Team di sicurezza informatica SafetyDetectives
Pubblicato il: 27 Febbraio 2023 
Il Sicurezza Detective Il team di sicurezza informatica ha recentemente scoperto un database condiviso gratuitamente su un forum web chiaro, presumibilmente appartenente all'entità governativa peruviana, SUNAT il 5 febbraio 2023.
Il database è costituito da circa 1.2 GB di dati non crittografati, contenenti 15,441,010 righe in un documento .TXT e può essere scaricato da chiunque abbia accesso al post del forum.
La fonte del database o il modo in cui è stato ottenuto è sconosciuta, ma questa non è la prima volta che viene condivisa in quanto si tratta di un aggiornamento di un post simile pubblicato nel dicembre 2022, secondo l'autore del post.
Non si conosce il numero esatto delle persone interessate dalla condivisione del database SUNAT sul forum. Tuttavia, secondo l'autore, il database contiene 15,441,010 righe di informazioni, esponendo potenzialmente fino a 15 milioni (stimati) di cittadini peruviani (ogni riga di informazioni sembra riferirsi a un singolo individuo, come notato dal post del forum in questione).
Chi è stato colpito?
L'ente governativo interessato è la "Superintendencia Nacional de Aduanas y de Administración Tributaria" (la Sovrintendenza nazionale dell'amministrazione doganale e fiscale), più comunemente abbreviata in "SUNAT", che è l'agenzia nazionale dell'amministrazione fiscale del Perù. È responsabile della riscossione e della gestione delle entrate fiscali, nonché dei dazi doganali, per il governo peruviano. SUNAT svolge un ruolo cruciale nell'economia del paese ed è responsabile di garantire il rispetto delle leggi e dei regolamenti fiscali.
Cosa è stato esposto?
L'elenco seguente è un esempio dei tipi di dati che sono stati esposti nel campione condiviso tramite il post del forum:
- RUC (codice fiscale)
- Nombre o razón social (nome o ragione sociale)
- Estado del contribuyente (status di contribuente)
- Condición de domicilio (condizione di domicilio fiscale)
Il nostro team di ricercatori ha esaminato solo un campione del database SUNAT condiviso tramite il forum e non ha avuto accesso al database completo per motivi etici. I dati sopra elencati, tra cui RUC, nome/ragione sociale, stato di contribuente e condizione di domicilio fiscale, erano le uniche informazioni osservate nel campione. Potrebbero esserci potenzialmente altri tipi di informazioni presenti nel database completo, poiché alcuni campi appaiono vuoti nell'esempio condiviso nel post del forum.
Screenshot del post sul forum
Screenshot di un sito Web governativo in cui è possibile effettuare un controllo incrociato dello stato del "RUC"
Screenshot dei dati estratti da un altro sito web governativo peruviano, tramite RUC trapelato nei dati campione condivisi sul post.
Comprendere una violazione e il suo potenziale impatto richiede molta attenzione e tempo. Ci sforziamo di pubblicare rapporti accurati e affidabili, per garantire che i nostri lettori comprendano l'impatto delle esposizioni di dati evidenziate.
In tale nota, attribuiamo grande importanza all'essere accurati e ad assicurarci che i nostri risultati siano validi e accurati per quanto ragionevolmente possibile. Il nostro team ha cercato di verificare l'autenticità dei dati mediante un controllo incrociato della validità di un RUC trovato nel campione attraverso un sito web separato del governo peruviano, che prevede la verifica dello status di contribuente in Perù. I dati nel database esposto sono stati confermati come dati reali appartenenti a residenti fiscali peruviani e non dati "fittizi".
Questo processo di verifica, tuttavia, potrebbe anche esporre informazioni sensibili come il numero di registrazione dell'identità nazionale (DNI) di un individuo, che potrebbe essere utilizzato per scopi fraudolenti. Il fatto che queste informazioni siano facilmente accessibili evidenzia i pericoli derivanti dall'esposizione del database SUNAT.
Il 13 febbraio 2023 il nostro team ha contattato le autorità peruviane e le ha avvisate della condivisione online dei dati. Al momento in cui scriviamo, non abbiamo ricevuto alcuna risposta da SUNAT.
Non sappiamo, o non abbiamo un modo per determinare come queste informazioni siano trapelate, poiché ci sono molti modi in cui queste informazioni potrebbero essere state esposte. Inoltre, non possiamo determinare se qualcun altro ha avuto accesso ai dati mentre erano esposti.
Impatto potenziale
L'esposizione del database SUNAT ha il potenziale per causare danni significativi ai cittadini peruviani. I dati contenuti nel database sono costituiti da informazioni altamente sensibili, tra cui codici fiscali, nomi/ragione sociale, stato di contribuente e condizione di domicilio fiscale.
Tali dati possono potenzialmente essere utilizzati su altri siti Web governativi/privati come identificatore univoco, al fine di ottenere ed estrarre informazioni più dettagliate da un utente esposto. Le informazioni esposte potrebbero alimentare ulteriori attività fraudolente, consentendo a malintenzionati di rubare identità, contrarre prestiti e impegnarsi in altre forme di frode finanziaria.
Inoltre, l'esposizione di queste informazioni può comportare anche una perdita di privacy e una perdita di fiducia nella capacità del governo di proteggere i dati personali dei cittadini. Il potenziale impatto di questa violazione dei dati è significativo e può avere conseguenze a lungo termine per i cittadini peruviani.
Cosa puoi fare se pensi di poter essere influenzato dalla perdita
Gli individui che ritengono di poter essere stati interessati dall'esposizione dei dati possono adottare diverse misure per proteggersi:
- Monitorare regolarmente i loro rendiconti finanziari per qualsiasi attività sospetta.
- Contatta la loro banca e le istituzioni finanziarie per segnalare qualsiasi attività sospetta e richiedere avvisi di frode.
- Segnalare qualsiasi sospetto furto di identità alle autorità competenti.
Adottando queste misure proattive, le persone possono ridurre al minimo il potenziale impatto della fuga di dati e ridurre il rischio di furto di identità o altre forme di frode.
Chi siamo
Sicurezza Detective testa, confronta ed esamina software antivirus, gestori di password, app di controllo parentale e reti private virtuali (VPN) utilizzando una solida metodologia di test.
Il laboratorio di ricerca SafetyDetectives è un servizio pro bono che mira ad aiutare la comunità online a difendersi dalle minacce informatiche. Il nostro obiettivo è aiutare la comunità online a difendersi dagli attacchi informatici moderni, istruendo le organizzazioni su come proteggere i dati dei propri utenti.
Scopri di più su ciò che costituisce il crimine informatico, i migliori consigli per prevenire gli attacchi di phishing e come evitare il ransomware seguendo SafetyDetectives' blog e il nostro ultime notizie.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.safetydetectives.com/news/peru-sunat-leak-report/
- 1
- 2022
- 2023
- 7
- 9
- a
- capacità
- WRI
- sopra
- accesso
- accessibile
- Secondo
- preciso
- attività
- attività
- attori
- aggiunta
- Inoltre
- amministrazione
- contro
- agenzia
- mira
- presumibilmente
- Consentire
- ed
- Un altro
- antivirus
- chiunque
- apparire
- opportuno
- circa
- applicazioni
- attacchi
- attenzione
- autenticità
- autore
- Autorità
- autorità
- Avatar
- Banca
- essendo
- CREDIAMO
- MIGLIORE
- violazione
- affari
- non può
- attento
- carosello
- Causare
- cittadini
- pulire campo
- Raccolta
- comunemente
- comunità
- conformità
- condizione
- CONFERMATO
- Conseguenze
- contiene
- di controllo
- potuto
- Paese del
- cruciale
- dogana
- Cyber
- cybercrime
- Cybersecurity
- pericoli
- dati
- violazione di dati
- perdita di data
- Banca Dati
- Dicembre
- dettagliati
- Determinare
- DID
- scoperto
- documento
- ogni
- facilmente
- economia
- educare
- impegnarsi
- garantire
- assicurando
- entità
- stimato
- etico
- esempio
- esposto
- Esposizione
- Febbraio
- campi
- finanziario
- Istituzioni finanziarie
- Nome
- prima volta
- i seguenti
- forme
- Forum
- essere trovato
- frode
- fraudolenti
- Gratis
- da
- Carburante
- pieno
- ulteriormente
- Enti Pubblici
- governo
- grande
- Aiuto
- Evidenziato
- evidenzia
- vivamente
- Come
- Tutorial
- Tuttavia
- HTTPS
- Identificazione
- identificatore
- identità
- Identità
- Impact
- importanza
- in
- In altre
- Compreso
- individuale
- individui
- informazioni
- istituzioni
- IT
- stessa
- Sapere
- laboratorio
- Legislazione
- Leggi e regolamenti
- perdita
- linea
- Linee
- Lista
- elencati
- Prestiti e finanziamenti
- spento
- fatto
- Fare
- I gestori
- gestione
- molti
- Metodologia
- milione
- Scopri di più
- Nome
- nomi
- il
- reti
- noto
- numero
- numeri
- ottenere
- ottenuto
- online
- minimo
- organizzazioni
- Altro
- Password
- cronologia
- dati personali
- tacchino
- phishing
- attacchi di phishing
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibile
- Post
- potenziale
- potenzialmente
- presenti
- prevenire
- Privacy
- un bagno
- Pro
- Proactive
- processi
- protegge
- fornisce
- pubblicare
- fini
- domanda
- ransomware
- lettori
- di rose
- motivi
- ricevuto
- recentemente
- record
- ridurre
- Iscrizione
- regolarmente
- normativa
- rapporto
- Report
- richiesta
- riparazioni
- ricercatori
- residenti
- risposta
- responsabile
- colpevole
- ricavi
- rivisto
- Recensioni
- Rischio
- robusto
- Ruolo
- delicata
- separato
- servizio
- alcuni
- condiviso
- compartecipazione
- significativa
- simile
- singolo
- Social
- Software
- alcuni
- Fonte
- dichiarazioni
- Stato dei servizi
- Passi
- lottare
- tale
- sospettoso
- Fai
- prende
- presa
- imposta
- autorità fiscale
- Contribuente
- team
- Testing
- test
- Il
- furto
- loro
- si
- minacce
- Attraverso
- tempo
- suggerimenti
- a
- vero
- Affidati ad
- affidabili sul mercato
- Tipi di
- capire
- unico
- Aggiornanento
- Utente
- Convalida
- verificare
- via
- virtuale
- VPN
- modi
- sito web
- WebP
- Sito web
- siti web
- Che
- se
- quale
- while
- OMS
- valore
- scrittura
- Tu
- zefiro
