フォーラムで公開されたペルーの税務当局に属するとされる 15 万件の記録

SafetyDetectivesサイバーセキュリティチーム
発行日： 2023 年 2 月 27 日

　 安全探偵 サイバーセキュリティ チームは最近、5 年 2023 月 XNUMX 日に、おそらくペルーの政府機関である SUNAT に属していると思われる、明確な Web フォーラムで無料で共有されているデータベースを発見しました。

データベースは約 1.2GB 相当の暗号化されていないデータで構成され、15,441,010 行の .TXT ドキュメントが含まれており、フォーラムの投稿にアクセスできる人なら誰でもダウンロードできます。

データベースのソースや入手方法は不明ですが、投稿の著者によると、2022 年 XNUMX 月に作成された同様の投稿からの更新であるため、共有されたのはこれが初めてではありません。

フォーラムでの SUNAT データベースの共有によって影響を受けた個人の正確な数は不明です。 しかし、著者によると、データベースには 15,441,010 行の情報が含まれており、最大で 15 万人 (推定) のペルー市民が暴露される可能性があります (問題のフォーラム投稿から指摘されているように、各行の情報は XNUMX 人の個人に関連しているように見えます)。

誰が影響を受けましたか?

影響を受ける政府機関は、「Superintendencia Nacional de Aduanas y de Administración Tributaria」（税関および税務行政の国家監督機関）であり、より一般的には「SUNAT」と略され、ペルーの国税管理機関です。 ペルー政府の税収と関税の徴収と管理を担当しています。 SUNAT は、国の経済において重要な役割を果たしており、税法および規制の遵守を確実にする責任があります。

何が暴露されたのですか？

次のリストは、フォーラムの投稿で共有されたサンプルで公開されたデータの種類の例です。

• RUC（納税者番号）
• Nombre o razón social (名前または商号)
• Estado del contribuyente (納税者のステータス)
• Condición de domicilio (納税地の条件)

私たちの研究者チームは、フォーラムを通じて共有された SUNAT データベースのサンプルのみをレビューし、倫理上の理由から完全なデータベースにはアクセスしませんでした。 サンプルで観察された情報は、RUC、名前/事業名、納税者の​​ステータス、納税地の状態など、上記のデータのみでした。 フォーラムの投稿で共有されたサンプルでは一部のフィールドが空白になっているため、完全なデータベースには他の種類の情報が存在する可能性があります。

侵害とその潜在的な影響を理解するには、細心の注意と時間が必要です。 私たちは、正確で信頼できるレポートを発行するよう努めており、強調されたデータ漏洩の影響を読者が確実に理解できるようにしています。

その点で、私たちは徹底的であること、そして私たちの調査結果が合理的に可能な限り有効で正確であることを確認することを非常に重要にしています. 私たちのチームは、ペルーの納税者ステータスの検証を提供する別のペルー政府の Web サイトを通じて、サンプルで見つかった RUC の有効性をクロスチェックすることにより、データの信頼性を検証しようとしました。 公開されたデータベースのデータは、「ダミー」データではなく、ペルーの税務居住者に属する実際のデータであることが確認されました。

ただし、この検証プロセスでは、個人の国民識別登録番号 (DNI) などの機密情報が漏洩する可能性もあり、詐欺目的で使用される可能性があります。 この情報に簡単にアクセスできるという事実は、SUNAT データベースの公開から生じる危険性を強調しています。

私たちのチームは 13 年 2023 月 XNUMX 日にペルー当局に連絡し、データがオンラインで共有されていることを警告しました。 執筆時点では、SUNAT からの回答はありません。

この情報が公開された可能性がある方法は多数あるため、この情報がどのように漏洩したかを特定する方法はわかりません。 さらに、公開中に他の誰かがデータにアクセスしたかどうかを判断することはできません。

潜在的な影響

SUNAT データベースの公開は、ペルー市民に重大な損害を与える可能性があります。 データベースに含まれるデータは、納税者番号、名前/会社名、納税者の​​ステータス、納税者の​​居住地の状態など、非常に機密性の高い情報で構成されています。

このようなデータは、露出したユーザーからより詳細な情報を取得してマイニングするために、他の政府/民間の Web サイトで一意の識別子として使用される可能性があります。 公開された情報は、さらなる不正行為を助長し、悪意のあるアクターが ID を盗んだり、ローンを組んだり、その他の形態の金融詐欺に関与したりする可能性があります。

さらに、この情報が公開されると、プライバシーが失われ、市民の個人データを保護する政府の能力に対する信頼が失われる可能性もあります。 このデータ侵害の潜在的な影響は重大であり、ペルー市民に長期的な影響を与える可能性があります。

漏れの影響を受ける可能性があると思われる場合はどうすればよいですか

データの公開によって影響を受けた可能性があると考えている個人は、自分自身を保護するためにいくつかの手順を実行できます。

1. 不審な活動がないか定期的に財務諸表を監視します。
2. 銀行や金融機関に連絡して、疑わしいアクティビティを報告し、詐欺のアラートをリクエストしてください。
3. 個人情報の盗難が疑われる場合は、適切な当局に報告してください。

これらの予防措置を講じることで、個人はデータ漏洩の潜在的な影響を最小限に抑え、個人情報の盗難やその他の形態の詐欺のリスクを軽減できます。

企業情報

安全探偵 堅牢なテスト方法を使用して、ウイルス対策ソフトウェア、パスワード マネージャー、ペアレンタル コントロール アプリ、および仮想プライベート ネットワーク (VPN) をテスト、比較、およびレビューします。

SafetyDetectives リサーチ ラボは、オンライン コミュニティがサイバー脅威から身を守るのを支援することを目的とした無料サービスです。 私たちは、ユーザーのデータを保護する方法について組織を教育しながら、オンライン コミュニティが現代のサイバー攻撃者から身を守るのを支援することを目指しています。

サイバー犯罪の構成要素、フィッシング攻撃を防止するための最善のヒント、SafetyDetectives に従ってランサムウェアを回避する方法についての詳細をご覧ください。 ブログ と 最新ニュース.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.safetydetectives.com/news/peru-sunat-leak-report/