Giao diện cổng thông tin thuế thu nhập Ấn Độ. Ảnh TechCruch

Lỗ hổng này cho phép người dùng đã đăng nhập truy cập dữ liệu người khác chỉ bằng cách thay đổi số định danh cá nhân (PAN) trong yêu cầu mạng. Đây là một lỗi kỹ thuật thuộc loại IDOR (Insecure Direct Object Reference - lỗi cho phép truy cập dữ liệu mà không cần xác thực quyền hạn), được xem là “dễ bị hacker khai thác gây hậu quả nghiêm trọng”.

Lỗ hổng cho phép xâm nhập đơn giản, nhưng hậu quả nghiêm trọng

Các nhà nghiên cứu Akshay CS và “Viral”, người phát hiện lỗi vào tháng 9, cho biết qua thử nghiệm, họ có thể xem tên đầy đủ, địa chỉ nhà, email, ngày sinh, số điện thoại, chi tiết tài khoản ngân hàng và số Aadhaar (một mã định danh quốc gia) của người khác chỉ bằng công cụ như Postman, Burp Suite hoặc công cụ dev của trình duyệt. Nguy hiểm hơn, thông tin của những cá nhân chưa nộp tờ khai thuế năm hiện tại cũng bị lộ.

Sau khi cảnh báo với đội phản ứng sự cố máy tính quốc gia CERT-In, lỗi đã được khắc phục. Các nhà nghiên cứu xác nhận với phóng viên tạp chí TechCrunch rằng không còn cách nào để khai thác nữa. Tuy nhiên, phía Cơ quan Thuế thu nhập (Income Tax Department) và Bộ Tài chính Ấn Độ từ chối bình luận cụ thể về thời điểm lỗ hổng được tồn tại hay liệu có ai từng lợi dụng nó.

Việc lỗ hổng này bị phát hiện trong hệ thống quản lý dữ liệu quan trọng như thuế quốc gia là lời cảnh tỉnh nghiêm khắc. Với hơn 135 triệu tài khoản đăng ký và khoảng 76 triệu báo cáo thuế được nộp trong năm tài chính 2024-2025, bất kỳ sự cố nào cũng có thể ảnh hưởng tới quy mô rất lớn người dân.

Lỗi IDOR (Insecure Direct Object Reference) khiến hệ thống không kiểm tra quyền truy cập dữ liệu đúng đắn trước khi trả về nội dung. Trong trường hợp của cổng e-Filing thuế Ấn Độ, máy chủ phía sau không xác minh xem ai có quyền xem dữ liệu cá nhân ấy, điều mà một hệ thống bảo mật hiệu quả sẽ thực hiện. Vì vậy, khi người dùng đang đăng nhập và có số PAN hợp lệ, họ có thể “đổi PAN” trong yêu cầu mạng để truy xuất thông tin người khác.

Theo lời các nhà nghiên cứu, dù lỗ hổng đơn giản và “hạ thấp” (low-hanging), nhưng dữ liệu bị ảnh hưởng lại mang tính cá nhân cao và có thể bị dùng vào hành vi lừa đảo, tống tiền hoặc các tội phạm mạng khác. Sự kiện này cũng lộ rõ điểm yếu của các hệ thống chính phủ: đôi khi, những lỗi “cơ bản” lại bỏ sót cơ chế kiểm tra quyền truy cập, trong khi tất cả tập trung vào kiểm soát các mối đe dọa phức tạp hơn.

Cảnh báo về quản lý bảo mật trong hạ tầng hành chính công

Mặc dù chưa rõ liệu cho thấy, hackers đã khai thác lỗ hổng trong thực tế trước khi nó bị vá hay không, nhưng với lượng người dùng khổng lồ của hệ thống thuế, khả năng thiệt hại tiềm ẩn rất cao. Dữ liệu như số tài khoản ngân hàng, thông tin cá nhân, địa chỉ, số Aadhaar nếu bị rơi vào tay kẻ xấu có thể được dùng để giả mạo, tiến hành các giao dịch bất hợp pháp, hoặc thực hiện các thủ đoạn lừa đảo cá nhân.

Sự kiện này cũng đặt ra câu hỏi lớn về trách nhiệm quản lý, minh bạch và tính chịu trách nhiệm trong việc xử lý dữ liệu công dân. Cơ quan thuế Ấn Độ chưa công bố chi tiết về thời gian lỗ hổng tồn tại, không trả lời liệu có bản ghi truy cập bất thường nào không, và cũng không cho biết bao nhiêu người bị ảnh hưởng.

Các chuyên gia an ninh mạng nhận định, sự cố này là lời nhắc nhở rõ ràng về tầm quan trọng của kiểm thử bảo mật định kỳ và mô hình quản lý truy cập nghiêm ngặt (Access Control). Hệ thống xử lý dữ liệu công phải đảm bảo rằng mọi yêu cầu đều được xác thực cả ở phía người dùng lẫn máy chủ.

Ngoài ra, giữa các cơ quan hành chính công và cộng đồng an ninh mạng, cần có quy định cơ chế “tiết lộ có trách nhiệm” (responsible disclosure). Động thái nhóm nghiên cứu kịp thời báo cáo cho CERT-In và chờ xác nhận vá lỗi trước khi công bố là cách làm rất có trách nhiệm, thể hiện tinh thần vì lợi ích công cộng.

Các chuyên gia an ninh mạng Ấn Độ khuyến nghị người dân nên thường xuyên thay đổi mật khẩu, theo dõi hoạt động tài khoản ngân hàng, cảnh giác với các hình thức lừa đảo có thể, khi thông tin cá nhân bị rò rỉ.

An Lâm (Theo TechCruch)