बिहार के लाल ने किया कमाल! GST पोर्टल में खोजी बड़ी सुरक्षा खामी, करोड़ों टैक्सपेयर्स का डेटा था दांव पर, मच सकती थी हलचल!

क्या हो अगर आपको भारत की बड़ी-बड़ी कंपनियों के तिमाही नतीजों के ऐलान से पहले ही उनकी कमाई का अंदाजा लग जाए? यह सुनने में भले ही नामुमकिन लगे, लेकिन हाल ही में GST पोर्टल में एक ऐसी ही खतरनाक सुरक्षा खामी का पता चला है. जिससे 1.18 करोड़ टैक्सपेयर्स का फाइनेंशियल डेटा दांव पर लग गया था. इस खामी का फायदा उठाकर कोई भी एक ‘इनसाइडर ट्रेडिंग डैशबोर्ड’ बना सकता था और शेयर बाजार में अरबों का खेल कर सकता था.

केवल उनकी GST चालान रसीदों को देखकर, आप जान सकते थे कि उन्होंने कितना टैक्स चुकाया, उन्होंने किस बैंक का उपयोग किया और वे कितनी बार फाइलिंग करते थे.

यह कोई काल्पनिक बात नहीं है. एक रिसर्चर Aseem Shrey ने आधिकारिक GST पोर्टल में एक वल्नरेबिलिटी की खोज की जो 1.18 करोड़ रिकॉर्ड्स को उजागर कर सकती थी. बुनियादी तकनीकी कौशल वाला कोई भी व्यक्ति इस प्रक्रिया को ऑटोमेट कर सकता था, बड़े पैमाने पर चालान डिटेल्स निकाल सकता था और इंडिया इंक का एक लाइव “इनसाइडर ट्रेडिंग डैशबोर्ड” बना सकता था.

क्या थी GST पोर्टल की सबसे बड़ी खामी?

GST (गुड्स एंड सर्विसेज टैक्स) पोर्टल भारत की अप्रत्यक्ष कर प्रणाली की रीढ़ है. सितंबर 2024 तक, सरकारी डेटा 1.48 करोड़ रजिस्टर्ड टैक्सपेयर्स दिखाता है, जिनमें से 1.18 करोड़ ने अकेले उस महीने में रिटर्न दाखिल किया. GST फाइलिंग सिर्फ एक अनुपालन अनुष्ठान नहीं है. वे व्यावसायिक परफॉर्मेंस का रियल-टाइम प्रतिबिंब हैं:

• बढ़ती चालान राशि उच्च बिक्री/राजस्व का संकेत देती है.
• फाइलिंग की आवृत्ति व्यावसायिक गतिविधि पैटर्न दिखाती है.

Aseem Shrey ने पाया कि GST पोर्टल के API एंडपॉइंट में एक साधारण एक्सेस कंट्रोल की समस्या थी. हर चालान की एक रसीद आईडी होती है, जिसे CPIN (चालान पिन) कहा जाता है. वेबसाइट पर सिर्फ CPIN को बदलकर, कोई भी किसी दूसरे यूजर के चालान की रसीद देख सकता था, जिसमें भुगतान की गई राशि, बैंक का नाम और GSTIN जैसी संवेदनशील जानकारी शामिल थी.

Aseem Shrey ने डिजिट हिंदी को बताया कि इसका गलत इस्तेमाल करके इनसाइडर ट्रेडिंग करके शेयर बाजार तक को मैनुपुलेट किया जा सकता था. उन्होंने इसके गलत इस्तेमाल के तरीकों के बारे में भी बताया.

कैसे किया जा सकता था इसका गलत इस्तेमाल?

यह वल्नरेबिलिटी सिर्फ चालान रसीदों को उजागर करने से कहीं आगे थी.

शेयर बाजार में हेरफेर: सूचीबद्ध कंपनियों के लिए इसका मतलब है कि कोई भी एक्सचेंजों पर परिणाम घोषित होने से पहले तिमाही परफॉर्मेंस का अनुमान लगा सकता था. ट्रेडर्स कमाई की घोषणाओं से पहले फ्रंट-रन कर सकते थे, खराब परफॉर्म करने वाली फर्मों को शॉर्ट कर सकते थे, या उन स्टॉक्स को पंप कर सकते थे जो बढ़ते GST पेमेंट दिखाते थे. NIFTY50 और Sensex स्टॉक्स में हेरफेर की क्षमता बहुत बड़ी थी.

स्टार्टअप्स और SMEs के लिए खतरा: प्रतियोगी चुपचाप टर्नओवर वृद्धि को ट्रैक कर सकते थे, इन्वेस्टर वैल्यूएशन बढ़ने से पहले उच्च परफॉर्म करने वाली कंपनियों को चुन सकते थे.

राष्ट्रीय स्तर पर खतरा: एक साइबर अटैकर “वैकल्पिक RBI डैशबोर्ड” बना सकता था. उद्योग द्वारा, क्षेत्र द्वारा, कंपनी के आकार द्वारा रियल-टाइम GST कलेक्शन.

कैसे किया गया इसे ठीक?

रिसर्चर ने इस खामी की सूचना सीधे CERT-IN (कंप्यूटर इमरजेंसी रिस्पांस टीम, इंडिया) को दी. CERT-IN ने अगले ही दिन एक नोटिस भेजी. टीम ने रिपोर्ट को जल्दी से मान्य किया और सुधार शुरू किया. एक महीने के भीतर, कमजोर एंडपॉइंट को पैच कर दिया गया और उचित एक्सेस कंट्रोल लागू कर दिए गए. यह भारत में जिम्मेदार प्रकटीकरण (responsible disclosure) के सफल होने का एक उदाहरण है.

आपको बता दें कि इस खामी का पता लगाने वाले Aseem Shrey मूल रूप से बिहार के रहने वाले हैं और अभी अपनी हायर स्टडीज Carnegie Mellon University (अमेरिका) से कर रहे हैं. इसके अलावा वे सिक्योरिटी इंजीनियर के तौर पर भी काम कर रहे हैं. उनके इस खामी का पता लगाने की वजह से वे चर्चा में आ गए हैं.

यह भी पढ़ें: अगर आती है अच्छी हिंदी तो Mark Zuckerberg दे रहे जॉब ऑफर, Meta देगा 5 हजार रुपये प्रति घंटा, करना होगा ये काम