Hindistan hükümetinin dijital altyapısındaki büyük bir güvenlik sorunu, ülkedeki milyonlarca vergi mükellefini yakından ilgilendiriyor. Hindistan Gelir İdaresi (Income Tax Department) tarafından kullanılan e-Vergi portalında, kayıtlı kullanıcıların kişisel ve finansal verilerini potansiyel olarak ifşa eden ciddi bir güvenlik açığı tespit edildi. Yetkililer, açığın fark edilmesinin ardından hızla harekete geçerek zafiyeti düzeltti.

Eylül ayında iki güvenlik araştırmacısı, Akshay CS ve “Viral” tarafından keşfedilen bu kritik hata, sisteme giriş yapmış olan herkesin, diğer kullanıcıların güncel kişisel ve finansal kayıtlarına erişmesine olanak tanıyordu. Kamuya açık ve son derece hassas verileri ilgilendiren bu durum, dijital hükümet hizmetlerinin güvenilirliği konusunda ciddi soruları beraberinde getirdi.

Sistemin Temel Güvenlik Açığı: IDOR Nedir?

Araştırmacılar, zafiyeti yıllık vergi beyannamelerini doldururken fark ettiler. Bulunan güvenlik açığı, siber güvenlik terminolojisinde Yetkisiz Doğrudan Nesne Referansı (Insecure Direct Object Reference - IDOR) olarak biliniyor. IDOR, bir web uygulamasının arka uç sunucularının, bir kullanıcıya ait hassas bir kaynağa (bu durumda vergi mükellefi verileri) erişim yetkisini doğru şekilde kontrol edememesinden kaynaklanan basit ama tehlikeli bir kusurdur.

Sistem, kullanıcıların kendi Kalıcı Hesap Numaraları (PAN) ile giriş yaptıktan sonra, ağ isteğinde bu PAN numarasını başka bir vergi mükellefinin numarasıyla değiştirerek verilere ulaşmalarına izin veriyordu. Bu, Burp Suite veya Postman gibi yaygın geliştirici araçları kullanılarak kolayca yapılabilecek bir işlemdi.

“Bu, sonuçları çok ağır olabilecek, ancak keşfi ve istismarı son derece kolay olan bir hataydı.” – Güvenlik Araştırmacıları (TechCrunch'a yapılan açıklamadan).

Hangi Veriler Risk Altındaydı?

Güvenlik açığı, yalnızca bireysel kullanıcıların değil, e-Vergi portalına kayıtlı şirketlerin verilerini de etkiledi. En kritik risk, Hindistan’da kimlik kanıtı ve devlet hizmetlerine erişim için kullanılan benzersiz kimlik numarası olan Aadhaar verilerinin ifşa olmasıydı. Aşağıdaki tablo, risk altındaki verileri özetlemektedir:

Devletin Dijital Güvenliği ve Cevap Veremeyen Sorular

Hindistan’da vergi beyannamesi veren 76 milyondan fazla kullanıcı (2024-25 mali yılı verileri) ve toplamda 135 milyon kayıtlı kullanıcısı bulunan bir portalda bu denli basit bir hatanın varlığı, hükümetin siber güvenlik standartlarının ne kadar sıkı uygulandığına dair endişeleri artırıyor. Bir IDOR açığının, dünyanın en büyük dijitalleşme hamlelerinden birini gerçekleştiren bir ülkenin en kritik finansal sisteminde bulunması, temel yazılım geliştirme süreçlerinde zafiyetler olabileceğini gösteriyor.

Bu basit zafiyetler gündemdeyken, kurumsal dünyada ise çok daha karmaşık tehditler hız kesmiyor. Örneğin, geçtiğimiz dönemde kurumsal yazılım devi Oracle'ın E-Business Suite'inde tespit edilen ve kötü şöhretli hacker grubu Clop tarafından aktif olarak kullanılan sıfırıncı gün (zero-day) açığı, şirket yöneticilerine ait hassas verilerin çalınmasına neden olmuştu. Bu olay, büyük yazılım sistemlerinin karşı karşıya kaldığı Oracle E-Business Suite Clop zero-day veri hırsızlığı gibi gelişmiş tehditlerin boyutunu gözler önüne seriyor ve kritik sistemlerin güvenlik denetim süreçlerini bir kez daha sorgulatıyor.

Araştırmacılar, bulgularını hemen Hindistan'ın bilgisayar acil durum müdahale ekibi olan CERT-In’e bildirdi. CERT-In, Gelir İdaresi’nin sorunu çözmek için çalıştığını doğruladı ve güvenlik açığı 2 Ekim'de tamamen kapatıldı.

Ancak, yetkililer bu tür sızıntılardan sonra en kritik iki soruyu cevapsız bıraktı: Bu güvenlik açığı ne kadar süredir mevcuttu ve kötü niyetli aktörler tarafından istismar edilip edilmediği. Bu soruların yanıtlanmaması, etkilenen milyonlarca vergi mükellefinin verilerinin potansiyel olarak kimlerin eline geçtiğine dair belirsizliği sürdürmektedir. Hükümetler için kritik sistemlerdeki bu basit hatalar, sadece itibar kaybına değil, aynı zamanda vatandaşların dijitalleşmeye olan güveninin sarsılmasına da yol açmaktadır.

Şeffaflık ve Kaynak

Bu haberin hazırlanmasında kullanılan orijinal araştırmalar ve bilgiler TechCrunch kaynağına dayanmaktadır. Kamuoyunun doğru bilgilendirilmesi ve içeriğimizin şeffaflığı adına, olayın ilk kez duyurulduğu kaynağı belirtmekteyiz.