0
0
Banco de dados, de aproximadamente 1,2 GB de dados não criptografados, contém 15.441.010 linhas em um documento .txt e pode ser baixado por qualquer pessoa
A equipe de cibersegurança da SafetyDetectives descobriu recentemente um banco de dados vazado gratuitamente em um fórum da dark web, no dia 5 de fevereiro, presumivelmente pertencente à Superintendencia Nacional de Aduanas y de Administración Tributaria (Sunat) do Peru. O banco de dados, de aproximadamente 1,2 GB de dados não criptografados, contém 15.441.010 linhas em um documento .txt e pode ser baixado por qualquer pessoa com acesso ao fórum.
A origem da base de dados ou como ela foi obtida é desconhecida, mas esta não é a primeira vez que é compartilhada, já que, na verdade, se trata de uma atualização de uma postagem semelhante feita em dezembro do ano passado, segundo o autor da postagem.
O número exato de pessoas afetadas pelo compartilhamento do banco de dados da Sunat no fórum é desconhecido. No entanto, de acordo com o autor da postagem, o banco de dados contém mais de 15 milhões de linhas de informação, potencialmente expondo até cidadãos peruanos — cada linha de informação parece estar relacionada a uma única pessoa, conforme observado na postagem do fórum em questão.
A Sunat é a agência nacional de administração tributária do Peru, responsável pela arrecadação e gestão das receitas fiscais do país, bem como dos direitos aduaneiros. O órgão desempenha um papel crucial na economia do país e é responsável por garantir o cumprimento das leis e regulamentos tributários.
A lista a seguir é um exemplo dos tipos de dados que foram expostos na amostra compartilhada por meio da postagem no fórum:
- RUC – número de identificação fiscal)
- Nome ou razão social
- Estado do contribuinte
- Condição de domicílio fiscal
A equipe de pesquisadores SafetyDetectives revisou apenas uma amostra do banco de dados da Sunat que foi compartilhada por meio do fórum e não acessou o banco de dados completo por motivos éticos. Os dados listados acima, incluindo RUC, nome/razão social, situação do contribuinte e condição de domicílio fiscal, foram as únicas informações observadas na amostra. Pode haver outras informações no banco de dados completo, pois alguns campos aparecem em branco na amostra compartilhada na postagem do fórum.
“Compreender uma violação e seu impacto potencial exige muita atenção e tempo. Nós nos esforçamos para publicar relatórios precisos e confiáveis, para garantir que nossos leitores entendam o impacto das exposições de dados destacadas”, disse a SafetyDetectives em comunicado. “Nesse sentido, damos grande importância em sermos minuciosos e garantir que nossas descobertas sejam válidas e precisas, tanto quanto razoavelmente possível. Nossa equipe procurou verificar a autenticidade dos dados cruzando a validade de um RUC encontrado na amostra por meio de um site separado do governo peruano, que fornece a verificação do status do contribuinte no Peru. Os dados no banco de dados exposto foram confirmados como dados reais pertencentes a residentes fiscais peruanos, e não dados fictícios”, acrescentou.
A empresa enfatizou que o processo de verificação também pode expor informações confidenciais, como o número de registro de identidade nacional (DNI) de um indivíduo, que pode ser usado para fins fraudulentos. “O fato de que essas informações podem ser acessadas facilmente destaca os perigos decorrentes da exposição do banco de dados da Sunat.”
A equipe da SafetyDetectives entrou em contato com as autoridades peruanas em 13 de fevereiro e as alertou sobre o compartilhamento de dados online. A Sunat, no entanto, não retornou com nenhuma resposta.
Segundo a empresa, a exposição do banco de dados tem potencial de causar danos significativos aos cidadãos peruanos. Os dados contidos na base de dados consistem em informações altamente sensíveis, incluindo números de identificação fiscal, nomes/razões comerciais, situação fiscal e condição de domicílio fiscal. Esses dados podem ser usados em outros sites governamentais/privados como um identificador exclusivo, a fim de obter e extrair informações mais detalhadas de um usuário exposto. As informações expostas podem alimentar outras atividades fraudulentas, permitindo que atores mal-intencionados possivelmente roubem identidades, façam empréstimos e se envolvam em outras formas de fraude financeira.
Além disso, a exposição dessas informações também pode resultar em perda de privacidade e perda de confiança na capacidade do governo de proteger os dados pessoais dos cidadãos. “O impacto potencial dessa violação de dados é significativo e pode ter consequências duradouras para os cidadãos peruanos”, finalizou a SafetyDetectives.
Acesse o relatório completo em: https://www.safetydetectives.com/news/peru-sunat-leak-report/
FONTE: CISO ADVISOR