تمكنت السلطات الضريبية الهندية من سد ثغرة أمنية خطيرة كانت تهدد خصوصية بيانات المواطنين على بوابة تقديم الإقرارات الضريبية الإلكترونية، مما منع الوصول غير المصرح به إلى معلومات حساسة.
اكتشاف الثغرة وتفاصيلها
الثغرة، التي اكتشفها الباحثان الأمنيان “أكشاي سي إس” و”فيرال” في سبتمبر الماضي، سمحت لأي مستخدم مسجل على موقع الضرائب الهندي بالوصول إلى بيانات شخصية ومالية لمستخدمين آخرين، مما يعد انتهاكًا خطيرًا للخصوصية، وكان من الممكن أن يؤدي إلى عواقب وخيمة.
البيانات المعرضة للخطر
شملت المعلومات المكشوفة تفاصيل حساسة مثل الأسماء الكاملة، والعناوين، وأرقام الهواتف، وعناوين البريد الإلكتروني، بالإضافة إلى تفاصيل الحسابات البنكية، ورقم الهوية الحكومية “آدهار” المستخدم لإثبات الهوية والوصول إلى الخدمات الرسمية، وذلك وفقًا لتقرير نشره موقع “تك كرانش” واطلعت عليه “العربية Business”.
إجراءات السلطات والتحقيقات الجارية
أكدت الجهات الأمنية إغلاق الثغرة في الثاني من أكتوبر بعد إخطار السلطات، مما يوضح الاستجابة السريعة والفعالة للتهديد، فيما امتنعت مصلحة الضرائب الهندية عن التعليق على تفاصيل التحقيق أو المدة التي كانت فيها الثغرة نشطة، مما يترك بعض الأسئلة دون إجابة.
طبيعة الثغرة وكيفية استغلالها
أوضح الباحثان أن الخطأ الأمني كان بسيطًا ولكنه بالغ الخطورة، إذ مكّن أي مستخدم من تغيير رقم الحساب الضريبي “PAN” في الطلب الشبكي للوصول إلى بيانات أي شخص آخر، وهو ما يُعرف بثغرة “المرجع المباشر غير الآمن” (IDOR)، وهي من أكثر أنواع الثغرات شيوعًا وسهولة في الاستغلال، مما يبرز أهمية التدقيق الأمني المستمر.
تأثير الثغرة على الشركات
لم تقتصر الثغرة على بيانات الأفراد، بل شملت أيضًا بيانات الشركات المسجلة على المنصة الإلكترونية، مما يزيد من حجم الضرر المحتمل ويؤكد على ضرورة حماية البيانات على جميع المستويات.
عدد المستخدمين المتأثرين المحتملين
قدّر الموقع عدد المتأثرين المحتملين بالملايين، نظرًا لأن بوابة الضرائب الهندية تضم أكثر من 135 مليون مستخدم مسجل، وقدم نحو 76 مليون شخص إقراراتهم الضريبية خلال العام المالي 2024-2025، مما يعكس حجم البيانات الحساسة المعرضة للخطر.
استجابة الحكومة وإجراءات الحماية المستقبلية
أكدت هيئة الطوارئ المعلوماتية الهندية (CERT-In) علمها بالثغرة، مشيرة إلى أن وزارة المالية تعمل على تعزيز آليات الحماية لتفادي تكرار مثل هذه الحوادث مستقبلاً، بينما لم يُعرف بعد ما إذا كانت البيانات قد استُغلت من قبل جهات خبيثة قبل اكتشاف الخلل، مما يثير مخاوف بشأن احتمال وقوع ضرر بالفعل.
أهمية الأمن السيبراني والدروس المستفادة
تُعد هذه الحادثة تذكيرًا بأهمية الأمن السيبراني والتدقيق الأمني المنتظم للمواقع والمنصات الحكومية التي تتعامل مع بيانات حساسة، فمن الضروري الاستثمار في حلول أمنية متقدمة وتدريب الموظفين على أفضل الممارسات الأمنية لحماية البيانات ومنع وقوع مثل هذه الحوادث مستقبلًا.