ИБ-эксперты обнаружили в открытом доступе налоговую информацию 20 млн россиян

Специалисты британской компании Comparitech, совместно с известным ИБ-экспертом Бобом Дьяченко, обнаружили в открытом доступе никак не защищенный кластер Elasticsearch Amazon Web Services, содержащий личную информацию о 20 млн россиян.

Исследователи рассказывают, что в кластере было несколько баз данных, и в двух из них содержалась личные данные людей и налоговая информация. Так, первая база содержала более 14 000 000 записей за период с 2010 по 2016 год, тогда как вторая БД содержала 6 000 000 записей за период с 2009 по 2015 год. В базах можно было найти имена, адреса, номера паспортов, данные о месте проживания, номера телефонов, номера ИНН, названия компаний-работодателей, а также информацию об уплаченных налогах.

Сообщается, что в основном информация в базах касалась жителей Москвы и Подмосковья. Хуже того, незащищенный кластер «светил» этими данными боле года: впервые БД была проиндексирована поисковиками еще в мае 2018 года. Боб Дьяченко обнаружил незащищенный сервер 17 сентября 2019 года, сумел выйти на контакт с его владельцем, и в итоге проблема была исправлена через три дня.

На какие-либо вопросы владелец кластера отвечать отказался, и исследователи пишут, что не знают о нем практически ничего, кроме того факта, что он находится на территории Украины. Также эксперты не берутся судить, успел ли кто-либо получить неавторизованный доступ к вышеперечисленным данным, пока они были публично доступны.

«Коммерсант» приводит комментарий технического директора компании DeviceLock Ашота Оганесяна, который считает, что «судя по налоговым данным и информации о работодателе не в формате ИНН, а с полным названием организации, это может быть либо компиляция из криминальных баз, похищенных из госорганов (например, ФНС и ПФР), либо же база, связанная с личным кабинетом физлица на одном из порталов государственных услуг».

В «Ростелекоме» журналистам сообщили, что для портала «Госуслуги» «обеспечивается необходимый комплекс защиты мер, проводятся периодические тестирования на наличие уязвимостей, а все критичные события ИБ подлежат круглосуточному анализу и корреляции с применением SIEM систем».

Представитель Минкомсвязи заявили, что «утечек данных нет и никогда не было», а «информационные системы надежно защищены: сертифицированы и аттестованы в соответствии с требованиями регуляторов».

В свою очередь в ФНС России заявили, что часть данных, упомянутых в статье Comparitech, вообще не собирается и не хранится в информационных ресурсах Налоговой службы, а формат и структура данных не соответствуют форматам хранения данных, применяемых в ведомстве.

«Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в ОЭСР»,— сообщили в ФНС.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (10)

  • ну конечно, скажут они, что у них слили данные на 20 млн россиян. Что по телеку, что в инете - у нас все замечательно)

  • А собственно, если утечек ни у кого не было, почему бы не выложить базу на всеобщее обозрение, с тем, чтобы люди сами могли убедиться, что их в ней нет, либо данные по ним не соответствуют действительности.
    Тогда можно было бы снять обвинения со всех институтов гос.власти, либо, опять же активно искать, тех кто соврал. А пострадавшим срочно менять документы, данные которых были обнародованы без их ведома и согласия.

  • владелец базы из Украины. А сервера - Amazon

  • Интересно то, что где именно не указано.
    На территории Украины, это в трех местах, а именно, ЮРИДИЧЕСКИ украинский Крым, ОРДЛО и остальная часть.
    Скорее речь идет о последних вариантах, если самый последний то фейк ибо не будет одно государство держать свои базы у другого, точнее не должно.
    Предыдущий, все возможно, если некоторые считают ОРДЛО частью России, если, все же, в Крыму то и так понятно...

    • Это может быть вполне база, которую используют либо телефонные мошенники, либо может кто-то из наших (украинских) служб используют данные так же добытой левым способом инфы. Тот же миротворец данные берет не с воздуха например.

    • не удивлюсь, если это сервер с данными был, которые используют телефонные мошенники украины, у меня телефонный номер уже лет 12 как не менялся и на авито и на юле висит, но мне не звонят, не были какие-то попытки, но после общения, видимо решили внести меня в свой ЧС =). А вот на номер жены постоянно названивают русскоговорящие операторы, с явно выраженным украинским акцентом, с предложениями "заработать"(читать отдать деньги дяде).

  • Не новость, а пир_духа какая-то. Просто-таки шедевр. Возможно ли такое хоть как-то спокойно прокомментировать?

    По численности, это как раз почти всё население получается, уж работающее так точно. Значит, можно считать, база полная - это хорошо.

    На какие-либо вопросы владелец кластера отвечать отказался

    Зато послал куда подальше, навероне. И был совершенно прав. Но не будем о грустном.
    Хотелось бы сюда имя героя из минкомсвязи о том, что утечек у него нет, потому что «нѣтъ», потому что никогда не было и, следовательно, впредь тоже не дождётесь.
    А налоговая, которая, как оказывается, в таком формате ничего не собирает и не хранит - это на кого рассчитано вообще? Формат у них, видите ли, не такой. А проверять подлинность они не собираются, потому что не хотят, потому что не могут, потому что ссылку им не дали. Это «дурочку» они так включают что ли?
    А что там насчёт обязательного содержания персональных данных строго на родине-отечестве? Тут никаких «законов» случайно не нарушено?

    До полного днища, в статью не хватает лишь венчающей вишенки на торт в виде финишного абзаца на добивание сознания, в котором говорилось бы, что "роскомпозор" базу уже забанил, и таким образом, героически решил проблему окончательно.

    Важные государственные индюки на содержании налогоплательщиков оказались глупыми страусами, на вопросы об утечке попрятавшими голову в землю.

    • Такой развёрнутый комментарий!!! Читать было интереснее, чем статью. СПС порадовал полуночника)))