База с 20+ млн записей налогоплательщиков РФ (2009-2016) была долгое время доступна публично
Все жду эти годы со всеми этими shodan'ами, когда же что-нибудь подобное произойдет и с нашими ФНС, Госуслугами или еще какими-нибудь подобными сервисами в РФ. Потому что сервисы огромные, некоммерческие (в том смысле, что нет реально заинтересованных лиц в "порядке"), а уж в вопросах криворукости разработчиков/обслуживающего персонала прямо особых сомнений нет (можно пробежаться по тэгам).
И вот интересный случай: что за база, чья, компиляция, не компиляция, из чего. Данных слишком много для простой "компиляционной" базы (20 млн):
https://www.comparitech.com/blog/vpn-privacy/russian-tax-records-exposed-online/
Ну, и, конечно, же без Украины не обошлось - это просто забавный момент :)
Понятно, что это не источник, а место размещения. Вероятно, какой-то сайт или сервис типа пробивона, потому что:
1) The cluster contained multiple databases. Some seemed to contain mostly random and publicly sourced data.
2) Two databases, however, included tax and personally identifiable information about Russian citizens. Most of those citizens appear to be from Moscow and the surrounding area.
3) The first database contained more than 14 million personal and tax records from 2010 to 2016, and the second included over 6 million from 2009 to 2015.
https://www.kommersant.ru/doc/4110818
"Данные были разбиты на две базы - в первой содержались персональные и налоговые данные на 14 млн человек за период с 2010 по 2016 год, во второй - на 6 млн человек за период с 2009 по 2015 год"
В каких еще базах может быть информация о выплаченных налогах? (Суммах)
Попробуйте назвать места, где эта информация может быть получена или из налоговой, или сам пользователь ее предоставляет. Да еще, чтобы это билось с числом записей (20+ млн).
Мне-то что-то ничего в голову не приходит, кроме как чего-либо связанного напрямую с ФНС. В том же ПФР о налогах напрямую информации нет.
Как можно "скомпилировать" 20 млн и из чего именно в этом случае? Что может служить многократными (для компиляции) источниками данных?
Выплаченное число налогов есть только у ФНС, у банков, через которые выплата шла, у РФМ в каком-то виде (и то возможно), у работодателя/налогового агента и... у кого еще? Из всего этого списка такой объем данных и подобное сосредоточение может быть только у ФНС и сателитов соответствующих :)
Не намек, далее все в порядке стеба (кроме выводов в конце):
08.08.2019: https://www.nalog.ru/rn77/news/activities_fts/8957068/
"Более 27,5 млн граждан сейчас активно пользуются «Личным кабинетом налогоплательщика для физических лиц». Для сравнения в начале 2018 года число пользователей составляло около 24 миллионов. Через ЛК ФЛ в 2018 году было направлено 15,8 млн документов для уплаты налогов. От пользователей ЛК ФЛ в период имущественной кампании 2018 года в бюджет Российской Федерации поступило 110,7 млрд рублей.
Сервис позволяет получать актуальную информацию об объектах имущества, о начислениях и уплате налогов, оплачивать налоги, а также заполнять и направлять декларацию о доходах, отслеживать статус ее камеральной проверки и обращаться в налоговые органы без личных визитов в инспекцию."
Еще немного дровишек в стеб:
1) https://www.nalog.ru/rn77/about_fts/fts/history_fts/
2010 год: Внедрена государственная услуга, предоставляемая в электронном виде посредством Интернет-сайта ФНС России, по информированию налогоплательщиков - физических лиц о суммах задолженности по налогам: «Личный кабинет налогоплательщика»;
2) https://www.klerk.ru/soft/news/167803/
07.12.2009: На сайте ФНС появился "Личный кабинет налогоплательщика"
:))
Краткий итог (предположения; здесь без стеба):
1) Похоже, что "источник" (именно этой утечки сейчас) - это просто какой-то сервис по платному пробиву информации, который хостился на украинских серверах. Т.е. это вторичная утечка (производная от первой).
2) На практике если базы только Москвы и Московской области - то это просто наборы периодически утекщающих оффлайновых баз, которые толкают через спам. Соответственно, базы ФНС Мск и Московской области (т.е. дернутые оттуда откуда-то). Вероятно, сконвертированные из условных larix/cronos под веб-размещение. Типа такого: http://moskva09.com/base_908.html (хотя лично я не помню наличие ФНС-ных баз, тем более - свежих; тогда история все равно становится интересной :) в контексте первичного источника данных)
И вот интересный случай: что за база, чья, компиляция, не компиляция, из чего. Данных слишком много для простой "компиляционной" базы (20 млн):
https://www.comparitech.com/blog/vpn-privacy/russian-tax-records-exposed-online/
Ну, и, конечно, же без Украины не обошлось - это просто забавный момент :)
Понятно, что это не источник, а место размещения. Вероятно, какой-то сайт или сервис типа пробивона, потому что:
1) The cluster contained multiple databases. Some seemed to contain mostly random and publicly sourced data.
2) Two databases, however, included tax and personally identifiable information about Russian citizens. Most of those citizens appear to be from Moscow and the surrounding area.
3) The first database contained more than 14 million personal and tax records from 2010 to 2016, and the second included over 6 million from 2009 to 2015.
https://www.kommersant.ru/doc/4110818
"Данные были разбиты на две базы - в первой содержались персональные и налоговые данные на 14 млн человек за период с 2010 по 2016 год, во второй - на 6 млн человек за период с 2009 по 2015 год"
В каких еще базах может быть информация о выплаченных налогах? (Суммах)
Попробуйте назвать места, где эта информация может быть получена или из налоговой, или сам пользователь ее предоставляет. Да еще, чтобы это билось с числом записей (20+ млн).
Мне-то что-то ничего в голову не приходит, кроме как чего-либо связанного напрямую с ФНС. В том же ПФР о налогах напрямую информации нет.
Как можно "скомпилировать" 20 млн и из чего именно в этом случае? Что может служить многократными (для компиляции) источниками данных?
Выплаченное число налогов есть только у ФНС, у банков, через которые выплата шла, у РФМ в каком-то виде (и то возможно), у работодателя/налогового агента и... у кого еще? Из всего этого списка такой объем данных и подобное сосредоточение может быть только у ФНС и сателитов соответствующих :)
Не намек, далее все в порядке стеба (кроме выводов в конце):
08.08.2019: https://www.nalog.ru/rn77/news/activities_fts/8957068/
"Более 27,5 млн граждан сейчас активно пользуются «Личным кабинетом налогоплательщика для физических лиц». Для сравнения в начале 2018 года число пользователей составляло около 24 миллионов. Через ЛК ФЛ в 2018 году было направлено 15,8 млн документов для уплаты налогов. От пользователей ЛК ФЛ в период имущественной кампании 2018 года в бюджет Российской Федерации поступило 110,7 млрд рублей.
Сервис позволяет получать актуальную информацию об объектах имущества, о начислениях и уплате налогов, оплачивать налоги, а также заполнять и направлять декларацию о доходах, отслеживать статус ее камеральной проверки и обращаться в налоговые органы без личных визитов в инспекцию."
Еще немного дровишек в стеб:
1) https://www.nalog.ru/rn77/about_fts/fts/history_fts/
2010 год: Внедрена государственная услуга, предоставляемая в электронном виде посредством Интернет-сайта ФНС России, по информированию налогоплательщиков - физических лиц о суммах задолженности по налогам: «Личный кабинет налогоплательщика»;
2) https://www.klerk.ru/soft/news/167803/
07.12.2009: На сайте ФНС появился "Личный кабинет налогоплательщика"
:))
Краткий итог (предположения; здесь без стеба):
1) Похоже, что "источник" (именно этой утечки сейчас) - это просто какой-то сервис по платному пробиву информации, который хостился на украинских серверах. Т.е. это вторичная утечка (производная от первой).
2) На практике если базы только Москвы и Московской области - то это просто наборы периодически утекщающих оффлайновых баз, которые толкают через спам. Соответственно, базы ФНС Мск и Московской области (т.е. дернутые оттуда откуда-то). Вероятно, сконвертированные из условных larix/cronos под веб-размещение. Типа такого: http://moskva09.com/base_908.html (хотя лично я не помню наличие ФНС-ных баз, тем более - свежих; тогда история все равно становится интересной :) в контексте первичного источника данных)