РынокБезопасность

В интернете более года провисели данные 20 млн российских налогоплательщиков

Анна Савельева | 01.10.2019

В интернете более года провисели данные 20 млн российских налогоплательщиков

База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

Как сообщила Comparitech, работавшая вместе с исследователем Бобом Дьяченко, незащищенный кластер Elasticsearch содержал личную информацию о гражданах России за период с 2009 по 2016 год. Располагался он в общедоступном Amazon Web Services Elasticsearch, подключение к которому не требовало пароля.

img

В мае 2018 года база была впервые проиндексирована поисковыми системами. Только 17 сентября 2019 года Дьяченко обнаружил ее и предупредил владельца. 20 сентября база перестала быть общедоступной.

Кластер содержал несколько баз данных. Часть из них не представляет никакого интереса, так как в них хранилась в основном случайная информация из открытых источников. Однако две хранили личные и налоговые данные о гражданах России. Большинство попавших в них, судя по всему, были из Москвы и Московской области. В первой хранились сведения о 14 млн человек с 2010 по 2016 год. Вторая, на 6 миллионов, содержала информацию промежутка с 2009 по 2015 г.

img

Из баз можно было узнать ФИО, адрес, статус резидента, номер паспорта, номер телефона, ИНН, имя работодателя и его номер телефона, а также сумму налога, которую гражданин выплачивает.

На наш запрос представитель Роскомнадзора рассказал, что в настоящее время специалисты выясняют обстоятельства случившегося.  При необходимости будут направлены запросы в другие ведомства и (или) организации.

Тем временем ФНС уже сообщила о поддельных письмах якобы из налоговой, которые приходят налогоплательщикам по «Почте России».

«Налоговая служба фиксирует участившиеся случаи мошенничества с налоговыми уведомлениями, поэтому рекомендует проверять информацию с помощью сервиса «Личный кабинет налогоплательщика», — подчеркивается в сообщении ФНС.

Также служба подчеркнула, что не имеет к ним никакого отношения.

В Facebook пользователь Денис Виленский рассказал, как ему пришло письмо с требованием оплатить налоги. При попытке оплаты с помощью QR-кода на конверте он увидел, что сумма сильно завышена, в то время как в личном кабинете указывалась правильная.

Кстати похожий случай произошел и с гражданами Эквадора. Слив базы с их данными обнаружили ZDNet и исследователи Ноам Ротем и Ран Локар из vpnMentor. Учитывая, что население страны менее 20 млн (16, 62 млн на 2017 год), а слили в сеть 20,8 млн, или 18 Гб, для них это настоящая катастрофа. Превышение числа жителей связано с тем, что вместе с актуальной информацией в интернете оказались дубликаты записей, более старые версии, или те, в которых говорится об умерших. Помимо взрослых там также упоминались дети. Причем не просто несовершеннолетние, а даже те, кто родился буквально этой весной.

img

Из баз можно было почерпнуть имя, место рождения, пол, домашний адрес, сведения о членах семьи, данные о браке, о финансовом положении и месте работы, а также о наличии автомобиля. Исследователи предполагают, что часть получена из государственных источников, а часть из частных.

Сначала была выдвинута версия, что источником послужил гражданский реестр правительства Эквадора, однако позже были обнаружены два индекса: BIESS и AEADE.

BIESS – Banco del Instituto Ecuatoriano de Seguridad Social, содержит финансовую информацию, в т.ч. состояние счета, остаток на нем, тип кредита и информацию о владельце, включая сведения о работе.

AEADE – Asociación de Empresas Automotrices del Ecuador, содержит информацию об автовладельцах и их автомобилях, включая модели и номерные знаки.

В первую неделю сентября базу убрали из общего доступа, однако невольно приходится задуматься, сколько детей теперь под угрозой.

Налоги Информационная безопасность


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

ТехноКлуб «Дефицит чипов: как выжить в новой реальности?»
Зеленоград, конгресс-центр ОЭЗ «Технополис Москва»
Бесплатно
04.08.2021
10:30
У лояльных хмурый день светлей.
ОНЛАЙН
09.08.2021 — 10.08.2021
19:00
Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00