В интернете более года провисели данные 20 млн российских налогоплательщиков

Логотип компании
01.10.2019Автор
В интернете более года провисели данные 20 млн российских налогоплательщиков
База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

Как сообщила Comparitech, работавшая вместе с исследователем Бобом Дьяченко, незащищенный кластер Elasticsearch содержал личную информацию о гражданах России за период с 2009 по 2016 год. Располагался он в общедоступном Amazon Web Services Elasticsearch, подключение к которому не требовало пароля.

В интернете более года провисели данные 20 млн российских налогоплательщиков. Рис. 1

В мае 2018 года база была впервые проиндексирована поисковыми системами. Только 17 сентября 2019 года Дьяченко обнаружил ее и предупредил владельца. 20 сентября база перестала быть общедоступной.

Кластер содержал несколько баз данных. Часть из них не представляет никакого интереса, так как в них хранилась в основном случайная информация из открытых источников. Однако две хранили личные и налоговые данные о гражданах России. Большинство попавших в них, судя по всему, были из Москвы и Московской области. В первой хранились сведения о 14 млн человек с 2010 по 2016 год. Вторая, на 6 миллионов, содержала информацию промежутка с 2009 по 2015 г.

В интернете более года провисели данные 20 млн российских налогоплательщиков. Рис. 2

Из баз можно было узнать ФИО, адрес, статус резидента, номер паспорта, номер телефона, ИНН, имя работодателя и его номер телефона, а также сумму налога, которую гражданин выплачивает.

На наш запрос представитель Роскомнадзора рассказал, что в настоящее время специалисты выясняют обстоятельства случившегося.  При необходимости будут направлены запросы в другие ведомства и (или) организации.

Тем временем ФНС уже сообщила о поддельных письмах якобы из налоговой, которые приходят налогоплательщикам по «Почте России».

«Налоговая служба фиксирует участившиеся случаи мошенничества с налоговыми уведомлениями, поэтому рекомендует проверять информацию с помощью сервиса «Личный кабинет налогоплательщика», — подчеркивается в сообщении ФНС.

Также служба подчеркнула, что не имеет к ним никакого отношения.

В Facebook пользователь Денис Виленский рассказал, как ему пришло письмо с требованием оплатить налоги. При попытке оплаты с помощью QR-кода на конверте он увидел, что сумма сильно завышена, в то время как в личном кабинете указывалась правильная.

Кстати похожий случай произошел и с гражданами Эквадора. Слив базы с их данными обнаружили ZDNet и исследователи Ноам Ротем и Ран Локар из vpnMentor. Учитывая, что население страны менее 20 млн (16, 62 млн на 2017 год), а слили в сеть 20,8 млн, или 18 Гб, для них это настоящая катастрофа. Превышение числа жителей связано с тем, что вместе с актуальной информацией в интернете оказались дубликаты записей, более старые версии, или те, в которых говорится об умерших. Помимо взрослых там также упоминались дети. Причем не просто несовершеннолетние, а даже те, кто родился буквально этой весной.

В интернете более года провисели данные 20 млн российских налогоплательщиков. Рис. 3

Из баз можно было почерпнуть имя, место рождения, пол, домашний адрес, сведения о членах семьи, данные о браке, о финансовом положении и месте работы, а также о наличии автомобиля. Исследователи предполагают, что часть получена из государственных источников, а часть из частных.

Сначала была выдвинута версия, что источником послужил гражданский реестр правительства Эквадора, однако позже были обнаружены два индекса: BIESS и AEADE.

BIESS – Banco del Instituto Ecuatoriano de Seguridad Social, содержит финансовую информацию, в т.ч. состояние счета, остаток на нем, тип кредита и информацию о владельце, включая сведения о работе.

AEADE – Asociación de Empresas Automotrices del Ecuador, содержит информацию об автовладельцах и их автомобилях, включая модели и номерные знаки.

В первую неделю сентября базу убрали из общего доступа, однако невольно приходится задуматься, сколько детей теперь под угрозой.

Читайте также
О том, как живет и развивается проект «Умный город», чем он уникален и как вписывается в национальный проект «Экономика данных и цифровая трансформация государства», порталу IT-World рассказывает Анатолий Курманов, заместитель руководителя рабочей группы Минстроя России по реализации проекта «Умный город».

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Редакция IT Manager портала IT-World вместе с экспертами разбирается, как подход data-driven работает в России, какие задачи он решает и почему его значение продолжает расти, несмотря на санкционные вызовы и необходимость адаптации к новым условиям.

Похожие статьи