РынокБезопасность

В интернете более года провисели данные 20 млн российских налогоплательщиков

Анна Савельева | 01.10.2019

В интернете более года провисели данные 20 млн российских налогоплательщиков

База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

Как сообщила Comparitech, работавшая вместе с исследователем Бобом Дьяченко, незащищенный кластер Elasticsearch содержал личную информацию о гражданах России за период с 2009 по 2016 год. Располагался он в общедоступном Amazon Web Services Elasticsearch, подключение к которому не требовало пароля.

img

В мае 2018 года база была впервые проиндексирована поисковыми системами. Только 17 сентября 2019 года Дьяченко обнаружил ее и предупредил владельца. 20 сентября база перестала быть общедоступной.

Кластер содержал несколько баз данных. Часть из них не представляет никакого интереса, так как в них хранилась в основном случайная информация из открытых источников. Однако две хранили личные и налоговые данные о гражданах России. Большинство попавших в них, судя по всему, были из Москвы и Московской области. В первой хранились сведения о 14 млн человек с 2010 по 2016 год. Вторая, на 6 миллионов, содержала информацию промежутка с 2009 по 2015 г.

img

Из баз можно было узнать ФИО, адрес, статус резидента, номер паспорта, номер телефона, ИНН, имя работодателя и его номер телефона, а также сумму налога, которую гражданин выплачивает.

На наш запрос представитель Роскомнадзора рассказал, что в настоящее время специалисты выясняют обстоятельства случившегося.  При необходимости будут направлены запросы в другие ведомства и (или) организации.

Тем временем ФНС уже сообщила о поддельных письмах якобы из налоговой, которые приходят налогоплательщикам по «Почте России».

«Налоговая служба фиксирует участившиеся случаи мошенничества с налоговыми уведомлениями, поэтому рекомендует проверять информацию с помощью сервиса «Личный кабинет налогоплательщика», — подчеркивается в сообщении ФНС.

Также служба подчеркнула, что не имеет к ним никакого отношения.

В Facebook пользователь Денис Виленский рассказал, как ему пришло письмо с требованием оплатить налоги. При попытке оплаты с помощью QR-кода на конверте он увидел, что сумма сильно завышена, в то время как в личном кабинете указывалась правильная.

Кстати похожий случай произошел и с гражданами Эквадора. Слив базы с их данными обнаружили ZDNet и исследователи Ноам Ротем и Ран Локар из vpnMentor. Учитывая, что население страны менее 20 млн (16, 62 млн на 2017 год), а слили в сеть 20,8 млн, или 18 Гб, для них это настоящая катастрофа. Превышение числа жителей связано с тем, что вместе с актуальной информацией в интернете оказались дубликаты записей, более старые версии, или те, в которых говорится об умерших. Помимо взрослых там также упоминались дети. Причем не просто несовершеннолетние, а даже те, кто родился буквально этой весной.

img

Из баз можно было почерпнуть имя, место рождения, пол, домашний адрес, сведения о членах семьи, данные о браке, о финансовом положении и месте работы, а также о наличии автомобиля. Исследователи предполагают, что часть получена из государственных источников, а часть из частных.

Сначала была выдвинута версия, что источником послужил гражданский реестр правительства Эквадора, однако позже были обнаружены два индекса: BIESS и AEADE.

BIESS – Banco del Instituto Ecuatoriano de Seguridad Social, содержит финансовую информацию, в т.ч. состояние счета, остаток на нем, тип кредита и информацию о владельце, включая сведения о работе.

AEADE – Asociación de Empresas Automotrices del Ecuador, содержит информацию об автовладельцах и их автомобилях, включая модели и номерные знаки.

В первую неделю сентября базу убрали из общего доступа, однако невольно приходится задуматься, сколько детей теперь под угрозой.

Налоги, Информационная безопасность


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Их важность «всплыла» именно во время первой волны пандемии, когда оказалось, что часть сотрудников должна получать удаленный доступ к достаточно критичным элементам инфраструктуры организации
К намекам Gartner о том, что пора бы AI перестать тратить и начать зарабатывать, добавляются требования суровой действительности о необходимости быстрой адаптации к изменениям и скорости принятия решений в условиях растущей конкуренции.
Так что же получается, умение через туман будущего увидеть сверкающий маяк желанной цели и показать его другим, чтобы зажечь их сердца и направить их в нужном направлении, – это и есть самый полезный навык, который неподвластен ни времени, ни новым технологиям?

Компании сообщают

Мероприятия