SafetyDetectives Cybersecurity Team
Publisert på: Februar 27, 2023 
De Sikkerhetsdetektiver cybersecurity-teamet oppdaget nylig en gratis database delt på et oversiktlig nettforum, antagelig tilhørende den peruanske statlige enheten SUNAT 5. februar 2023.
Databasen består av omtrent 1.2 GB ukrypterte data, som inneholder 15,441,010 XNUMX XNUMX linjer i et .TXT-dokument, og kan lastes ned av alle som har tilgang til foruminnlegget.
Kilden til databasen eller hvordan den ble skaffet er ukjent, men dette er ikke første gang den ble delt da det er en oppdatering fra et lignende innlegg laget i desember 2022, ifølge forfatteren av innlegget.
Det nøyaktige antallet personer som er berørt av deling av SUNAT-databasen på forumet er ukjent. Imidlertid inneholder databasen ifølge forfatteren 15,441,010 15 XNUMX linjer med informasjon, som potensielt avslører opptil XNUMX millioner (estimert) peruanske borgere (hver informasjonslinje ser ut til å være knyttet til en enkelt person, som nevnt fra det aktuelle foruminnlegget).
Hvem ble berørt?
Den statlige enheten som er berørt er "Superintendencia Nacional de Aduanas y de Administración Tributaria" (National Superintendency of Customs and Tax Administration), oftere forkortet som "SUNAT", som er det nasjonale skatteadministrasjonsbyrået i Peru. Det er ansvarlig for å samle inn og administrere skatteinntekter, samt tollavgifter, for den peruanske regjeringen. SUNAT spiller en avgjørende rolle i landets økonomi og er ansvarlig for å sikre overholdelse av skattelover og forskrifter.
Hva ble utsatt?
Følgende liste er et eksempel på typene data som ble eksponert i prøven delt via foruminnlegget:
- RUC (skatteidentifikasjonsnummer)
- Nombre o razón social (navn eller firmanavn)
- Estado del contribuyente (skattebetalerstatus)
- Condición de domicilio (skattebostedsbetingelse)
Vårt team av forskere gjennomgikk bare et utvalg av SUNAT-databasen som ble delt via forumet, og fikk ikke tilgang til hele databasen av etiske årsaker. Dataene oppført ovenfor, inkludert RUC, navn/foretaksnavn, skattebetalerstatus og skattemessig bostedstilstand, var den eneste informasjonen som ble observert i utvalget. Det kan potensielt finnes andre typer informasjon i hele databasen, ettersom noen felt vises tomme i prøven som er delt i foruminnlegget.
Skjermbilde av innlegget på forumet
Skjermbilde av et statlig nettsted der du kan krysssjekke statusen til «RUC»
Skjermbilde av data hentet fra et annet peruansk statlig nettsted, via RUC lekket i eksempeldataene som ble delt på innlegget.
Å forstå et brudd og dets potensielle innvirkning krever nøye oppmerksomhet og tid. Vi streber etter å publisere nøyaktige og pålitelige rapporter, for å sikre at leserne våre forstår virkningen av dataeksponeringene som er fremhevet.
På det notatet legger vi stor vekt på å være grundige og sørge for at funnene våre er gyldige og nøyaktige så langt det er rimelig mulig. Teamet vårt forsøkte å verifisere ektheten til dataene ved å krysssjekke gyldigheten til en RUC funnet i prøven gjennom et eget peruansk regjeringsnettsted, som sørger for verifisering av skattebetalerstatus i Peru. Dataene i den eksponerte databasen ble bekreftet å være ekte data som tilhører peruanske skatteinnbyggere, og ikke "dummy" data.
Denne bekreftelsesprosessen kan imidlertid også avsløre sensitiv informasjon som en persons nasjonale identitetsregistreringsnummer (DNI), som kan brukes til uredelige formål. Det faktum at denne informasjonen er lett tilgjengelig fremhever farene som oppstår ved eksponeringen av SUNAT-databasen.
Teamet vårt kontaktet peruanske myndigheter 13. februar 2023 og varslet dem om dataene som ble delt på nettet. I skrivende stund har vi ikke mottatt noe svar fra SUNAT.
Vi vet ikke, eller har en måte å finne ut hvordan denne informasjonen ble lekket på, da det er mange måter denne informasjonen kan ha blitt eksponert på. I tillegg kan vi ikke fastslå om noen andre fikk tilgang til dataene mens de ble eksponert.
Potensiell innvirkning
Eksponeringen av SUNAT-databasen har potensial til å forårsake betydelig skade på peruanske borgere. Dataene i databasen består av svært sensitiv informasjon, inkludert skatteidentifikasjonsnummer, navn/foretaksnavn, skattebetalerstatus og skattemessig bostedsforhold.
Slike data kan potensielt brukes på andre statlige/private nettsteder som en unik identifikator, for å innhente og utvinne mer detaljert informasjon fra en eksponert bruker. Den avslørte informasjonen kan gi næring til ytterligere svindelaktiviteter, slik at ondsinnede aktører kan stjele identiteter, ta opp lån og delta i andre former for økonomisk svindel.
I tillegg kan eksponeringen av denne informasjonen også føre til tap av personvern og tap av tillit til myndighetenes evne til å beskytte innbyggernes personopplysninger. Den potensielle konsekvensen av dette databruddet er betydelig og kan ha langvarige konsekvenser for peruanske borgere.
Hva kan du gjøre hvis du tror du kan bli berørt av lekkasjen
Personer som tror de kan ha blitt påvirket av eksponeringen av dataene, kan ta flere skritt for å beskytte seg selv:
- Overvåk regnskapet deres regelmessig for mistenkelig aktivitet.
- Kontakt bankene og finansinstitusjonene deres for å rapportere mistenkelig aktivitet og be om svindelvarsler.
- Rapporter mistenkt identitetstyveri til de aktuelle myndighetene.
Ved å ta disse proaktive trinnene kan enkeltpersoner minimere den potensielle effekten av datalekkasjen og redusere risikoen for identitetstyveri eller andre former for svindel.
Om oss
Sikkerhetsdetektiver tester, sammenligner og vurderer antivirusprogramvare, passordbehandlere, apper for foreldrekontroll og virtuelle private nettverk (VPN-er) ved hjelp av en robust testmetodikk.
SafetyDetectives forskningslaboratorium er en pro bono-tjeneste som tar sikte på å hjelpe nettsamfunnet med å forsvare seg mot cybertrusler. Vi tar sikte på å hjelpe nettsamfunnet med å forsvare seg mot dagens nettangripere samtidig som vi lærer organisasjoner om hvordan de kan beskytte brukernes data.
Finn ut mer om hva som utgjør nettkriminalitet, de beste tipsene for å forhindre phishing-angrep og hvordan du unngår løsepengeprogramvare ved å følge SafetyDetectives' blog og vår siste nytt.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.safetydetectives.com/news/peru-sunat-leak-report/
- 1
- 2022
- 2023
- 7
- 9
- a
- evne
- Om oss
- ovenfor
- adgang
- aksesseres
- Ifølge
- nøyaktig
- Aktiviteter
- aktivitet
- aktører
- tillegg
- I tillegg
- administrasjon
- mot
- byrå
- mål
- angivelig
- tillate
- og
- En annen
- antivirus
- noen
- vises
- hensiktsmessig
- ca
- apps
- Angrep
- oppmerksomhet
- autentisitet
- forfatter
- Myndigheter
- myndighet
- avatar
- Bank
- være
- tro
- BEST
- brudd
- virksomhet
- kan ikke
- forsiktig
- karusellen
- Årsak
- Borgere
- fjerne
- Samle
- vanligvis
- samfunnet
- samsvar
- tilstand
- BEKREFTET
- Konsekvenser
- inneholder
- kontroll
- kunne
- Landets
- avgjørende
- toll
- cyber
- cybercrime
- Cybersecurity
- farene
- dato
- datainnbrudd
- datalekkasje
- Database
- Desember
- detaljert
- Bestem
- gJORDE
- oppdaget
- dokument
- hver enkelt
- lett
- økonomi
- utdanne
- engasjere
- sikre
- sikrer
- enhet
- anslått
- etisk
- eksempel
- utsatt
- Eksponering
- Februar
- Felt
- finansiell
- Finansinstitusjoner
- Først
- første gang
- etter
- skjemaer
- Forum
- funnet
- svindel
- uredelig
- Gratis
- fra
- Brensel
- fullt
- videre
- Regjeringen
- statlig
- flott
- hjelpe
- Fremhevet
- striper
- svært
- Hvordan
- Hvordan
- Men
- HTTPS
- Identifikasjon
- identifikator
- identiteter
- Identitet
- Påvirkning
- betydning
- in
- I andre
- Inkludert
- individuelt
- individer
- informasjon
- institusjoner
- IT
- selv
- Vet
- lab
- Lover
- Lover og forskrifter
- lekke
- linje
- linjer
- Liste
- oppført
- Lån
- tap
- laget
- Making
- Ledere
- administrerende
- mange
- metodikk
- millioner
- mer
- navn
- navn
- nasjonal
- nettverk
- bemerket
- Antall
- tall
- få
- innhentet
- på nett
- rekkefølge
- organisasjoner
- Annen
- Passord
- personlig
- personlig informasjon
- peru
- phishing
- phishing-angrep
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- mulig
- Post
- potensiell
- potensielt
- presentere
- forebygge
- privatliv
- privat
- pro
- Proaktiv
- prosess
- beskytte
- gir
- publisere
- formål
- spørsmål
- ransomware
- lesere
- ekte
- grunner
- mottatt
- nylig
- poster
- redusere
- Registrering
- regelmessig
- forskrifter
- rapporterer
- Rapporter
- anmode
- forskning
- forskere
- innbyggere
- svar
- ansvarlig
- resultere
- inntekter
- anmeldt
- Anmeldelser
- Risiko
- robust
- Rolle
- sensitive
- separat
- tjeneste
- flere
- delt
- deling
- signifikant
- lignende
- enkelt
- selskap
- Software
- noen
- kilde
- uttalelser
- status
- Steps
- streber
- slik
- mistenkelig
- Ta
- tar
- ta
- skatt
- Skattemyndighetene
- skattebetaler
- lag
- Testing
- tester
- De
- tyveri
- deres
- seg
- trusler
- Gjennom
- tid
- tips
- til
- sant
- Stol
- troverdig
- typer
- forstå
- unik
- Oppdater
- Bruker
- Verifisering
- verifisere
- av
- virtuelle
- VPN
- måter
- web
- webp
- Nettsted
- nettsteder
- Hva
- om
- hvilken
- mens
- HVEM
- verdt
- skriving
- Du
- zephyrnet
