Vào tháng 9 vừa qua, một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trên cổng thông tin điện tử nộp thuế thu nhập của Ấn Độ. Lỗ hổng này cho phép bất kỳ ai đăng nhập vào hệ thống đều có thể truy cập vào thông tin cá nhân và tài chính nhạy cảm của người nộp thuế khác. Sự cố này đã gây ra quan ngại sâu sắc về bảo mật dữ liệu và quyền riêng tư của hàng triệu công dân.
Các nhà nghiên cứu bảo mật đã phát hiện ra rằng, chỉ cần biết số Permanent Account Number (PAN) của một người, kẻ tấn công có thể thay thế PAN của mình bằng PAN của người khác trong các yêu cầu mạng khi tải trang web. Điều này dẫn đến việc truy cập trái phép vào các dữ liệu bao gồm họ tên đầy đủ, địa chỉ nhà, địa chỉ email, ngày sinh, số điện thoại, chi tiết tài khoản ngân hàng và cả số Aadhaar – một mã định danh duy nhất của chính phủ Ấn Độ. Dữ liệu này không chỉ thuộc về những người đã nộp thuế mà còn cả những người chưa hoàn thành nghĩa vụ này trong năm.
Sau khi phát hiện, các nhà nghiên cứu đã ngay lập tức báo cáo lỗ hổng này cho CERT-In, đội ứng phó sự cố máy tính khẩn cấp của Ấn Độ. Mặc dù chính quyền đã thừa nhận vấn đề và tiến hành sửa chữa, nhưng vẫn chưa rõ lỗ hổng này đã tồn tại trong bao lâu và liệu có dữ liệu nào đã bị truy cập trái phép hay chưa.
Hậu quả tiềm ẩn và bản chất của lỗ hổng
Lỗ hổng bảo mật này, được các nhà nghiên cứu mô tả là “cực kỳ dễ khai thác nhưng hậu quả lại vô cùng nghiêm trọng“, thuộc loại lỗi tham chiếu đối tượng trực tiếp không an toàn (IDOR). Đây là một dạng lỗi phổ biến và tương đối đơn giản, thường bị các chính phủ cảnh báo là dễ bị lợi dụng để gây ra các vụ rò rỉ dữ liệu quy mô lớn.
Việc các máy chủ phía sau của cơ quan thuế Ấn Độ không kiểm tra chặt chẽ quyền truy cập của người dùng đã tạo điều kiện cho kẻ xấu có thể truy cập vào thông tin cá nhân và tài chính của bất kỳ ai chỉ bằng một thao tác đơn giản. Điều này không chỉ ảnh hưởng đến các cá nhân mà còn có thể liên quan đến dữ liệu của các công ty đã đăng ký trên cổng thông tin điện tử.
Sự cố này đặt ra câu hỏi lớn về quy trình kiểm soát truy cập và bảo mật dữ liệu tại các cơ quan chính phủ, đặc biệt khi liên quan đến khối lượng lớn thông tin nhạy cảm của người dân.
Phản ứng và giải pháp từ cơ quan chức năng
Sau khi lỗ hổng được phát hiện vào tháng 9, các nhà nghiên cứu bảo mật đã liên hệ với CERT-In để thông báo. Đến ngày 30 tháng 9, CERT-In xác nhận rằng Cục Thuế thu nhập Ấn Độ đang trong quá trình khắc phục lỗ hổng này.
Vào ngày 1 tháng 10, Tổng cục Hệ thống thuộc Cục Thuế thu nhập đã xác nhận đã nhận được email của TechCrunch về vấn đề này, nhưng chưa đưa ra bình luận chi tiết. Tuy nhiên, họ không phản đối việc công bố thông tin. Cuối cùng, vào ngày 2 tháng 10, các nhà nghiên cứu đã xác nhận rằng lỗ hổng bảo mật đã được khắc phục.
Mặc dù lỗ hổng đã được vá, nhưng mức độ thiệt hại thực tế và khả năng dữ liệu đã bị đánh cắp vẫn chưa được làm rõ. Với hơn 135 triệu người dùng đã đăng ký trên cổng thông tin và hơn 76 triệu người đã nộp tờ khai thuế trong năm tài chính 2024-25, số lượng người dùng bị ảnh hưởng có thể rất lớn. Sự cố này là một lời nhắc nhở mạnh mẽ về tầm quan trọng của việc liên tục cập nhật và tăng cường các biện pháp bảo mật để bảo vệ dữ liệu người dùng trong thời đại số.
