बिहार के लाल ने किया कमाल! GST पोर्टल में खोजी बड़ी सुरक्षा खामी, करोड़ों टैक्सपेयर्स का डेटा था दांव पर, मच सकती थी हलचल!

क्या हो अगर आपको भारत की बड़ी-बड़ी कंपनियों के तिमाही नतीजों के ऐलान से पहले ही उनकी कमाई का अंदाजा लग जाए? यह सुनने में भले ही नामुमकिन लगे, लेकिन हाल ही में GST पोर्टल में एक ऐसी ही खतरनाक सुरक्षा खामी का पता चला है. जिससे 1.18 करोड़ टैक्सपेयर्स का फाइनेंशियल डेटा दांव पर लग गया था. इस खामी का फायदा उठाकर कोई भी एक ‘इनसाइडर ट्रेडिंग डैशबोर्ड’ बना सकता था और शेयर बाजार में अरबों का खेल कर सकता था.

Survey

केवल उनकी GST चालान रसीदों को देखकर, आप जान सकते थे कि उन्होंने कितना टैक्स चुकाया, उन्होंने किस बैंक का उपयोग किया और वे कितनी बार फाइलिंग करते थे.

Add As A Trusted Source For Google.

Add as a preferred source on Google

यह कोई काल्पनिक बात नहीं है. एक रिसर्चर Aseem Shrey ने आधिकारिक GST पोर्टल में एक वल्नरेबिलिटी की खोज की जो 1.18 करोड़ रिकॉर्ड्स को उजागर कर सकती थी. बुनियादी तकनीकी कौशल वाला कोई भी व्यक्ति इस प्रक्रिया को ऑटोमेट कर सकता था, बड़े पैमाने पर चालान डिटेल्स निकाल सकता था और इंडिया इंक का एक लाइव “इनसाइडर ट्रेडिंग डैशबोर्ड” बना सकता था.

क्या थी GST पोर्टल की सबसे बड़ी खामी?

GST (गुड्स एंड सर्विसेज टैक्स) पोर्टल भारत की अप्रत्यक्ष कर प्रणाली की रीढ़ है. सितंबर 2024 तक, सरकारी डेटा 1.48 करोड़ रजिस्टर्ड टैक्सपेयर्स दिखाता है, जिनमें से 1.18 करोड़ ने अकेले उस महीने में रिटर्न दाखिल किया. GST फाइलिंग सिर्फ एक अनुपालन अनुष्ठान नहीं है. वे व्यावसायिक परफॉर्मेंस का रियल-टाइम प्रतिबिंब हैं:

• बढ़ती चालान राशि उच्च बिक्री/राजस्व का संकेत देती है.
• फाइलिंग की आवृत्ति व्यावसायिक गतिविधि पैटर्न दिखाती है.

Aseem Shrey ने पाया कि GST पोर्टल के API एंडपॉइंट में एक साधारण एक्सेस कंट्रोल की समस्या थी. हर चालान की एक रसीद आईडी होती है, जिसे CPIN (चालान पिन) कहा जाता है. वेबसाइट पर सिर्फ CPIN को बदलकर, कोई भी किसी दूसरे यूजर के चालान की रसीद देख सकता था, जिसमें भुगतान की गई राशि, बैंक का नाम और GSTIN जैसी संवेदनशील जानकारी शामिल थी.

Aseem Shrey ने डिजिट हिंदी को बताया कि इसका गलत इस्तेमाल करके इनसाइडर ट्रेडिंग करके शेयर बाजार तक को मैनुपुलेट किया जा सकता था. उन्होंने इसके गलत इस्तेमाल के तरीकों के बारे में भी बताया.

कैसे किया जा सकता था इसका गलत इस्तेमाल?

यह वल्नरेबिलिटी सिर्फ चालान रसीदों को उजागर करने से कहीं आगे थी.

शेयर बाजार में हेरफेर: सूचीबद्ध कंपनियों के लिए इसका मतलब है कि कोई भी एक्सचेंजों पर परिणाम घोषित होने से पहले तिमाही परफॉर्मेंस का अनुमान लगा सकता था. ट्रेडर्स कमाई की घोषणाओं से पहले फ्रंट-रन कर सकते थे, खराब परफॉर्म करने वाली फर्मों को शॉर्ट कर सकते थे, या उन स्टॉक्स को पंप कर सकते थे जो बढ़ते GST पेमेंट दिखाते थे. NIFTY50 और Sensex स्टॉक्स में हेरफेर की क्षमता बहुत बड़ी थी.

स्टार्टअप्स और SMEs के लिए खतरा: प्रतियोगी चुपचाप टर्नओवर वृद्धि को ट्रैक कर सकते थे, इन्वेस्टर वैल्यूएशन बढ़ने से पहले उच्च परफॉर्म करने वाली कंपनियों को चुन सकते थे.

राष्ट्रीय स्तर पर खतरा: एक साइबर अटैकर “वैकल्पिक RBI डैशबोर्ड” बना सकता था. उद्योग द्वारा, क्षेत्र द्वारा, कंपनी के आकार द्वारा रियल-टाइम GST कलेक्शन.

कैसे किया गया इसे ठीक?

रिसर्चर ने इस खामी की सूचना सीधे CERT-IN (कंप्यूटर इमरजेंसी रिस्पांस टीम, इंडिया) को दी. CERT-IN ने अगले ही दिन एक नोटिस भेजी. टीम ने रिपोर्ट को जल्दी से मान्य किया और सुधार शुरू किया. एक महीने के भीतर, कमजोर एंडपॉइंट को पैच कर दिया गया और उचित एक्सेस कंट्रोल लागू कर दिए गए. यह भारत में जिम्मेदार प्रकटीकरण (responsible disclosure) के सफल होने का एक उदाहरण है.

आपको बता दें कि इस खामी का पता लगाने वाले Aseem Shrey मूल रूप से बिहार के रहने वाले हैं और अभी अपनी हायर स्टडीज Carnegie Mellon University (अमेरिका) से कर रहे हैं. इसके अलावा वे सिक्योरिटी इंजीनियर के तौर पर भी काम कर रहे हैं. उनके इस खामी का पता लगाने की वजह से वे चर्चा में आ गए हैं.

यह भी पढ़ें: अगर आती है अच्छी हिंदी तो Mark Zuckerberg दे रहे जॉब ऑफर, Meta देगा 5 हजार रुपये प्रति घंटा, करना होगा ये काम

Follow Us

Sudhanshu Shubham

सुधांशु शुभम मीडिया में लगभग आधे दशक से सक्रिय हैं. टाइम्स नेटवर्क में आने से पहले वह न्यूज 18 और आजतक जैसी संस्थाओं के साथ काम कर चुके हैं. टेक में रूचि होने की वजह से आप टेक्नोलॉजी पर इनसे लंबी बात कर सकते हैं. View Full Profile