15 εκατομμύρια αρχεία που φέρονται ότι ανήκουν στην περουβιανή φορολογική αρχή εκτέθηκαν σε φόρουμ

Ομάδα ασφάλειας στον τομέα της ασφάλειας στον κυβερνοχώρο
Δημοσιεύθηκε στις: Φεβρουάριος 27, 2023

Η Ασφάλεια Η ομάδα κυβερνοασφάλειας ανακάλυψε πρόσφατα μια βάση δεδομένων που μοιράζεται δωρεάν σε ένα καθαρό φόρουμ Ιστού, που προφανώς ανήκει στην κυβερνητική οντότητα του Περού, SUNAT, στις 5 Φεβρουαρίου 2023.

Η βάση δεδομένων αποτελείται από μη κρυπτογραφημένα δεδομένα αξίας περίπου 1.2 GB, που περιέχει 15,441,010 γραμμές σε ένα έγγραφο .TXT και μπορεί να ληφθεί από οποιονδήποτε έχει πρόσβαση στην ανάρτηση του φόρουμ.

Η πηγή της βάσης δεδομένων ή ο τρόπος απόκτησής της είναι άγνωστη, αλλά δεν είναι η πρώτη φορά που κοινοποιήθηκε καθώς είναι μια ενημέρωση από παρόμοια ανάρτηση που έγινε τον Δεκέμβριο του 2022, σύμφωνα με τον συντάκτη της ανάρτησης.

Ο ακριβής αριθμός των ατόμων που επηρεάζονται από την κοινή χρήση της βάσης δεδομένων SUNAT στο φόρουμ είναι άγνωστος. Ωστόσο, σύμφωνα με τον συγγραφέα, η βάση δεδομένων περιέχει 15,441,010 σειρές πληροφοριών, εκθέτοντας πιθανώς έως και 15 εκατομμύρια (κατ' εκτίμηση) Περουβιανούς πολίτες (κάθε γραμμή πληροφοριών φαίνεται να σχετίζεται με ένα μεμονωμένο άτομο, όπως σημειώνεται από την εν λόγω ανάρτηση στο φόρουμ).

Ποιος επηρεάστηκε;

Η κυβερνητική οντότητα που επηρεάζεται είναι η "Superintendencia Nacional de Aduanas y de Administración Tributaria" (η Εθνική Εποπτεία Τελωνείων και Φορολογικής Διοίκησης), που συνήθως συντομεύεται ως "SUNAT", η οποία είναι η εθνική φορολογική υπηρεσία του Περού. Είναι υπεύθυνη για τη συλλογή και τη διαχείριση των φορολογικών εσόδων, καθώς και των τελωνειακών δασμών, για την κυβέρνηση του Περού. Η SUNAT διαδραματίζει κρίσιμο ρόλο στην οικονομία της χώρας και είναι υπεύθυνη για τη διασφάλιση της συμμόρφωσης με τους φορολογικούς νόμους και κανονισμούς.

Τι εκτέθηκε;

Η ακόλουθη λίστα είναι ένα παράδειγμα των τύπων δεδομένων που παρουσιάστηκαν στο δείγμα που κοινοποιήθηκε μέσω της ανάρτησης του φόρουμ:

• RUC (αριθμός φορολογικού μητρώου)
• Nombre o razón social (όνομα ή επωνυμία επιχείρησης)
• Estado del contribuyente (καθεστώς φορολογούμενου)
• Condición de domicilio (προϋπόθεση φορολογικής κατοικίας)

Η ομάδα των ερευνητών μας εξέτασε μόνο ένα δείγμα της βάσης δεδομένων SUNAT που κοινοποιήθηκε μέσω του φόρουμ και δεν είχε πρόσβαση στην πλήρη βάση δεδομένων για ηθικούς λόγους. Τα δεδομένα που αναφέρονται παραπάνω, συμπεριλαμβανομένου του RUC, του ονόματος/επωνυμίας της επιχείρησης, της κατάστασης φορολογούμενου και του όρου φορολογικής κατοικίας, ήταν οι μόνες πληροφορίες που παρατηρήθηκαν στο δείγμα. Ενδέχεται να υπάρχουν άλλοι τύποι πληροφοριών στην πλήρη βάση δεδομένων, καθώς ορισμένα πεδία εμφανίζονται κενά στο δείγμα που κοινοποιήθηκε στην ανάρτηση του φόρουμ.

Η κατανόηση μιας παραβίασης και ο πιθανός αντίκτυπός της απαιτεί ιδιαίτερη προσοχή και χρόνο. Προσπαθούμε να δημοσιεύουμε ακριβείς και αξιόπιστες αναφορές, για να διασφαλίσουμε ότι οι αναγνώστες μας κατανοούν τον αντίκτυπο της έκθεσης δεδομένων που επισημαίνονται.

Σε αυτό το σημείο, δίνουμε μεγάλη σημασία στο να είμαστε ενδελεχείς και να διασφαλίζουμε ότι τα ευρήματά μας είναι έγκυρα και ακριβή όσο το δυνατόν περισσότερο. Η ομάδα μας προσπάθησε να επαληθεύσει την αυθεντικότητα των δεδομένων διασταυρώνοντας την εγκυρότητα ενός RUC που βρέθηκε στο δείγμα μέσω ενός ξεχωριστού ιστότοπου της κυβέρνησης του Περού, ο οποίος προβλέπει την επαλήθευση της κατάστασης φορολογούμενου στο Περού. Τα δεδομένα στην εκτεθειμένη βάση δεδομένων επιβεβαιώθηκε ότι είναι πραγματικά δεδομένα που ανήκουν σε φορολογικούς κατοίκους του Περού και όχι «ψευδή» δεδομένα.

Αυτή η διαδικασία επαλήθευσης, ωστόσο, θα μπορούσε επίσης να αποκαλύψει ευαίσθητες πληροφορίες, όπως ο αριθμός μητρώου εθνικής ταυτότητας ενός ατόμου (DNI), οι οποίες θα μπορούσαν να χρησιμοποιηθούν για δόλιους σκοπούς. Το γεγονός ότι αυτές οι πληροφορίες είναι εύκολα προσβάσιμες υπογραμμίζει τους κινδύνους που προκύπτουν από την έκθεση της βάσης δεδομένων SUNAT.

Η ομάδα μας επικοινώνησε με τις αρχές του Περού στις 13 Φεβρουαρίου 2023 και τις ειδοποίησε για τα δεδομένα που κοινοποιήθηκαν στο διαδίκτυο. Τη στιγμή της σύνταξης, δεν έχουμε λάβει καμία απάντηση από τη SUNAT.

Δεν γνωρίζουμε ή έχουμε τρόπο να προσδιορίσουμε πώς διέρρευσαν αυτές οι πληροφορίες, καθώς υπάρχουν πολλοί τρόποι με τους οποίους θα μπορούσαν να έχουν εκτεθεί αυτές οι πληροφορίες. Επιπλέον, δεν μπορούμε να προσδιορίσουμε εάν κάποιος άλλος είχε πρόσβαση στα δεδομένα ενώ ήταν εκτεθειμένα.

Πιθανές επιπτώσεις

Η έκθεση της βάσης δεδομένων SUNAT έχει τη δυνατότητα να προκαλέσει σημαντική βλάβη στους Περουβιανούς πολίτες. Τα δεδομένα που περιέχονται στη βάση δεδομένων αποτελούνται από εξαιρετικά ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των αριθμών φορολογικού μητρώου, των ονομάτων/επωνυμιών επιχείρησης, της κατάστασης φορολογούμενου και της κατάστασης φορολογικής κατοικίας.

Τέτοια δεδομένα ενδέχεται να χρησιμοποιηθούν σε άλλους κυβερνητικούς/ιδιωτικούς ιστότοπους ως μοναδικό αναγνωριστικό, προκειμένου να λάβουμε και να εξορύξουμε πιο λεπτομερείς πληροφορίες από έναν εκτεθειμένο χρήστη. Οι εκτεθειμένες πληροφορίες θα μπορούσαν να τροφοδοτήσουν περαιτέρω δόλιες δραστηριότητες, επιτρέποντας σε κακόβουλους παράγοντες να κλέψουν πιθανώς ταυτότητες, να συνάψουν δάνεια και να εμπλακούν σε άλλες μορφές οικονομικής απάτης.

Επιπλέον, η έκθεση αυτών των πληροφοριών μπορεί επίσης να οδηγήσει σε απώλεια του απορρήτου και απώλεια εμπιστοσύνης στην ικανότητα της κυβέρνησης να προστατεύει τα προσωπικά δεδομένα των πολιτών. Ο πιθανός αντίκτυπος αυτής της παραβίασης δεδομένων είναι σημαντικός και μπορεί να έχει μακροχρόνιες συνέπειες για τους Περουβιανούς πολίτες.

Τι μπορείτε να κάνετε εάν πιστεύετε ότι μπορεί να επηρεαστείτε από τη διαρροή

Τα άτομα που πιστεύουν ότι μπορεί να έχουν επηρεαστεί από την έκθεση των δεδομένων, μπορούν να λάβουν διάφορα μέτρα για να προστατευθούν:

1. Να παρακολουθείτε τακτικά τις οικονομικές τους καταστάσεις για οποιαδήποτε ύποπτη δραστηριότητα.
2. Επικοινωνήστε με την τράπεζά και τα χρηματοπιστωτικά ιδρύματά τους για να αναφέρετε οποιαδήποτε ύποπτη δραστηριότητα και να ζητήσετε ειδοποιήσεις για απάτη.
3. Αναφέρετε κάθε ύποπτη κλοπή ταυτότητας στις αρμόδιες αρχές.

Λαμβάνοντας αυτά τα προληπτικά βήματα, τα άτομα μπορούν να ελαχιστοποιήσουν τον πιθανό αντίκτυπο της διαρροής δεδομένων και να μειώσουν τον κίνδυνο κλοπής ταυτότητας ή άλλων μορφών απάτης.

Σχετικά με εμάς

Ασφάλεια δοκιμάζει, συγκρίνει και αξιολογεί λογισμικό προστασίας από ιούς, διαχειριστές κωδικών πρόσβασης, εφαρμογές γονικού ελέγχου και εικονικά ιδιωτικά δίκτυα (VPN) χρησιμοποιώντας μια ισχυρή μεθοδολογία δοκιμών.

Το ερευνητικό εργαστήριο SafetyDetectives είναι μια δωρεάν υπηρεσία που στοχεύει να βοηθήσει την διαδικτυακή κοινότητα να αμυνθεί έναντι των απειλών στον κυβερνοχώρο. Στόχος μας είναι να βοηθήσουμε την διαδικτυακή κοινότητα να αμυνθεί έναντι των σύγχρονων επιθέσεων στον κυβερνοχώρο, ενώ παράλληλα εκπαιδεύουμε τους οργανισμούς για το πώς να προστατεύουν τα δεδομένα των χρηστών τους.

Μάθετε περισσότερα σχετικά με το τι συνιστά έγκλημα στον κυβερνοχώρο, τις καλύτερες συμβουλές για την πρόληψη επιθέσεων phishing και πώς να αποφύγετε ransomware ακολουθώντας το SafetyDetectives' blog και το κομμάτι τελευταία νέα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.safetydetectives.com/news/peru-sunat-leak-report/