IT NewsНовости рынкаБезопасность

В интернете более года провисели данные 20 млн российских налогоплательщиков

Анна Савельева | 01.10.2019

В интернете более года провисели данные 20 млн российских налогоплательщиков

База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

Как сообщила Comparitech, работавшая вместе с исследователем Бобом Дьяченко, незащищенный кластер Elasticsearch содержал личную информацию о гражданах России за период с 2009 по 2016 год. Располагался он в общедоступном Amazon Web Services Elasticsearch, подключение к которому не требовало пароля.

img

В мае 2018 года база была впервые проиндексирована поисковыми системами. Только 17 сентября 2019 года Дьяченко обнаружил ее и предупредил владельца. 20 сентября база перестала быть общедоступной.

Кластер содержал несколько баз данных. Часть из них не представляет никакого интереса, так как в них хранилась в основном случайная информация из открытых источников. Однако две хранили личные и налоговые данные о гражданах России. Большинство попавших в них, судя по всему, были из Москвы и Московской области. В первой хранились сведения о 14 млн человек с 2010 по 2016 год. Вторая, на 6 миллионов, содержала информацию промежутка с 2009 по 2015 г.

img

Из баз можно было узнать ФИО, адрес, статус резидента, номер паспорта, номер телефона, ИНН, имя работодателя и его номер телефона, а также сумму налога, которую гражданин выплачивает.

На наш запрос представитель Роскомнадзора рассказал, что в настоящее время специалисты выясняют обстоятельства случившегося.  При необходимости будут направлены запросы в другие ведомства и (или) организации.

Тем временем ФНС уже сообщила о поддельных письмах якобы из налоговой, которые приходят налогоплательщикам по «Почте России».

«Налоговая служба фиксирует участившиеся случаи мошенничества с налоговыми уведомлениями, поэтому рекомендует проверять информацию с помощью сервиса «Личный кабинет налогоплательщика», — подчеркивается в сообщении ФНС.

Также служба подчеркнула, что не имеет к ним никакого отношения.

В Facebook пользователь Денис Виленский рассказал, как ему пришло письмо с требованием оплатить налоги. При попытке оплаты с помощью QR-кода на конверте он увидел, что сумма сильно завышена, в то время как в личном кабинете указывалась правильная.

Кстати похожий случай произошел и с гражданами Эквадора. Слив базы с их данными обнаружили ZDNet и исследователи Ноам Ротем и Ран Локар из vpnMentor. Учитывая, что население страны менее 20 млн (16, 62 млн на 2017 год), а слили в сеть 20,8 млн, или 18 Гб, для них это настоящая катастрофа. Превышение числа жителей связано с тем, что вместе с актуальной информацией в интернете оказались дубликаты записей, более старые версии, или те, в которых говорится об умерших. Помимо взрослых там также упоминались дети. Причем не просто несовершеннолетние, а даже те, кто родился буквально этой весной.

img

Из баз можно было почерпнуть имя, место рождения, пол, домашний адрес, сведения о членах семьи, данные о браке, о финансовом положении и месте работы, а также о наличии автомобиля. Исследователи предполагают, что часть получена из государственных источников, а часть из частных.

Сначала была выдвинута версия, что источником послужил гражданский реестр правительства Эквадора, однако позже были обнаружены два индекса: BIESS и AEADE.

BIESS – Banco del Instituto Ecuatoriano de Seguridad Social, содержит финансовую информацию, в т.ч. состояние счета, остаток на нем, тип кредита и информацию о владельце, включая сведения о работе.

AEADE – Asociación de Empresas Automotrices del Ecuador, содержит информацию об автовладельцах и их автомобилях, включая модели и номерные знаки.

В первую неделю сентября базу убрали из общего доступа, однако невольно приходится задуматься, сколько детей теперь под угрозой.

Налоги, информационная безопасность


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Не успели мы отбиться от вызовов и задач, которые взвалила на нас принудительная удаленка, как уже растут новые вызовы. В частности, нас ждет будущее всеобщей цифровизации, и будущее это будет непременно светлым и радостным, но только если мы в него впишемся.
Как никогда важно задуматься о том, насколько безопасны компьютеры наших работников, которые становятся одним из основных векторов атак для злоумышленников.

Я первое время ходил на все встречи с диктофоном, что спасал о меня от ситуации, когда я полностью понял собеседника, идеально подстроился, обо всем договорился… но вот о чем договорился и вообще, что обсуждали –, не помню хоть убей.

Компании сообщают

Мероприятия

Конференция Data Fest
ОНЛАЙН
19.09.2020 — 20.09.2020
11:00
Форум промышленной роботизации
Санкт-Петербург, Чернорецкий пер. 4-6
23.09.2020 — 24.09.2020
Сбер Конф
ОНЛАЙН
24.09.2020
10:00
Импортозамещение BI
ОНЛАЙН
24.09.2020
10:00-12:00