Hindistan Gelir İdaresi’nin Güvenlik Açığı: Hassas Veri Sızıntısı
Son dönemde Hindistan hükümetinin gelir idaresi, vergi mükelleflerinin hassas verilerini ifşa eden bir güvenlik açığını düzeltti. Güvenlik araştırmacıları Akshay CS ve “Viral” tarafından Eylül ayında keşfedilen söz konusu açık, e-Filing portalına giriş yapan herkesin diğer kişilere ait güncel kişisel ve mali verilere erişim sağlamasına olanak tanıyordu.
Açık, tam isimler, adresler, telefon numaraları ve banka hesap bilgileri gibi hassas verilerin yanı sıra vatandaşların Aadhaar numarasını da ifşa etmekteydi. Aadhaar, Hindistan hükümeti tarafından verilen ve kimlik doğrulama amacıyla kullanılan benzersiz bir tanımlayıcıdır. .
TechCrunch, bu güvenlik açığı ile ilgili bilgileri doğrulayarak, araştırmacılara verilen izinle kendi kayıtlarının incelenmesine olanak sağladı. Araştırmacılar, bu açığın ne zaman düzeltildiğini 2 Ekim’de TechCrunch’a bildirdi. Kamu güvenliğinin tehdit altında olması nedeniyle TechCrunch, güvenlik açığının artık istismar edilemeyeceği doğrulandığında haberi yayına almayı tercih etti.
Hassas Verilere Erişimi Sağlayan Güvenlik Açığı
Akshay CS ve “Viral,” bu açığı Hindistan hükümetinin web sitesinde vergi beyannamesi doldururken fark ettiklerini belirtti. Hindistan’da yaşayanların yıllık kazançlarını bildirmesi gerekmektedir. Araştırmacılar, Kalıcı Hesap Numarası (PAN) kullanarak portala giriş yaptıklarında, başka birinin PAN’ini kullanarak başkasının hassas mali verilerine erişebildiklerini tespit etti. Bu işlem, ağ isteği yüklendiğinde PAN’lerinin değiştirilmesiyle gerçekleştirilebiliyordu.
Araştırmacılar, bu sürecin Postman, Burp Suite gibi kamuya açık araçlar veya web tarayıcısının yerleşik geliştirici araçları kullanılarak yapılabileceğini ve bir başkasının PAN’ini bilmenin yeterli olduğunu ifade ettiler.
Hindistan gelir idaresinin arka uç sunucularının, bir kişinin hassas verilerine kimlerin erişebileceğini doğru bir şekilde kontrol etmemesi nedeniyle bu açık her hesaba giriş yapan herkes tarafından istismar edilebiliyordu. Bu tür güvenlik açıkları, güvensiz doğrudan nesne referansı (IDOR) olarak bilinir ve hükümetler tarafından sıkça uyarılan basit bir güvenlik açığıdır.
Araştırmacılar, “Bu son derece düşük seviyeli bir durum ama sonuçları oldukça ağır,” ifadesinde bulundular. Açık, yalnızca bireylerin verilerini değil, e-Filing portalına kayıtlı şirketlerin verilerini de içermekteydi.
Açığın Bildirilmesi ve Sorumluların Yanıtları
Hassas verilerin ifşası üzerine, araştırmacılar Hindistan’ın bilgisayar acil durum hazırlık ekibi (CERT-In) ile iletişime geçerek durumu bildirdiler. Ancak düzeltme için tahmini bir zaman verildiği belirtilmedi. TechCrunch 30 Eylül’de CERT-In ile iletişime geçtiğinde, gelir idaresinin açığı düzeltmek için çalıştığı bilgisi paylaşıldı.
Hindistan Maliye Bakanlığı, TechCrunch’ın yorum talebine yanıt vermedi. Gelir İdaresi, güvenlik açığına ilişkin e-postayı aldığını doğruladı, ancak daha fazla yorumda bulunmadı. Bu açığın ne zamandır var olduğu ya da herhangi bir kötü niyetli aktörün ifşa edilen verilere erişip erişmediği konusunda henüz bir bilgi mevcut değildir.
Ayrıca, etkilenen kullanıcı sayısının belirlenmesi de güçtür. Gelir İdaresi’nin portalında 135 milyonun üzerinde kayıtlı kullanıcının bulunduğu ve 2024-25 mali yılında 76 milyon kullanıcının vergi beyannamesi doldurduğu belirtilmektedir.
Güvenlik Açığının Sonucunda Ne Olmalı?
Hindistan hükûmeti, vergi mükelleflerinin verilerini korumak adına daha güçlü güvenlik önlemleri geliştirmelidir. Bu tür açıkların önlenmesi için düzenli güvenlik denetimleri ve kullanıcı eğitimleri kritik öneme sahiptir.
Bu olay, diğer devlet kurumları için de bir ders niteliğindedir. Kamuya açık verilerin korunması, yalnızca güvenlik yazılımlarının kullanılmasıyla değil, aynı zamanda personelin güvenlik farkındalığını artırmasıyla mümkündür. Yeni teknolojilerin entegrasyonu ve siber güvenlik eğitimleri, bu tür risklerin minimize edilmesi adına büyük önem taşımaktadır.
Sonuç olarak, Hindistan Gelir İdaresi’nin yaşadığı bu güvenlik açığı, gelişmiş bilgi güvenliği altyapılarının ve düzenli denetimlerin ne kadar hayati bir gereklilik olduğunu gözler önüne sermektedir. Kullanıcı bilgileri, korunmalı ve ihlallere karşı titizlikle yönetilmelidir.
