Незащищенная база с персональными данными 20 миллионов россиян, спарсенная в период 2009-2016, целый год лежала в открытом доступе на незащищенном сервере.
Списки граждан с указанием ФИО, адреса, телефона, паспортных данных, ИНН, имени и контактов работодателя, а также сумм уплаченных налогов были обнаружены британской исследовательской компанией Comparitech. Они находились в незащищенном кластере Elasticsearch.
Elasticsearch — это масштабируемый полнотекстовый поисковый и аналитический поисковый движок с открытым исходным кодом, позволяющий хранить большие объемы данных, проводить среди них быстрый поиск и аналитику. Он является чрезвычайно мощным инструментом для поиска и анализа данных, благодаря его способности к масштабированию. Кластер Elasticsearch — это группа из нескольких связанных друг с другом экземпляров Elasticsearch. Основное преимущество кластера Elasticsearch заключается в распределении задач, поиске и индексации по всем узлам кластера, а так же обеспечении высокой доступности за счет отсутствия единой точки отказа в специальных отказоустойчивых конфигурациях.
«Мы не можем определить, получил ли кто-либо доступ к данным, пока они были доступны. Пользователь, опубликовавший данные, находится в Украине, но он не ответил на наши письма», – сообщили в Comparitech.
Британские исследователи указывают, что большинство налогоплательщиков, чьи данные были доступны в Интернете, относятся к Москве и соседним регионам. Одна из баз содержала записи на 14 миллионов человек, датированные периодом с 2010-го по 2016 год. Ещё одна база, на 6 миллионов налогоплательщиков, включала в себя данные за 2009–2015 годы. То есть, утечка была из налоговой.
Пострадавшие могут подвергнуться риску кражи личных данных и должны внимательно следить за своими счетами. Потенциальные жертвы могут столкнуться с персонализированным фишингом. Мошенники могут выдавать себя за сотрудников налоговой, чтобы запрашивать дополнительную информацию для совершения неправомерных действий и.т.д.
Комментариев от Федеральной налоговой службы РФ о том, как персональные данные налогоплательщиков могли попасть в открытый доступ, пока не поступало.
В ноябре 2018 года сообщалось, что в многофункциональных центрах (МФЦ) хранится множество скан-копий паспортов и других документов, к которым может получить доступ любой желающий через компьютер общего доступа. Одновременно с этим эксперты отмечали многократный рост стоимости услуг «чёрного рынка» по пробивке персональных данных.
В мае 2019 года российская компания InfoWatch сообщила, что больше трети утечек конфиденциальных данных в РФ связаны с госучреждениями.
Ранее в сентябре 2019 года стало известно, что из-за уязвимости в сервере оператора фискальных данных (ОФД) «Дримкас» в открытом доступе оказались 14 млн записей о юридических и физических лицах, а также еще 76 млн записей с различной информацией, хотя в «Дримкас» и отказались подтверждать факт данной утечки. DeviceLock сообщают, что полные реквизиты фискальных чеков с указанием порядкового номера, даты и времени, ФИО продавца, количества товара, его названия и цены. Оказавшиеся в открытом доступе данные с сервера передавались в рамках коммерческой услуги «Дримкас кабинет», которая не подлежит регулированию и защите в рамках законодательства о контрольно-кассовой технике.
Читайте также на АКБ:
Во всем виноват Цукерберг: NBC с документами показал, как Facebook плевал на приватность во славу $
