Zespół ds. Cyberbezpieczeństwa SafetyDetectives
Opublikowany: 27 lutego 2023 r. 
Połączenia Detektywi Bezpieczeństwa zespół ds. cyberbezpieczeństwa niedawno odkrył bazę danych udostępnioną bezpłatnie na przejrzystym forum internetowym, prawdopodobnie należącą do peruwiańskiej jednostki rządowej SUNAT 5 lutego 2023 r.
Baza danych zawiera około 1.2 GB niezaszyfrowanych danych, zawierających 15,441,010 XNUMX XNUMX wierszy w dokumencie .TXT i może zostać pobrana przez każdego, kto ma dostęp do postów na forum.
Źródło bazy danych ani sposób jej pozyskania jest nieznane, ale nie jest to pierwszy raz, kiedy została ona udostępniona, ponieważ jest to aktualizacja z podobnego postu opublikowanego w grudniu 2022 r., według autora postu.
Dokładna liczba osób, których dotyczy udostępnianie bazy danych SUNAT na forum, jest nieznana. Jednak według autora baza danych zawiera 15,441,010 15 XNUMX wierszy informacji, potencjalnie narażających do XNUMX milionów (szacunkowo) obywateli Peru (każdy wiersz informacji wydaje się odnosić do jednej osoby, jak zauważono w danym poście na forum).
Kto został dotknięty?
Podmiotem rządowym, którego to dotyczy, jest „Superintendencia Nacional de Aduanas y de Administración Tributaria” (Krajowy Urząd Administracji Celnej i Podatkowej), częściej określany skrótem „SUNAT”, który jest krajową agencją administracji podatkowej Peru. Odpowiada za pobieranie i zarządzanie dochodami podatkowymi oraz opłatami celnymi rządu peruwiańskiego. SUNAT odgrywa kluczową rolę w gospodarce kraju i jest odpowiedzialny za zapewnienie zgodności z przepisami i regulacjami podatkowymi.
Co zostało ujawnione?
Poniższa lista to przykład typów danych, które zostały ujawnione w próbce udostępnionej za pośrednictwem posta na forum:
- RUC (numer identyfikacji podatkowej)
- Nombre o razón social (imię i nazwisko lub nazwa firmy)
- Estado del contribuyente (status podatnika)
- Condición de domicilio (warunek siedziby podatkowej)
Nasz zespół badaczy przejrzał tylko próbkę bazy danych SUNAT, która została udostępniona na forum, i nie uzyskał dostępu do pełnej bazy danych z powodów etycznych. Dane wymienione powyżej, w tym RUC, imię i nazwisko/nazwa firmy, status podatnika i warunek rezydencji podatkowej, były jedynymi informacjami obserwowanymi w próbie. Potencjalnie w pełnej bazie danych mogą znajdować się inne rodzaje informacji, ponieważ niektóre pola są puste w próbce udostępnionej w poście na forum.
Zrzut ekranu postu na forum
Zrzut ekranu rządowej strony internetowej, na której można sprawdzić status „RUC”
Zrzut ekranu danych pobranych z innej peruwiańskiej strony rządowej za pośrednictwem RUC, który wyciekł w przykładowych danych udostępnionych w poście.
Zrozumienie naruszenia i jego potencjalnego wpływu wymaga szczególnej uwagi i czasu. Staramy się publikować dokładne i wiarygodne raporty, aby upewnić się, że nasi czytelnicy rozumieją wpływ ujawnionych danych.
W związku z tym przywiązujemy dużą wagę do dokładności i upewnienia się, że nasze ustalenia są ważne i dokładne w miarę możliwości. Nasz zespół starał się zweryfikować autentyczność danych, sprawdzając ważność RUC znalezionego w próbce za pośrednictwem oddzielnej strony internetowej rządu peruwiańskiego, która umożliwia weryfikację statusu podatnika w Peru. Potwierdzono, że dane w ujawnionej bazie danych są prawdziwymi danymi należącymi do peruwiańskich rezydentów podatkowych, a nie danymi „fikcyjnymi”.
Ten proces weryfikacji może jednak również ujawnić poufne informacje, takie jak krajowy numer rejestracyjny tożsamości (DNI) danej osoby, które mogą zostać wykorzystane do oszukańczych celów. Łatwość dostępu do tych informacji podkreśla niebezpieczeństwa wynikające z ujawnienia bazy danych SUNAT.
Nasz zespół skontaktował się z władzami peruwiańskimi 13 lutego 2023 r. i powiadomił je o udostępnianiu danych online. W chwili pisania tego tekstu nie otrzymaliśmy żadnej odpowiedzi od firmy SUNAT.
Nie wiemy ani nie mamy możliwości ustalenia, w jaki sposób te informacje wyciekły, ponieważ istnieje wiele sposobów, w jakie mogły zostać ujawnione. Ponadto nie możemy ustalić, czy ktoś inny uzyskał dostęp do danych w momencie ich ujawnienia.
Potencjalny wpływ
Ujawnienie bazy danych SUNAT może spowodować znaczne szkody dla obywateli Peru. Dane zawarte w bazie składają się z informacji o wysokim stopniu poufności, w tym numerów identyfikacji podatkowej, nazwisk/nazw firm, statusu podatnika oraz warunków rezydencji podatkowej.
Takie dane mogą potencjalnie zostać wykorzystane na innych rządowych/prywatnych stronach internetowych jako unikalny identyfikator w celu uzyskania i wydobycia bardziej szczegółowych informacji od narażonego użytkownika. Ujawnione informacje mogą napędzać dalsze oszukańcze działania, umożliwiając złośliwym podmiotom ewentualną kradzież tożsamości, zaciąganie pożyczek i angażowanie się w inne formy oszustw finansowych.
Ponadto ujawnienie tych informacji może również spowodować utratę prywatności i utratę zaufania do zdolności rządu do ochrony danych osobowych obywateli. Potencjalny wpływ tego naruszenia danych jest znaczący i może mieć długotrwałe konsekwencje dla obywateli Peru.
Co możesz zrobić, jeśli uważasz, że wyciek może mieć na Ciebie wpływ
Osoby, które uważają, że mogły zostać dotknięte ujawnieniem danych, mogą podjąć kilka kroków, aby się zabezpieczyć:
- Regularnie monitoruj ich sprawozdania finansowe pod kątem podejrzanych działań.
- Skontaktuj się z ich bankiem i instytucją finansową, aby zgłosić wszelkie podejrzane działania i zażądać ostrzeżeń o oszustwach.
- Zgłaszaj wszelkie podejrzenia kradzieży tożsamości odpowiednim władzom.
Podejmując te proaktywne kroki, osoby fizyczne mogą zminimalizować potencjalny wpływ wycieku danych i zmniejszyć ryzyko kradzieży tożsamości lub innych form oszustwa.
O nas
Detektywi Bezpieczeństwa testuje, porównuje i recenzuje oprogramowanie antywirusowe, menedżery haseł, aplikacje do kontroli rodzicielskiej i wirtualne sieci prywatne (VPN) przy użyciu solidnej metodologii testowania.
Laboratorium badawcze SafetyDetectives to usługa pro bono, której celem jest pomoc społeczności internetowej w obronie przed cyberzagrożeniami. Naszym celem jest pomaganie społeczności internetowej w obronie przed współczesnymi cyberatakami, a jednocześnie edukowanie organizacji w zakresie ochrony danych użytkowników.
Dowiedz się więcej o tym, co składa się na cyberprzestępczość, najlepsze wskazówki, jak zapobiegać atakom typu phishing i jak unikać oprogramowania ransomware, postępując zgodnie z artykułem SafetyDetectives blog i nasz Najnowsze wiadomości.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.safetydetectives.com/news/peru-sunat-leak-report/
- 1
- 2022
- 2023
- 7
- 9
- a
- zdolność
- O nas
- powyżej
- dostęp
- dostęp
- Stosownie
- dokładny
- zajęcia
- działalność
- aktorzy
- dodatek
- do tego
- administracja
- przed
- agencja
- Cele
- rzekomo
- Pozwalać
- i
- Inne
- antywirusowe
- ktoś
- zjawić się
- właściwy
- w przybliżeniu
- mobilne i webowe
- Ataki
- Uwaga
- autentyczność
- autor
- Władze
- władza
- awatara
- Bank
- jest
- uwierzyć
- BEST
- naruszenie
- biznes
- nie może
- ostrożny
- karuzela
- Spowodować
- Obywatele
- jasny
- Zbieranie
- powszechnie
- społeczność
- spełnienie
- warunek
- ZATWARDZIAŁY
- Konsekwencje
- zawiera
- kontrola
- mógłby
- kraju
- istotny
- celnej
- cyber
- cyberprzestępczość
- Bezpieczeństwo cybernetyczne
- Niebezpieczeństwa
- dane
- naruszenie danych
- wyciek danych
- Baza danych
- grudzień
- szczegółowe
- Ustalać
- ZROBIŁ
- odkryty
- dokument
- każdy
- z łatwością
- gospodarka
- edukowanie
- zobowiązany
- zapewnić
- zapewnienie
- jednostka
- szacunkowa
- etyczny
- przykład
- narażony
- Ekspozycja
- luty
- Łąka
- budżetowy
- Instytucje finansowe
- i terminów, a
- pierwszy raz
- następujący
- formularze
- Forum
- znaleziono
- oszustwo
- nieuczciwy
- Darmowy
- od
- Paliwo
- pełny
- dalej
- Rząd
- rządowy
- wspaniały
- pomoc
- Podświetlony
- pasemka
- wysoko
- W jaki sposób
- How To
- Jednak
- HTTPS
- Identyfikacja
- identyfikator
- tożsamości
- tożsamość
- Rezultat
- znaczenie
- in
- W innych
- Włącznie z
- indywidualny
- osób
- Informacja
- instytucje
- IT
- samo
- Wiedzieć
- laboratorium
- Laws
- Prawa i regulacje
- przeciec
- Linia
- linie
- Lista
- Katalogowany
- Kredyty
- od
- zrobiony
- Dokonywanie
- Zarządzający
- zarządzający
- wiele
- Metodologia
- milion
- jeszcze
- Nazwa
- Nazwy
- narodowy
- sieci
- zauważyć
- numer
- z naszej
- uzyskać
- uzyskane
- Online
- zamówienie
- organizacji
- Inne
- Hasło
- osobisty
- dane personalne
- Peru
- phishing
- ataki phishingowe
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- możliwy
- Post
- potencjał
- potencjalnie
- teraźniejszość
- zapobiec
- prywatność
- prywatny
- Pro
- Proaktywne
- wygląda tak
- chronić
- zapewnia
- publikować
- cele
- pytanie
- ransomware
- czytelnicy
- real
- Przyczyny
- Odebrane
- niedawno
- dokumentacja
- zmniejszyć
- Rejestracja
- regularnie
- regulamin
- raport
- Raporty
- zażądać
- Badania naukowe
- Badacze
- Mieszkańcy
- odpowiedź
- odpowiedzialny
- dalsze
- przychody
- recenzja
- Recenzje
- Ryzyko
- krzepki
- Rola
- wrażliwy
- oddzielny
- usługa
- kilka
- shared
- dzielenie
- znaczący
- podobny
- pojedynczy
- Obserwuj Nas
- Tworzenie
- kilka
- Źródło
- oświadczenia
- Rynek
- Cel
- starać się
- taki
- podejrzliwy
- Brać
- trwa
- biorąc
- podatek
- organ podatkowy
- Podatnik
- zespół
- Testowanie
- Testy
- Połączenia
- kradzież
- ich
- sami
- zagrożenia
- Przez
- czas
- wskazówki
- do
- prawdziwy
- Zaufaj
- godny zaufania
- typy
- zrozumieć
- wyjątkowy
- Aktualizacja
- Użytkownik
- Weryfikacja
- zweryfikować
- przez
- Wirtualny
- VPN
- sposoby
- sieć
- webp
- Strona internetowa
- strony internetowe
- Co
- czy
- który
- Podczas
- KIM
- wartość
- pisanie
- You
- zefirnet
