포럼에 노출된 페루 세무 당국에 속한 것으로 추정되는 15만 개의 레코드

SafetyDetectives 사이버 보안 팀
에 게시 : 2023년 ２월 27일

XNUMXD덴탈의 안전 탐정 사이버 보안 팀은 최근 5년 2023월 XNUMX일에 페루 정부 기관인 SUNAT에 속한 것으로 추정되는 무료 웹 포럼에서 무료로 공유된 데이터베이스를 발견했습니다.

데이터베이스는 약 1.2GB의 암호화되지 않은 데이터로 구성되어 있으며 .TXT 문서에 15,441,010줄이 포함되어 있으며 포럼 게시물에 액세스할 수 있는 사람은 누구나 다운로드할 수 있습니다.

데이터베이스의 출처나 입수 방법은 알려지지 않았지만, 게시물 작성자에 따르면 2022년 XNUMX월에 작성된 유사한 게시물의 업데이트인 만큼 공유된 것은 이번이 처음이 아니다.

포럼에서 SUNAT 데이터베이스 공유로 인해 영향을 받는 개인의 정확한 수는 알려져 있지 않습니다. 그러나 저자에 따르면 데이터베이스에는 15,441,010줄의 정보가 포함되어 있으며 잠재적으로 최대 15만 명의 페루 시민(추정)이 노출될 수 있습니다(해당 포럼 게시물에서 언급한 대로 각 정보 줄은 한 개인과 관련된 것으로 보입니다).

누가 영향을 받았습니까?

영향을 받는 정부 기관은 "Superintendencia Nacional de Aduanas y de Administración Tributaria"(National Superintendent of Customs and Tax Administration)이며 일반적으로 "SUNAT"으로 약칭되며 페루의 국세청입니다. 페루 정부의 세수 및 관세 징수 및 관리를 담당합니다. SUNAT는 국가 경제에서 중요한 역할을 하며 세법 및 규정을 준수할 책임이 있습니다.

노출된 것은?

다음 목록은 포럼 게시물을 통해 공유된 샘플에 노출된 데이터 유형의 예입니다.

• RUC(세금 식별 번호)
• Nombre o razón social (이름 또는 회사 이름)
• Estado del contribuyente(납세자 신분)
• Condición de domicilio(세금 거주 조건)

우리 연구팀은 포럼을 통해 공유된 SUNAT 데이터베이스의 샘플만 검토했으며 윤리적인 이유로 전체 데이터베이스에 액세스하지 않았습니다. RUC, 이름/사업체 이름, 납세자 상태 및 세금 주소 조건을 포함하여 위에 나열된 데이터는 샘플에서 관찰된 유일한 정보였습니다. 포럼 게시물에서 공유된 샘플에서 일부 필드가 공백으로 나타나므로 전체 데이터베이스에 다른 유형의 정보가 있을 수 있습니다.

포럼 게시물의 스크린샷

"RUC" 상태를 교차 확인할 수 있는 정부 웹사이트의 스크린샷

게시물에 공유된 샘플 데이터에서 유출된 RUC를 통해 다른 페루 정부 웹사이트에서 추출한 데이터의 스크린샷.

침해와 그 잠재적 영향을 이해하려면 세심한 주의와 시간이 필요합니다. 우리는 독자들이 강조 표시된 데이터 노출의 영향을 이해할 수 있도록 정확하고 신뢰할 수 있는 보고서를 게시하기 위해 노력합니다.

그런 점에서 우리는 철저하고 합리적으로 가능한 한 우리의 발견이 타당하고 정확하다는 것을 확인하는 것을 매우 중요하게 생각합니다. 우리 팀은 페루에서 납세자 상태를 확인할 수 있는 별도의 페루 정부 웹사이트를 통해 샘플에서 발견된 RUC의 유효성을 교차 확인하여 데이터의 진위를 확인하고자 했습니다. 노출된 데이터베이스의 데이터는 '가짜' 데이터가 아닌 페루 세법상 거주자의 실제 데이터인 것으로 확인됐다.

그러나 이 확인 프로세스는 사기 목적으로 사용될 수 있는 개인의 주민등록번호(DNI)와 같은 민감한 정보를 노출할 수도 있습니다. 이 정보에 쉽게 액세스할 수 있다는 사실은 SUNAT 데이터베이스 노출로 인해 발생하는 위험을 강조합니다.

우리 팀은 13년 2023월 XNUMX일에 페루 당국에 연락하여 데이터가 온라인에서 공유되고 있음을 알렸습니다. 작성 시점에 SUNAT에서 응답을 받지 못했습니다.

이 정보가 노출될 수 있는 방법이 많기 때문에 이 정보가 어떻게 유출되었는지 알 수 없거나 확인할 방법이 없습니다. 또한 데이터가 노출된 동안 다른 사람이 데이터에 액세스했는지 여부를 확인할 수 없습니다.

잠재적 인 영향

SUNAT 데이터베이스의 노출은 페루 시민에게 심각한 피해를 입힐 가능성이 있습니다. 데이터베이스에 포함된 데이터는 세금 식별 번호, 이름/업체 이름, 납세자 상태 및 세금 주소 조건을 포함하여 매우 민감한 정보로 구성됩니다.

이러한 데이터는 노출된 사용자로부터 더 자세한 정보를 얻고 마이닝하기 위해 다른 정부/사설 웹사이트에서 고유 식별자로 잠재적으로 사용될 수 있습니다. 노출된 정보는 사기 행위를 더욱 부채질하여 악의적인 행위자가 신원을 도용하고 대출을 받고 다른 형태의 금융 사기에 가담할 수 있게 합니다.

또한 이러한 정보의 노출은 사생활 침해와 시민의 개인 데이터를 보호하는 정부의 능력에 대한 신뢰 상실로 이어질 수 있습니다. 이 데이터 유출의 잠재적 영향은 상당하며 페루 시민에게 장기적인 영향을 미칠 수 있습니다.

누출로 인해 영향을 받을 수 있다고 생각되면 어떻게 할 수 있습니까?

데이터 노출로 인해 영향을 받았다고 생각하는 개인은 자신을 보호하기 위해 몇 가지 조치를 취할 수 있습니다.

1. 의심스러운 활동이 있는지 재무 제표를 정기적으로 모니터링하십시오.
2. 은행 및 금융 기관에 연락하여 의심스러운 활동을 보고하고 사기 경고를 요청하십시오.
3. 신원 도용이 의심되는 경우 해당 기관에 신고하십시오.

이러한 사전 조치를 취함으로써 개인은 데이터 유출의 잠재적 영향을 최소화하고 신원 도용 또는 기타 형태의 사기 위험을 줄일 수 있습니다.

회사소개

안전 탐정 강력한 테스트 방법론을 사용하여 바이러스 백신 소프트웨어, 암호 관리자, 자녀 보호 앱 및 VPN(가상 사설망)을 테스트, 비교 및 ​​검토합니다.

SafetyDetectives 연구실은 온라인 커뮤니티가 사이버 위협으로부터 자신을 방어할 수 있도록 지원하는 무료 서비스입니다. 우리는 사용자 데이터를 보호하는 방법에 대해 조직을 교육하면서 온라인 커뮤니티가 최신 사이버 공격자로부터 스스로를 방어하도록 돕는 것을 목표로 합니다.

SafetyDetectives'를 따라 사이버 범죄를 구성하는 요소, 피싱 공격을 방지하는 최고의 팁, 랜섬웨어를 방지하는 방법에 대해 자세히 알아보십시오. 블로그 & 최신 뉴스.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.safetydetectives.com/news/peru-sunat-leak-report/