dei contribuenti.
Scoperta e risoluzione di una vulnerabilità nel portale delle dichiarazioni fiscali in India
Il governo indiano ha recentemente risolto una grave falla di sicurezza nel portale di dichiarazione dei redditi, che esponeva dati sensibili dei contribuenti. Questa notizia è stata confermata da fonti ufficiali ed è stata riportata in esclusiva da TechCrunch.
La vulnerabilità, scoperta a settembre da due ricercatori di sicurezza, Akshay CS e “Viral”, permetteva a chiunque fosse loggato nel portale di e-Filing di accedere a informazioni personali e finanziarie di altri utenti. Tra i dati esposti figuravano nomi completi, indirizzi, email, date di nascita, numeri di telefono e dettagli bancari di contribuenti indiani. Inoltre, la falla consentiva l’accesso al numero Aadhaar, un identificatore unico rilasciato dal governo e utilizzato per vari servizi pubblici.
TechCrunch ha sul campo verificato la vulnerabilità, consentendo ai ricercatori di esplorare i propri dati attraverso il portale, confermando così la gravità della situazione. Il 2 ottobre, i ricercatori hanno comunicato a TechCrunch che la falla era stata riparata. Alla luce del potenziale rischio per il pubblico, il sito ha deciso di non pubblicare la notizia fino a quando non è stata garantita la chiusura della vulnerabilità.
Accesso non autorizzato a dati sensibili
Akshay e “Viral” hanno scoperto la vulnerabilità mentre compilavano le proprie dichiarazioni fiscali sul sito governativo. In India, i cittadini sono tenuti a dichiarare i propri redditi annuali per calcolare le imposte da versare. Durante la loro registrazione, si sono accorti che, sostituendo il proprio Numero di Conto Permanente (PAN) con quello di un altro utente nella richiesta di rete, era possibile accedere ai dati sensibili di chiunque.
Questa operazione poteva essere eseguita utilizzando strumenti pubblicamente disponibili come Postman o Burp Suite, oltre agli strumenti di sviluppo del browser. Avevano a disposizione solo il numero PAN di un’altra persona per sfruttare questa falla.
Il problema di sicurezza risiedeva nei server del portale, che non effettuavano controlli adeguati su chi potesse accedere ai dati sensibili. Questa vulnerabilità è conosciuta nel mondo della sicurezza informatica come “insecur direct object reference” (IDOR), e rappresenta una falla comune che può portare a violazioni di dati su larga scala. I ricercatori hanno commentato che si trattava di un problema facilmente sfruttabile, le cui conseguenze potrebbero essere molto gravi.
In aggiunta ai dati dei contribuenti nazionali, i ricercatori hanno rilevato l’esposizione di informazioni aziendali di compagnie iscritte al portale. TechCrunch ha anche confermato che i dati di individui che non avevano ancora presentato le loro dichiarazioni per l’anno in corso erano accessibili tramite la vulnerabilità scoperta.
Il team di ricerca ha avvisato il CERT-In, il team di emergenza informatica indiano, della falla poco dopo la sua scoperta, anche se non è stata fornita una tempistica per la risoluzione. Quando TechCrunch ha contattato CERT-In, è stato confermato che il Dipartimento delle Entrate stava già lavorando per correggere la vulnerabilità.
Impatto e futuri controlli di sicurezza
Non è ancora chiaro da quanto tempo questa vulnerabilità fosse attiva o se attori malintenzionati abbiano già avuto accesso ai dati esposti. Interpellato da TechCrunch, CERT-In non ha fornito risposte a tali interrogativi. Il numero esatto di utenti interessati rimane incerto, ma si stima che oltre 135 milioni di utenti siano registrati sul portale, con oltre 76 milioni di dichiarazioni presentate nell’anno fiscale 2024-25.
Senza un monitoraggio costante e l’implementazione di robuste misure di sicurezza, rischiamo di assistere a ulteriori violazioni. La necessità di proteggere i dati dei contribuenti è fondamentale, specialmente in un mondo sempre più digitalizzato.
Per maggiori dettagli sulle vulnerabilità di sicurezza informatica in India, consultare i report ufficiali del CERT-In e del Ministero delle Finanze indiano.
About The Author
