Горячий октябрь: у Мишустина "сливают" налогоплательщиков Украине

by topbloger 7. октября 2019 09:43
ФНС вслед за "Сбербанком" отметилась беспрецедентной утечкой персональных данныхДанные 20 млн российских налогоплательщиков около года находились в открытом доступе в интернете, сообщила британская исследовательская компания Comparitech. По ее данным, база содержала ФИО, адреса, телефоны, паспортные данные, ИНН и суммы уплаченных налогов. В ФНС сомневаются в подлинности данных.

Персональные данные примерно 20 млн российских налогоплательщиков могли около года находиться в незашифрованном открытом доступе — в незащищенном кластере Elasticsearch на облачной платформе Amazon Web Services. Об этом 1 октября сообщила британская исследовательская компания Comparitech.

Британская компания Comparitech Limited основана в 2015 году, зарегистрирована в городе Мейдстоун, графство Кент. С ней сотрудничает около 30 исследователей, разработчиков и авторов, занимающихся изучением и подготовкой отчетов и публикаций по следующим темам и проблемам: защита персональных данных в интернете, кибербезопасность, вирусная активность в интернете, работа интернет-провайдеров, мониторинг работы сетей, работа интернет-сервисов, в том числе VPN и т.д. Ежемесячная аудитория сайта Comparitech.com составляет около 1 млн уникальных пользователей. Эксперты Comparitech регулярно дают комментарии и выступают на ТВ и радио, их отчеты публикуются или цитируются в таких СМИ как Forbes, The New York Times, BBC, The Guardian, Business Insider, Huffington Post, CBS News, Cnet, ZDNet и др.

В феврале Comparitech подготовила рейтинг стран мира по уровню кибербезопасности. При составлении рейтинга Comparitech учитывала семь основных критериев, среди которых процент мобильных устройств и ПК, зараженных вредоносным ПО, количество хакерских атак с целью кражи денег, подготовленность страны к хакерским атакам и т.п. В рейтинге из 60 стран Россия оказалась на 23-м месте, лидером стала Япония, а последнюю строчку занял Алжир. Россия также оказалась среди стран, законодательство которых лучше всего отвечает современным требованиям в сфере кибербезопасности.

Comparitech занимается расследованием ситуации вместе с независимым исследователем в области безопасности Бобом Дьяченко, который и обнаружил утечку. Данные были индексированы поисковыми системами в мае 2018 года. 17 сентября этого года господин Дьяченко обнаружил базу в открытом доступе и рассказал об этом ее владельцу, который находится на Украине. 20 сентября доступ к базе был закрыт.

Среди персональных данных россиян, которые могли находиться в открытом доступе более года,— ФИО человека, адрес, его статус налогового резидента, номер паспорта, номер телефона, ИНН, название/имя и телефон работодателя, сумма уплаченных налогов.

gref-data-FNS KMO-459483989086421944754745
Пример данных налогоплательщика, доступных в слитой из ФНС базе

Данные были разбиты на две базы — в первой содержались персональные и налоговые данные на 14 млн человек за период с 2010 по 2016 год, во второй — на 6 млн человек за период с 2009 по 2015 год.

Comparitech неизвестно имя владельца базы, они только знают, что он находится на Украине. Исследователи пытаются выяснить, кто мог быть вовлечен в столь масштабную утечку.

Comparitech подчеркивает, что если эти данные оказались в руках злоумышленников, они могут воспользоваться ими для мошеннических действий, например, фишинговых атак, кражи средств или получения доступа к другой персональной информации.

По мнению основателя и технического директора компании DeviceLock Ашота Оганесяна, «судя по налоговым данным и информации о работодателе не в формате ИНН, а с полным названием организации, это может быть либо компиляция из криминальных баз, похищенных из госорганов (например, ФНС и ПФР), либо же база, связанная с личным кабинетом физлица на одном из порталов государственных услуг». «Украинский след» в истории сервера, как считает господин Оганесян, может объясняться тем, что была обнаружена копия базы, когда-то найденная в другом месте и сохраненная для продажи или обмена. «Такие базы достаточно часто появляются на черном рынке, однако эта — одна из самых больших за последнее время. Криминальные элементы используют такую информацию для различных мошеннических схем, таких, например, как появившиеся в последнее время в Москве фальшивые требования об уплате налогов, волна которых странным образом почти совпала с обнаружением этой базы»,— рассказал Ашот Оганесян.

В «Ростелекоме» сообщили, что для портала «Госуслуги» «обеспечивается необходимый комплекс защиты мер, проводятся периодические тестирования на наличие уязвимостей, а все критичные события ИБ подлежат круглосуточному анализу и корреляции с применением SIEM систем».

Представитель Минкомсвязи сообщил, что «утечек данных нет и никогда не было», «информационные системы надежно защищены: сертифицированы и аттестованы в соответствии с требованиями регуляторов».

В ФНС России заявили, что часть данных, упомянутых в статье на портале Comparitech, вообще не собирается и не хранится в информационных ресурсах Налоговой службы, а формат и структура данных не соответствуют форматам хранения данных, применяемых в ведомстве. «Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в ОЭСР»,— сообщили в службе.

Евгений Хвостик
Дмитрий Шестоперов

****

Следы утечки ведут к налоговикам

Все жду эти годы со всеми этими shodan'ами, когда же что-нибудь подобное произойдет и с нашими ФНС, Госуслугами или еще какими-нибудь подобными сервисами в РФ. Потому что сервисы огромные, некоммерческие (в том смысле, что нет реально заинтересованных лиц в "порядке"), а уж в вопросах криворукости разработчиков/обслуживающего персонала прямо особых сомнений нет (можно пробежаться по тэгам).

И вот интересный случай: что за база, чья, компиляция, не компиляция, из чего. Данных слишком много для простой "компиляционной" базы (20 млн):

https://www.comparitech.com/blog/vpn-privacy/russian-tax-records-exposed-online/

Ну, и, конечно, же без Украины не обошлось — это просто забавный момент :)

Понятно, что это не источник, а место размещения. Вероятно, какой-то сайт или сервис типа пробивона, потому что:

1) The cluster contained multiple databases. Some seemed to contain mostly random and publicly sourced data.

2) Two databases, however, included tax and personally identifiable information about Russian citizens. Most of those citizens appear to be from Moscow and the surrounding area.

3) The first database contained more than 14 million personal and tax records from 2010 to 2016, and the second included over 6 million from 2009 to 2015.

https://www.kommersant.ru/doc/4110818

"Данные были разбиты на две базы — в первой содержались персональные и налоговые данные на 14 млн человек за период с 2010 по 2016 год, во второй — на 6 млн человек за период с 2009 по 2015 год"

В каких еще базах может быть информация о выплаченных налогах? (Суммах)

Попробуйте назвать места, где эта информация может быть получена или из налоговой, или сам пользователь ее предоставляет. Да еще, чтобы это билось с числом записей (20+ млн).

Мне-то что-то ничего в голову не приходит, кроме как чего-либо связанного напрямую с ФНС. В том же ПФР о налогах напрямую информации нет.

Как можно "скомпилировать" 20 млн и из чего именно в этом случае? Что может служить многократными (для компиляции) источниками данных?

Выплаченное число налогов есть только у ФНС, у банков, через которые выплата шла, у РФМ в каком-то виде (и то возможно), у работодателя/налогового агента и... у кого еще? Из всего этого списка такой объем данных и подобное сосредоточение может быть только у ФНС и сателитов соответствующих :)

Не намек, далее все в порядке стеба (кроме выводов в конце):

08.08.2019: https://www.nalog.ru/rn77/news/activities_fts/8957068/

"Более 27,5 млн граждан сейчас активно пользуются «Личным кабинетом налогоплательщика для физических лиц». Для сравнения в начале 2018 года число пользователей составляло около 24 миллионов. Через ЛК ФЛ в 2018 году было направлено 15,8 млн документов для уплаты налогов. От пользователей ЛК ФЛ в период имущественной кампании 2018 года в бюджет Российской Федерации поступило 110,7 млрд рублей.

Сервис позволяет получать актуальную информацию об объектах имущества, о начислениях и уплате налогов, оплачивать налоги, а также заполнять и направлять декларацию о доходах, отслеживать статус ее камеральной проверки и обращаться в налоговые органы без личных визитов в инспекцию."

Еще немного дровишек в стеб:

1) https://www.nalog.ru/rn77/about_fts/fts/history_fts/

2010 год: Внедрена государственная услуга, предоставляемая в электронном виде посредством Интернет-сайта ФНС России, по информированию налогоплательщиков – физических лиц о суммах задолженности по налогам: «Личный кабинет налогоплательщика»;

2) https://www.klerk.ru/soft/news/167803/

07.12.2009: На сайте ФНС появился "Личный кабинет налогоплательщика"

:))

Краткий итог (предположения; здесь без стеба):

1) Похоже, что "источник" (именно этой утечки сейчас) — это просто какой-то сервис по платному пробиву информации, который хостился на украинских серверах. Т.е. это вторичная утечка (производная от первой).

2) На практике если базы только Москвы и Московской области — то это просто наборы периодически утекщающих оффлайновых баз, которые толкают через спам. Соответственно, базы ФНС Мск и Московской области (т.е. дернутые оттуда откуда-то). Вероятно, сконвертированные из условных larix/cronos под веб-размещение. Типа такого: http://moskva09.com/base_908.html (хотя лично я не помню наличие ФНС-ных баз, тем более — свежих; тогда история все равно становится интересной :) в контексте первичного источника данных)

dmitrmax: "Написать прогу, которая нагенерит 20 лямов записей с некими ФИО, номерами паспортов и прочими циферками — не сложно. Гораздо сложнее, чтобы эти данные оказались реальными ) Хотелось бы посмотреть на них, чтобы понять если там я и/или мои родственники, чтобы оценить правдивость. Опять же почему только 20 лямов, когда у нас население 140? Ну ясно, что какая-то часть — дети. Но остальные должны быть почти все налогоплательщиками."

sporaw: "Потому что Мск и МосОбл наиболее интересны. Например, по ГИБДД и другим структурам все ровно так же. По СПб практически никаких утечек после 2004 года, по многим другим городам — тоже. А по Мск и МосОбл — постоянный канал.

В посте указаны наборы двух баз и их объемы, года."

leshyman: "Любой камеральщик или КАОшник в ФНС может по веткам смотреть Беников и сотрудников организаций. Раньше на старте системы было вроде как ограничение своей территорией (налоговой), щас вроде нет. Одно но, там достаточно хорошо протоколируются все запросы. Второй вариант — СК/бэп(длинное названое про якобы коррупцию) МВД. Имеютдоступ на уровне «города» в сервисы и околосервисы АСК и НДФЛ. Условно говоря обиженный и увольняющийся товарищ майор гипотетически может поставить скрипт на выкачку данных а затем свалить на то что его хакнули. Глупо правда полом вываливать подобные базы наружу, как ты помнишь в 98-2000 на таком рынке баз где в открытую продавали ширпотреб а по заказу уже более интересные вещи зарабатывали многие общие знакомые из прошлой жизни. И да, мы все прекрасно знаем что пробив никто не отменял, я думаю мы оба видели какой набор данных предоставляется ;-).

PS: ну и в силу стремления интегрированности госсервисов никто не отменял наличие багов и дыр, благодаря которым обычным перебором по ИНН можно было запросами вытащить нужные данные."

Источник: Сетевой дневник Sporaw, 02.10.2019

****

Мишустин: "Утечек в течение 19 лет зафиксировано не было, потому что эта информация надежно закрыта"

ФНС исключила риски утечки данных из единого федерального информационного ресурса, содержащего персональные данные населения России. Об этом во вторник сообщил руководитель ФНС Михаил Мишустин в ходе пленарного заседания Госдумы, отвечая на вопрос депутата о рисках утечки данных из указанного ресурса.

Сегодня Госдума одобрила в первом чтении правительственный законопроект о создании единого федерального информационного ресурса с персональным данным россиян. Он объединит все имеющиеся у различных ведомств данные. Оператором федеральной информационной системы предлагается сделать ФНС России.

"В соответствии с Налоговым кодексом налоговая служба уже получает много лет (в соответствии со ст. 85 НК) совокупность данных от 15 ведомств, которые так или иначе интересуют любого человека — это данные ГИБДД, Росреестра и так далее. Этих утечек в течение 19 лет зафиксировано не было, потому что эта информация надежно закрыта. У нас два центра обработки данных, которые сертифицированы по всем международным стандартам", — подчеркнул Мишустин.

Первый замглавы Минфина Татьяны Нестеренко представляя законопроект сообщила, что целью формирования и ведения ресурса является создание системы учета сведений о населении, обеспечивающей актуальность, достоверность и гармонизацию в информационных ресурсах государственных и муниципальных информационных систем.

Нестеренко также подчеркнула, что зайти в систему ресурса смогут только аккредитованные сотрудники, доступ к этой информации со стороны частных лиц исключен.

Согласно законопроекту, ресурс будет содержать базовые (фамилия, имя, отчество, дата и место рождения и смерти, пол, реквизиты записи акта гражданского состояния о рождении и смерти, СНИЛС, ИНН и иные) и дополнительные (семейное положение, родственные связи и иные) сведения о физическом лице.

[fontanka.ru, 01.10.2019, "Персональные данные 20 миллионов россиян год были в открытом доступе, пока их не закрыли британцы": В ноябре 2018 года сообщалось, что в многофункциональных центрах (МФЦ) хранится множество скан-копий паспортов и других документов, к которым может получить доступ любой желающий через компьютер общего доступа. Власти Москвы эту информацию опровергали. Тогда же стало известно о предложении Минкомсвязи штрафовать операторов за утечки и создание общедоступных баз. На этом фоне эксперты отмечали многократный рост стоимости услуг «чёрного рынка» по пробивке персональных данных.

Председатель Ассоциации участников рынков данных Иван Бегтин ранее заявлял «Фонтанке», что российские профильные государственные структуры игнорируют проблему и не реагируют на конкретные факты утечек, когда к ним обращаются специалисты.

В мае 2019 года российская компания InfoWatch сообщила, что больше трети утечек конфиденциальных данных в РФ связаны с госучреждениями — врезка К.ру]

Источник: ТАСС, 17.09.20
blog comments powered by Disqus

Добавить комментарий



Список Компроматов

Избранное