В интернете более года провисели данные 20 млн российских налогоплательщиков

База, содержащая демографические и налоговые данные, была никак не зашифрована и не защищена. Доступ к ней мог получить любой, у кого есть браузер.

Как сообщила Comparitech, работавшая вместе с исследователем Бобом Дьяченко, незащищенный кластер Elasticsearch содержал личную информацию о гражданах России за период с 2009 по 2016 год. Располагался он в общедоступном Amazon Web Services Elasticsearch, подключение к которому не требовало пароля.

В мае 2018 года база была впервые проиндексирована поисковыми системами. Только 17 сентября 2019 года Дьяченко обнаружил ее и предупредил владельца. 20 сентября база перестала быть общедоступной.

Кластер содержал несколько баз данных. Часть из них не представляет никакого интереса, так как в них хранилась в основном случайная информация из открытых источников. Однако две хранили личные и налоговые данные о гражданах России. Большинство попавших в них, судя по всему, были из Москвы и Московской области. В первой хранились сведения о 14 млн человек с 2010 по 2016 год. Вторая, на 6 миллионов, содержала информацию промежутка с 2009 по 2015 г.

Из баз можно было узнать ФИО, адрес, статус резидента, номер паспорта, номер телефона, ИНН, имя работодателя и его номер телефона, а также сумму налога, которую гражданин выплачивает.

Кстати похожий случай произошел и с гражданами Эквадора. Слив базы с их данными обнаружили ZDNet и исследователи Ноам Ротем и Ран Локар из vpnMentor. Учитывая, что население страны менее 20 млн (16, 62 млн на 2017 год), а слили в сеть 20,8 млн, или 18 Гб, для них это настоящая катастрофа. Превышение числа жителей связано с тем, что вместе с актуальной информацией в интернете оказались дубликаты записей, более старые версии, или те, в которых говорится об умерших. Помимо взрослых там также упоминались дети. Причем не просто несовершеннолетние, а даже те, кто родился буквально этой весной.

Из баз можно было почерпнуть имя, место рождения, пол, домашний адрес, сведения о членах семьи, данные о браке, о финансовом положении и месте работы, а также о наличии автомобиля. Исследователи предполагают, что часть получена из государственных источников, а часть из частных.

Сначала была выдвинута версия, что источником послужил гражданский реестр правительства Эквадора, однако позже были обнаружены два индекса: BIESS и AEADE.

BIESS – Banco del Instituto Ecuatoriano de Seguridad Social, содержит финансовую информацию, в т.ч. состояние счета, остаток на нем, тип кредита и информацию о владельце, включая сведения о работе.

AEADE – Asociación de Empresas Automotrices del Ecuador, содержит информацию об автовладельцах и их автомобилях, включая модели и номерные знаки.

Источник: www.it-world.ru

Share with:


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *