Около 20 млн записей с данными российских налогоплательщиков находились в открытом доступе в Сети с мая 2018 года. Обнаружил и сообщил об утечке информации портал Comparitech, специализирующийся на информационной безопасности, совместно с независимым исследователем Бобом Дьяченко.
Две базы, в которых находились около 20 млн записей с налоговыми и персональными данными россиян за 2009—2016 годы, были размещены в открытом доступе в облаке Amazon Web Services Elasticsearch. В них содержались полное имя человека, адрес, статус резидента, номер паспорта и телефона, ИНН, сумма уплаченных налогов, а также имя и телефон работодателя. По информации Comparitech, в основном это были данные жителей Москвы и Подмосковья.
Базы данных появились в Сети не позднее мая 2018 года. Боб Дьяченко обнаружил их 17 сентября 2019-го и предпринял попытку связаться с владельцем. На связь тот не вышел, однако 20 сентября доступ к информации был закрыт. Как уточняет Comparitech, владелец баз данных находится на территории Украины.
Откуда могла произойти утечка данных россиян, портал не сообщает. «Источник утечки налоговых данных определить сложно, иногда подобные инциденты случаются по вине подрядчиков или субподрядчиков», — комментирует технический директор Qrator Labs Артем Гавриченков. По его словам, не доверять экспертам в целом оснований нет. «Боб Дьяченко зарекомендовал себя опытным специалистом в области безопасности, он выявлял крупные утечки информации по всему миру уже неоднократно», — добавил Гавриченков.
Газета «Коммерсант» позже опубликовала комментарий Федеральной налоговой службы на эту тему. Так, в ФНС заявили, что часть данных, упомянутых в статье на портале Comparitech, вообще не собирается и не хранится в информационных ресурсах Налоговой службы, а формат и структура данных не соответствуют форматам хранения данных, применяемых в ведомстве. «Проверить подлинность якобы утекших данных и существование ресурса, указанного в статье, невозможно в связи с отсутствием на него ссылки. Информация, изложенная в статье, может являться провокацией. ФНС России уже направила официальное письмо об инциденте в ОЭСР», — сообщили в ведомстве.