По данным британской компании Comparitech, занимающейся вопросами кибербезопасности, персональные данные около 20 млн российских налогоплательщиков находились в открытом доступе около года. Каждая запись (plain text) содержала ФИО, адрес, телефон, паспортные данные, ИНН и сумму уплаченного человеком налога. Все это находилось в кластере Elasticsearch Amazon Web Services.
К этому кластеру можно было получить доступ без необходимости ввода аутентификационных данных. Насколько можно понять, база находилась в открытом доступе с мая 2018 года по сентябрь 2019. Кто и зачем ее выложил — в компании не знают. Единственная зацепка, которая есть у исследователей — электронная почта владельца (позже обнаружили, что он из Украины). Но все запросы, отправленные на эту почту остались без ответа.
Базу удалось обнаружить после того, как команда исследователей компании решила провести масштабное изучение сети на предмет неправильно сконфигурированных баз данных, которые находятся в открытом доступе. После обнаружения базы ее владелец обычно предупреждается — если есть данные владельца.
База данных была разделена на две части. Первая содержала данные 14 млн человек за период с 2010 по 2016 год. Вторая — 6 млн человек за период с 2009 по 2015 год. По мнению экспертов по информационной безопасности, если бы эти данные оказались в руках киберпреступников, то последние воспользовались бы информацией для совершения фишинговых атак, кражи средств или получения более подробной информации о жертве.
Что касается российских специалистов, то они считают, что база скомпилирована из разных источников. «Судя по налоговым данным и информации о работодателе не в формате ИНН, а с полным названием организации, это может быть либо компиляция из криминальных баз, похищенных из госорганов (например, ФНС и ПФР), либо же база, связанная с личным кабинетом физлица на одном из порталов государственных услуг», — сообщил технический директор компании DeviceLock Ашот Оганесян.
По его мнению, такие базы довольно часто появляются в продаже в закрытом сегменте сети. Но именно эта база — одна из наиболее крупных, обнаруженных в последнее время. Преступники используют данные из таких баз, например, для фальшивых требований об уплате налогов — сейчас это один из наиболее популярных среди злоумышленников методов привлечения средств.
Что касается представителей ФНС России, то они заявили, что часть данных, которые упоминаются экспертами Comparitech, не собирается и не хранится в информационных ресурсах Налоговой службы. Формат же и структура этих данных не соответствуют стандартам хранения данных, которые применяются в ведомстве. «Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в ОЭСР»,— сообщили в службе.
За последние несколько лет случаи мошенничества с использованием данных граждан РФ участились, особенно это актуально для банковской сферы. Банк России недавно начал реализацию собственной программы развития информационной безопасности до 2021 года. В планах есть многое, от обучения студентов до массового внедрения криптографии и регулирования роботизации.