Foorumil avalikustati 15 miljonit väidetavalt Peruu maksuametile kuuluvat kirjet

Foorumil avalikustati 15 miljonit väidetavalt Peruu maksuametile kuuluvat kirjet

Ajatempel: 27. veebruar 2023 kell 8:00

SafetyDetectives küberjulgeoleku meeskond SafetyDetectives küberjulgeoleku meeskond
Avaldatud: Veebruar 27, 2023 Foorumil avalikustati 15 miljonit väidetavalt Peruu maksuametile kuuluvat kirjet

. Ohutusdetektiivid küberjulgeoleku meeskond avastas hiljuti selges veebifoorumis tasuta jagatud andmebaasi, mis arvatavasti kuulus 5. veebruaril 2023 Peruu valitsusüksusele SUNAT.

Andmebaas koosneb ligikaudu 1.2 GB väärtuses krüpteerimata andmetest, mis sisaldab 15,441,010 XNUMX XNUMX rida .TXT-dokumendis ja seda saavad alla laadida kõik, kellel on juurdepääs foorumi postitusele.

Andmebaasi allikas või selle hankimise viis pole teada, kuid see pole esimene kord, kui seda jagatakse, kuna postituse autori sõnul on tegemist uuendusega sarnasest postitusest, mis tehti 2022. aasta detsembris.

Täpne isikute arv, keda SUNATi andmebaasi foorumis jagamine puudutab, pole teada. Kuid autori sõnul sisaldab andmebaas 15,441,010 15 XNUMX rida teavet, mis võib paljastada kuni XNUMX miljonit (hinnanguliselt) Peruu kodanikku (iga teaberida näib olevat seotud ühe üksikisikuga, nagu on märgitud kõnealusest foorumipostitusest).

Keda see mõjutas?

Mõjutatud valitsusasutus on "Superintendencia Nacional de Aduanas y de Administración Tributaria" (riiklik tolli- ja maksuameti järelevalveasutus), mida sagedamini kasutatakse lühendina "SUNAT", mis on Peruu riiklik maksuhaldusasutus. Ta vastutab Peruu valitsuse maksutulude ja tollimaksude kogumise ja haldamise eest. SUNAT mängib riigi majanduses üliolulist rolli ning vastutab maksuseaduste ja -määruste järgimise eest.

Mis paljastati?

Järgmine loend on näide andmetüüpidest, mis avaldati foorumipostituse kaudu jagatud näidis:

  • RUC (maksukohustuslasena registreerimise number)
  • Nombre o razón social (nimi või ärinimi)
  • Estado del contribuyente (maksumaksja staatus)
  • Condición de domicilio (maksualalise asukoha tingimus)

Meie teadlaste meeskond vaatas läbi ainult SUNATi andmebaasi näidise, mida jagati foorumi kaudu, ega pääsenud eetilistel põhjustel kogu andmebaasi juurde. Eespool loetletud andmed, sealhulgas RUC, nimi/ärinimi, maksumaksja staatus ja maksualaline asukoht, olid ainus teave, mida valimis vaadati. Täielikus andmebaasis võib olla muud tüüpi teavet, kuna mõned väljad on foorumipostituses jagatud näidis tühjad.

Rikkumise ja selle võimaliku mõju mõistmine nõuab hoolikat tähelepanu ja aega. Püüame avaldada täpseid ja usaldusväärseid aruandeid, et meie lugejad mõistaksid esiletõstetud andmete avaldamise mõju.

Sellega seoses peame väga tähtsaks, et oleksime põhjalikud ja tagaksid, et meie järeldused oleksid kehtivad ja täpsed nii palju kui võimalik. Meie meeskond püüdis kontrollida andmete autentsust, ristkontrollides proovist leitud RUC kehtivust Peruu valitsuse eraldi veebisaidi kaudu, mis näeb ette Peruu maksumaksja staatuse kontrollimise. Kinnitati, et avaldatud andmebaasis olevad andmed olid Peruu maksuresidentide tegelikud andmed, mitte "näitavad" andmed.

See kontrolliprotsess võib aga paljastada ka tundlikku teavet, nagu üksikisiku riiklik identifitseerimisnumber (DNI), mida võidakse kasutada pettuse eesmärgil. Asjaolu, et sellele teabele on lihtne juurde pääseda, rõhutab SUNATi andmebaasi eksponeerimisest tulenevaid ohte.

Meie meeskond võttis Peruu ametivõimudega ühendust 13. veebruaril 2023 ja teavitas neid veebis jagatavatest andmetest. Selle artikli kirjutamise ajal ei ole me SUNATilt vastust saanud.

Me ei tea ega oska kindlaks teha, kuidas see teave lekkis, kuna see teave võis avaldada mitmel viisil. Lisaks ei saa me kindlaks teha, kas keegi teine ​​pääses andmetele nende avaldamise ajal juurde.

Võimalik mõju

SUNATi andmebaasi kokkupuude võib Peruu kodanikele märkimisväärset kahju tekitada. Andmebaasis sisalduvad andmed koosnevad ülitundlikust teabest, sealhulgas maksukohustuslasena registreerimisnumbritest, nimedest/ärinimedest, maksumaksja staatusest ja maksuala asukohast.

Selliseid andmeid võidakse potentsiaalselt kasutada muudel riiklikel/eraveebisaitidel kordumatu identifikaatorina, et saada ja kaevandada kokkupuutunud kasutajalt üksikasjalikumat teavet. Avatud teave võib õhutada edasisi petturlikke tegevusi, võimaldades pahatahtlikel isikutel varastada identiteeti, võtta laenu ja osaleda muudes finantspettustes.

Lisaks võib selle teabe avaldamine kaasa tuua ka privaatsuse kaotuse ja usalduse kaotuse valitsuse võime vastu kodanike isikuandmeid kaitsta. Selle andmetega seotud rikkumise võimalik mõju on märkimisväärne ja sellel võivad olla Peruu kodanike jaoks pikaajalised tagajärjed.

Mida saate teha, kui arvate, et leke võib teid mõjutada

Isikud, kes usuvad, et andmete avaldamine võis neid mõjutada, võivad enda kaitsmiseks astuda mitmeid samme.

  1. Jälgige regulaarselt nende finantsaruandeid mis tahes kahtlase tegevuse suhtes.
  2. Igast kahtlasest tegevusest teatamiseks ja pettusehoiatuste taotlemiseks võtke ühendust oma panga ja finantsasutustega.
  3. Teatage igast identiteedivarguse kahtlusest vastavatele ametiasutustele.

Neid ennetavaid samme astudes saavad üksikisikud minimeerida andmelekke võimalikku mõju ja vähendada identiteedivarguse või muude pettuste riski.

Meist

Ohutusdetektiivid testib, võrdleb ja vaatab üle viirusetõrjetarkvara, paroolihaldurid, vanemliku järelevalve rakendused ja virtuaalsed privaatvõrgud (VPN), kasutades tugevat testimismetoodikat.

Uuringulabor SafetyDetectives on pro bono teenus, mille eesmärk on aidata võrgukogukonnal end küberohtude eest kaitsta. Meie eesmärk on aidata võrgukogukonnal end tänapäevaste küberründajate eest kaitsta, õpetades samal ajal organisatsioone, kuidas kaitsta oma kasutajate andmeid.

Siit leiate lisateavet selle kohta, mis kujutab endast küberkuritegevust, parimaid näpunäiteid andmepüügirünnakute ennetamiseks ja kuidas lunavara vältida, järgides juhiseid SafetyDetectives. blogi ja meie viimased uudised.

Ajatempel:

Veel alates Ohutusdetektiivid