Adóportál vagy nyitott napló?
Egy szeptemberi reggelen, miközben a világ a mesterséges intelligencia újabb csodáira figyelt, két indiai biztonsági kutató egy egészen másfajta intelligenciára bukkant: egy olyan hibára, amely a digitális India adóportálját nyitott könyvvé tette. Akshay CS és a titokzatos „Viral” nevű kutató, miközben saját bevallásukat próbálták leadni, rájöttek: a rendszerben nemcsak a saját pénzügyeiket láthatják, hanem bárki másét is – feltéve, hogy ismerik az illető PAN számát.
A hibakapu: amikor a rendszer nem kérdezett vissza
Az úgynevezett IDOR (insecure direct object reference) típusú sebezhetőség olyan, mint egy elhagyott kulcs a zárban. A portál nem ellenőrizte megfelelően, hogy aki adatot kér, annak valóban joga van-e hozzá. Így a kutatók egyszerű eszközökkel – például Postman-nel vagy a böngésző fejlesztői eszközeivel – mások adatait is lekérhették: név, lakcím, e-mail, születési dátum, telefonszám, bankszámlaszám, sőt, az indiai állampolgárok szent Grálja, az Aadhaar azonosító is mind ott hevert a digitális járdán.
Nemcsak emberek, cégek is pelus nélkül
A hiba nemcsak magánszemélyeket érintett, hanem vállalatokat is, akik szintén az e-Filing portálon keresztül intézték adóügyeiket. Ráadásul az is kiderült: még azoknak is kiszivárgott az adata, akik ebben az évben még nem adtak be bevallást. Mintha valaki nemcsak a nappalidba sétálna be, hanem még a fiókokat is átnézné, miközben te azt hitted, zárva az ajtó.
CERT-In: a digitális tűzoltóság
A kutatók jelentették a hibát India számítógépes sürgősségi csapatának, a CERT-In-nek. Választ ugyan nem kaptak azonnal, de jó hír: október 2-ára a hibát kijavították. A TechCrunch csak ezután hozta nyilvánosságra az esetet – korrekt, felelős újságírástól nem is várunk mást.
135 millió regisztrált felhasználó, 76 millió bevallás – hányan sérültek?
Az indiai adóportál több mint 135 millió regisztrált felhasználót tart számon, és több mint 76 millióan adtak be bevallást a 2024–25-ös pénzügyi évben. A hatóságok nem közölték, hányan érintettek. De ha a kulcs minden zárba illik, ki meri megmondani, hány ajtót nyitottak ki vele?
Digitális állampolgárság: vékony jégen
India digitális forradalma példaértékű: Aadhaar, UPI, e-Filing – mind azt mutatják, hogy egy 1,4 milliárdos ország hogyan lehet egyszerre analóg és digitális. De minden rendszer annyira biztonságos, amennyire a leggyengébb pontja. És ez most kiderült.
Tanulság: a technológia nem erkölcs, csak eszköz
Ez az eset nem pusztán egy technikai botlás. Ez egy emlékeztető, hogy a digitális világban a bizalom nem statikus, hanem naponta újraépítendő. Mert amikor a rendszer nem kérdezi meg, hogy „Ki vagy te?”, akkor nemcsak adatokat veszítünk, hanem hitet is a rendszerben.
