Finans ve Bankacılık, Sektöre Özel
Hindistan borsasının kusurlu manipülasyonu
Prajeet Nair (@prajeaetspeaks) •
2 Eylül 2025
Hindistan’ın mal ve hizmet vergisi portalındaki bir güvenlik açığı, milyonlarca kişiye hassas vergi kayıtlarını ortaya çıkarabilir ve büyük ölçekli borsa manipülasyonu için fırsatlar yaratabilirdi.
Ayrıca bakınız: Finansal Hizmetler İçin Snyk: Güvenli Hızlı, Güvenli Akıllı
Pittsburgh’daki Carnegie Mellon Üniversitesi’nde gizlilik mühendisliği yüksek lisans öğrencisi olan Güvenlik Araştırmacısı Aseem Shrey, şirketi için GST dosyasını yaparken kusuru ortaya çıkardığını söyledi.
Şimdi yamalı olan sorun, 11.8 milyon kayıt gösterdi ve ülkenin en büyük şirketleri hakkında gerçek zamanlı finansal sinyaller sunmak için istismar edilebilirdi. Kayıtlar arasında GST Challan makbuzları, ne kadar vergi şirketinin ödediğini, hangi bankalara kullandıklarını ve ne sıklıkta iade yaptığını açıkladı.
“Bu sadece sıkıcı uyum verileri değildi,” dedi Shrey. “Gelir, performans ve pazar sağlığı için bir vekil oldu.” Veriler, tüccarların önde gelen kazanç duyurularını, rakiplerin iş büyümesini haritalamasını ve hatta Nifty50 veya Sensex gibi endekslerin manipüle edilmesini sağlayabilir.
Shrey’e göre, Eylül 2024 itibariyle, hükümet verileri 14,8 milyon kayıtlı vergi mükellefi gösteriyor ve bunların 11.8 milyonu sadece o ay geri getirildi. Tek mülk sahipleri ve küçük işletmeler için, GST kimlik numarası kalıcı hesap numaralarını yerleştirerek portalı kişisel ve finansal tanımlayıcılardan oluşan bir şey haline getirir.
Kusur, Shrey’in klasik bir erişim kontrol arızası veya Idor olarak da bilinen güvensiz doğrudan nesne referansı olarak tanımladığı şeyden kaynaklandı. Bir makbuz referansını değiştirerek, saldırganlar diğer vergi mükelleflerinin Challan makbuzlarını görüntüleyebilir. Temel teknik becerilerle, süreç verileri ölçeklendirecek şekilde otomatikleştirilmiş olabilir ve Shrey’in Hindistan için canlı “içeriden öğrenenler ticaret panosu” olarak adlandırdığı şeyi yaratmış olabilir.
GST dosyalama sürecini bir web proxy ile izlerken Shrey, CPIN ve Challan Pin olarak bilinen benzersiz bir makbuz kimliğini değiştirmenin diğer vergi mükelleflerinin Challan verilerine yetkisiz erişime izin verdiğini keşfettiğini söyledi. Proxy aracılığıyla bunu otomatikleştirerek araştırmacı, birden fazla kullanıcıya ait hassas verilere erişilebileceğini gösterdi. Shrey, kavram kanıtı otomasyonunu içeren bir izlenim videosu yayınladı.
Sorunu keşfettikten sonra Shrey bunu Hindistan’ın Ulusal Olay Müdahale Otoritesi Cert-In’e bildirdi. Sorun yaklaşık bir ay içinde sabitlendi ve GST portalında uygun yetkilendirme kontrolleri. Shrey, doğrulama işlemi sırasında hiçbir veri depolanmadığını, paylaşılmadığını veya kötüye kullanılmadığını söyledi.