Técnica

Un error de seguridad en el portal de impuestos sobre la renta de la India expuso datos confidenciales de los contribuyentes

Photo of Manuel García Manuel García Send an email 4 horas ago
0 5 3 minutes read
Un error de seguridad en el portal de impuestos sobre la renta de la India expuso datos confidenciales de los contribuyentes

La autoridad tributaria del gobierno indio ha solucionado una falla de seguridad en su portal de presentación de impuestos sobre la renta que exponía datos confidenciales de los contribuyentes, según supo TechCrunch en exclusiva y confirmó con las autoridades.

La falla, descubierta en septiembre por un par de investigadores de seguridad Akshay CS y “Viral”, permitía que cualquiera que iniciara sesión en el portal de presentación electrónica del departamento de impuestos sobre la renta acceder a datos personales y financieros actualizados de otras personas.

Los datos expuestos incluían nombres completos, domicilios, direcciones de correo electrónico, fechas de nacimiento, números de teléfono y detalles de cuentas bancarias de personas que pagan impuestos sobre sus ingresos en la India. Los datos también expusieron el número Aadhaar de los ciudadanos, un identificador único emitido por el gobierno que se utiliza como prueba de identidad y para acceder a los servicios gubernamentales.

TechCrunch verificó los datos lo mejor que pudo al otorgar permiso a los investigadores para buscar los registros de este reportero en el portal.

Los investigadores de seguridad confirmaron a TechCrunch el 2 de octubre que la vulnerabilidad se solucionó. Dado el riesgo para el público, TechCrunch retuvo la publicación de esta historia hasta que los investigadores de seguridad confirmaron que la vulnerabilidad ya no se puede explotar.

Los representantes del Departamento de Impuestos sobre la Renta de la India reconocieron nuestro correo electrónico solicitando comentarios, pero no respondieron nuestras preguntas al cierre de esta edición. El Departamento de Impuesto sobre la Renta no presentó ninguna objeción a que publiquemos esta historia.

Un error ‘extremadamente sencillo’ concedió acceso a datos confidenciales

Los investigadores de seguridad Akshay CS y “Viral” dijeron a TechCrunch que descubrieron la vulnerabilidad mientras presentaban su reciente declaración de impuestos en el sitio web del gobierno.

Los residentes de la India deben presentar sus ingresos anuales para calcular los impuestos que deben al gobierno indio.

Los investigadores descubrieron que cuando iniciaban sesión en el portal utilizando su número de cuenta permanente (PAN), un documento oficial emitido por el departamento de impuestos sobre la renta de la India, podían ver los datos financieros confidenciales de cualquier otra persona cambiando su PAN por otro PAN en la solicitud de red a medida que se cargaba la página web.

Esto podría hacerse utilizando herramientas disponibles públicamente como Postman o Suite de eructos (o utilizando las herramientas de desarrollo integradas del navegador web) y con conocimiento del PAN de otra persona, dijeron los investigadores a TechCrunch.

El error era aprovechable por cualquiera que hubiera iniciado sesión en el portal de impuestos porque los servidores back-end del departamento de impuestos sobre la renta de la India no verificaban adecuadamente quién tenía permiso para acceder a los datos confidenciales de una persona. Esta clase de vulnerabilidad se conoce como referencia de objeto directo inseguro, o IDOR, una falla común y simple que Los gobiernos han advertido que es fácil de explotar. y puede resultar en violaciones de datos a gran escala.

“Esto es algo extremadamente fácil, pero que tiene consecuencias muy graves”, dijeron los investigadores a TechCrunch.

Además de los datos de las personas, los investigadores dijeron que el error también expuso datos asociados con empresas que estaban registradas en el portal e-Filing.

TechCrunch también verificó que el error expuso datos de personas que aún no han presentado sus declaraciones de impuestos este año. Confirmamos esto pidiendo permiso a una persona que aún no había presentado sus declaraciones de impuestos para que los investigadores buscaran su información utilizando el error del portal.

CERT-In reconoce falla de seguridad

Los investigadores de seguridad alertaron al equipo de preparación para emergencias informáticas de la India, o CERT-In, sobre la falla de seguridad poco después de su descubrimiento, pero no se les proporcionó un cronograma para la solución.

Cuando TechCrunch lo contactó el 30 de septiembre, un representante de CERT-In dijo que el Departamento de Impuestos sobre la Renta ya estaba trabajando para solucionar la vulnerabilidad.

El Ministerio de Finanzas de la India no respondió a la solicitud de comentarios de TechCrunch. Después de comunicarse con el Departamento de Impuesto sobre la Renta con respecto a la vulnerabilidad, el director general de Sistemas acusó recibo del correo electrónico de TechCrunch el 1 de octubre, pero no hizo más comentarios.

No está claro cuánto tiempo ha existido la vulnerabilidad o si algún actor malintencionado ha accedido a los datos expuestos. CERT-In no respondió a estas preguntas cuando TechCrunch le preguntó.

Tampoco está claro el número exacto de usuarios afectados por los datos expuestos. El portal del Departamento de Impuesto sobre la Renta enumera más de 135 millones de usuarios registrados, y más de 76 millones de usuarios presentaron declaraciones de impuestos sobre la renta en el año financiero 2024-25, por datos públicos disponible en el propio portal.

Fuente

Photo of Manuel García Manuel García Send an email 4 horas ago
0 5 3 minutes read
Photo of Manuel García

Manuel García

Related Articles

Agencia criptográfica clave en situación incierta después de que la Casa Blanca retirara al candidato

Agencia criptográfica clave en situación incierta después de que la Casa Blanca retirara al candidato

3 minutos ago
La Administración del Ciberespacio de China lanzó una campaña de dos meses a finales de septiembre para combatir el “sentimiento excesivamente pesimista” en las redes sociales, según un aviso (Lily Kuo/New York Times)

La Administración del Ciberespacio de China lanzó una campaña de dos meses a finales de septiembre para combatir el “sentimiento excesivamente pesimista” en las redes sociales, según un aviso (Lily Kuo/New York Times)

9 minutos ago
Detalles que surgen en los planes de Medicare Advantage 2026

Detalles que surgen en los planes de Medicare Advantage 2026

15 minutos ago
Operai presenta a Agentkit para construir y desplegar agentes de IA fácilmente

Operai presenta a Agentkit para construir y desplegar agentes de IA fácilmente

23 minutos ago

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Back to top button