by-Ravindra Sikarwar
भारत सरकार के आयकर विभाग के ई-फाइलिंग पोर्टल (incometax.gov.in) में एक गंभीर तकनीकी खामी की वजह से करोड़ों करदाताओं के निजी और वित्तीय आंकड़ों का खुलासा हो गया था। यह दोष इतना सरल था कि कोई भी लॉगिन उपयोगकर्ता आसानी से दूसरों के संवेदनशील डेटा तक पहुंच सकता था, जिसमें आधार नंबर, बैंक खाते की जानकारी, घर का पूरा पता, ईमेल आईडी, जन्म तिथि और फोन नंबर शामिल थे। सौभाग्य से, यह समस्या जल्दी पकड़ी गई और ठीक कर दी गई, लेकिन इससे लाखों उपयोगकर्ताओं की गोपनीयता पर बड़ा खतरा मंडराया। यह घटना सरकारी वेबसाइटों की सुरक्षा व्यवस्था पर सवाल खड़ी करती है, खासकर जब पोर्टल पर 13.5 करोड़ से अधिक पंजीकृत उपयोगकर्ता सक्रिय हैं।
खामी की खोज: कैसे सामने आया यह खतरा
यह सुरक्षा दोष सितंबर 2025 में दो स्वतंत्र सुरक्षा शोधकर्ताओं, अक्षय सीएस और ‘वायरल’ द्वारा उजागर किया गया। वे अपनी हालिया आयकर रिटर्न दाखिल करने के दौरान पोर्टल पर काम कर रहे थे, जब उन्हें संदिग्ध व्यवहार नजर आया। भारत में सभी निवासियों को सालाना आय की जानकारी जमा करनी होती है, ताकि कर की गणना हो सके। शोधकर्ताओं ने पाया कि पोर्टल की बैकएंड प्रणाली में एक बुनियादी त्रुटि थी, जो उपयोगकर्ताओं के डेटा को अलग-अलग रखने में नाकाम साबित हो रही थी। उन्होंने तुरंत भारत की कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT-In) को सूचित किया, लेकिन उन्हें समस्या के समाधान की समयसीमा नहीं बताई गई।
तकनीकी विवरण: आईडीओआर दोष की सादगी और गंभीरता
यह समस्या ‘इनसिक्योर डायरेक्ट ऑब्जेक्ट रेफरेंस’ (IDOR) नामक एक सामान्य लेकिन खतरनाक प्रकार की कमजोरी थी। सरल शब्दों में, जब कोई उपयोगकर्ता पोर्टल पर लॉगिन करता है, तो वेब पेज लोड होते समय नेटवर्क रिक्वेस्ट में उसका स्थायी खाता संख्या (PAN) शामिल होता है। कोई भी व्यक्ति—जिसके पास दूसरों का PAN नंबर हो—उपकरणों जैसे पोस्टमैन, बर्प सूट या ब्राउजर के डेवलपर टूल्स का उपयोग करके इस PAN को बदल सकता था। इसके बाद, आयकर विभाग के सर्वर बिना किसी सत्यापन के दूसरे व्यक्ति के पूरे रिकॉर्ड को लोड कर देते थे।
शोधकर्ताओं ने इसे “बहुत ही आसान लेकिन बेहद खतरनाक” बताया। IDOR जैसी कमजोरियां सरकारी एजेंसियां अक्सर चेतावनी देती हैं, क्योंकि ये बड़े पैमाने पर डेटा उल्लंघन का कारण बन सकती हैं। यह दोष कितने समय से मौजूद था, यह स्पष्ट नहीं है, और क्या किसी दुर्भावनापूर्ण व्यक्ति ने इसका दुरुपयोग किया, इसकी जांच अभी जारी है।
उजागर हुए डेटा के प्रकार: निजी से वित्तीय तक सब कुछ
यह दोष न केवल व्यक्तिगत करदाताओं के डेटा को प्रभावित कर रहा था, बल्कि पोर्टल पर पंजीकृत कंपनियों के आंकड़ों को भी। प्रभावित जानकारी में शामिल थे:
- व्यक्तिगत विवरण: पूरा नाम, जन्म तिथि, फोन नंबर, ईमेल पता, और घर का पूरा डाक पता।
- पहचान दस्तावेज: आधार नंबर, जो सरकारी सेवाओं और पहचान प्रमाण के रूप में उपयोग होता है।
- वित्तीय जानकारी: बैंक खाते की पूरी डिटेल, जिसमें खाता संख्या, IFSC कोड और ट्रांजेक्शन इतिहास शामिल हो सकता था।
- अन्य: यहां तक कि उन लोगों के डेटा भी लीक हो सकते थे, जिन्होंने वित्तीय वर्ष 2024-25 के लिए अभी रिटर्न दाखिल नहीं किया था।
टेकक्रंच ने इसकी पुष्टि की, जब शोधकर्ताओं को अनुमति देकर एक व्यक्ति (जिसने रिटर्न दाखिल नहीं किया था) के रिकॉर्ड को खोजा गया। पोर्टल पर सार्वजनिक डेटा के अनुसार, वित्तीय वर्ष 2024-25 में 7.6 करोड़ से अधिक उपयोगकर्ताओं ने रिटर्न दाखिल किए थे, जबकि कुल पंजीकृत उपयोगकर्ता 13.5 करोड़ से अधिक हैं। इस तरह, संभावित प्रभावित लोगों की संख्या करोड़ों में थी।
प्रभाव: गोपनीयता और पहचान चोरी का खतरा
यह दोष यदि अनियंत्रित रहता, तो पहचान चोरी, वित्तीय धोखाधड़ी और साइबर अपराधों का बड़ा खतरा पैदा कर सकता था। आधार नंबर जैसी संवेदनशील जानकारी का दुरुपयोग सरकारी योजनाओं में घुसपैठ या फर्जी दावों के लिए किया जा सकता था। कंपनियों के डेटा का लीक होना व्यापारिक गोपनीयता को भी प्रभावित कर सकता था। हालांकि, अभी तक किसी बड़े दुरुपयोग की पुष्टि नहीं हुई है, लेकिन विशेषज्ञों का मानना है कि सरकारी पोर्टलों पर ऐसी कमजोरियां नागरिकों के विश्वास को कमजोर करती हैं।
सरकारी प्रतिक्रिया: सूचना से समाधान तक
शोधकर्ताओं ने खोज के तुरंत बाद CERT-In को अलर्ट किया। 30 सितंबर को CERT-In ने पुष्टि की कि आयकर विभाग समस्या को ठीक करने पर काम कर रहा है। 1 अक्टूबर को आयकर विभाग के सिस्टम्स के निदेशक महानिदेशक ने टेकक्रंच के ईमेल का आरोपण स्वीकार किया, लेकिन कोई टिप्पणी नहीं की। वित्त मंत्रालय ने भी कोई बयान नहीं दिया। CERT-In ने दोष को मान्यता दी, लेकिन दुरुपयोग की जांच पर कोई जानकारी नहीं दी।
समस्या का समाधान: अब सुरक्षित है पोर्टल
2 अक्टूबर को शोधकर्ताओं ने पुष्टि की कि आयकर विभाग ने दोष को पूरी तरह ठीक कर दिया है। बैकएंड सर्वरों में सत्यापन तंत्र मजबूत कर दिया गया, ताकि अब PAN स्विचिंग से डेटा एक्सेस न हो सके। टेकक्रंच ने सार्वजनिक हित को ध्यान में रखते हुए समस्या ठीक होने तक रिपोर्ट प्रकाशित नहीं की। अब पोर्टल सुरक्षित माना जा रहा है, लेकिन उपयोगकर्ताओं को सलाह दी जाती है कि वे मजबूत पासवर्ड और दो-चरणीय प्रमाणीकरण का उपयोग करें।
विशेषज्ञों की राय और व्यापक प्रभाव:
शोधकर्ता अक्षय और वायरल ने कहा, “यह एक बहुत ही बुनियादी समस्या थी, लेकिन इसके परिणाम बेहद गंभीर हो सकते थे।” यह घटना सरकारी डिजिटल प्लेटफॉर्म्स पर नियमित ऑडिट और सुरक्षा परीक्षण की आवश्यकता पर जोर देती है। भारत जैसे डिजिटल इंडिया अभियान चलाने वाले देश में ऐसी खामियां नागरिकों की निजता को खतरे में डालती हैं। विशेषज्ञों का सुझाव है कि CERT-In जैसी एजेंसियों को शोधकर्ताओं को त्वरित प्रतिक्रिया और इनाम देने की व्यवस्था मजबूत करनी चाहिए।
सबक और सावधानियां:
यह घटना एक चेतावनी है कि डिजिटल सेवाओं की सुविधा के साथ सुरक्षा को कभी नजरअंदाज नहीं किया जा सकता। आयकर पोर्टल पर करोड़ों उपयोगकर्ता निर्भर हैं, इसलिए विभाग को और सतर्क रहना होगा। करदाता खुद भी सतर्क रहें: संदिग्ध लिंक पर क्लिक न करें, नियमित पासवर्ड बदलें, और डेटा लीक अलर्ट पर नजर रखें। सरकार ने समस्या ठीक कर ली है, लेकिन भविष्य में ऐसी घटनाओं से बचाव के लिए पारदर्शी जांच और सुधार जरूरी हैं।