Хакери, "магьосници" и обвинения за източените лични данни от приходната агенция
Последната седмица измина под знака на най-голямото приключване на персонални данни от държавна институция в България и разпространяването им до медиите, а по-късно и в интернет. В понеделник анонимни хакери разпратиха до медиите масив с персоналните данни на над 5 млн. български жители и компании, съдържащи сензитивна информация - ЕГН-та, адреси, банкови сметки, данъчна информация, заплащания и информации за приходи, източени от системата на Националната организация за приходите (НАП).
До момента има единствено един упрекнат по случая – 20-годишният Кристиян Бойков. Той бе арестуван още във вторник, в сряда прокуратурата му повдигна обвиняване, а в четвъртък го смекчи и реши да го освободи с най-леката мярка " подписка ". Бойков към този момент върви на работа, а през вчерашния ден бе засечен от екип на Нова телевизия пред офиса на компанията, която се занимава с киберсигурност и така наречен етично хакерство. Той твърди, че е почтен и се надява да бъде потвърдено, че е натопен. От кого и по какви аргументи - към момента не споделя.
Всички разновидности са вероятни - от вътрешен човек до младеж
Основният файл, който уличава Бойков в източване на данни от Национална агенция за приходите, е подправен, твърди в обява във Facebook специалистът по програмиране и компютърни технологии Светлин Наков.
" ZIP архивът, който изтече (minfin_leak.zip) е основан под Linux. Подпъхнатият по-късно файл.~lock.DEC73_DETAILS.csv# е основан под Windows, от някой различен, не от този, който е основал архива с експорта на Oracle базата данни на Национална агенция за приходите от системата за възобновяване на Данък добавена стойност ", изяснява Светлин Наков. Той счита, че уличаващият файл е изменен и " подпъхнат " в допълнение, защото е подозрително явно хакер да унищожи всички следи, само че да пропусне тъкмо тази.
Пред " Дневник " той даде допустимо пояснение и за какво данните за хазарта се съдържат в базата данни от системата за възобновяване на Данък добавена стойност – лицензите за Oracle са прекомерно скъпи и е допустимо държавната администрация да е икономисала като държи на един сървър и тези данни.
Наков изясни, че на този стадий няма по какъв начин да бъдат изключени разновидности. Възможно е Бойков фактически да е хакнал базата данни на Национална агенция за приходите, само че тя да е публикувана от някой различен. Дори и да е влизал в системата на Национална агенция за приходите, не е открито дали единствено той е имал достъп до тези файлове извън.
" Ако са обрали дома ви преди 3 дни и са арестували Пешо, несъмнено ли е, че и Гошо не е влизал ", даде образец Светлин Наков.
Според него има вид вътрешно лице или някогашен чиновник от приходната организация да е източил данните от Национална агенция за приходите. Той е на мнение, че даже младеж с повече свободно време и малко знания би могъл да влезе в базите данни на Национална агенция за приходите, само че надали хакерът е чужденец, защото не би имал интерес към бази данни в България.
" Нашите хакери не влизат в данните на управляващите в Афганистан, да вземем за пример. Макар че за тях евентуално би било по-лесно. Просто техните данни не съставляват интерес ", разяснява Наков.
Пред " Дневник " шефът на Главната дирекция " Борба с проведената престъпност " (ГДБОП) Ивайло Спиридонов сподели, че Кристиян Бойков не е обучавал спецполицаи по киберсигурност, както обявиха юристите му. Спиридонов изясни, че негови чиновници да ходили на взаимни образования и курсове с представители на компанията, в която работи обвинявания.
Спиридонов отхвърли чиновници на ГДБОП да са употребявали подпомагане и съвещания от специалисти от компания TAD Group по следствия и досъдебни производства. Той също уточни, че следствието продължава и се ревизират версиите и за съучастници.
От министерството на финансите и Национална агенция за приходите публично признаха за пробива, само че успокоиха, че са източени към 3% от масивите, с които работят данъчните. Вчера бе публикувано и известие, в което се твърди, че информацията е за към 4 млн. живи българи и към един милион умряли.
Именно писмо от приходната организация до прокуратурата стана и мотив обвиняването на Бойков да бъде смекчено и в този момент, в случай че бъде потвърдено, че е отговорен, може да бъде осъден с санкция. В писмото на Национална агенция за приходите се споделя, че казусът не е толкоз сериозен и източените бази данни не могат да доведат до съществени последствия за жителите и компаниите, тъй като не са част от " сериозната инфраструктура ".
Същото настояват и от ГДБОП с претекста, че такава информация може да се откри в интернет съвсем за всеки един човек, а сходни течове се случват на всички места по света.
Ако може, " вълшебниците " да спомагат
Обясненията на финансовия министър Владислав Горанов варираха през седмицата и първо започнаха с опрощение към хората, чиито данни са източени. А по-късно Горанов продължи с: " Данните са единствено 3% ", " Ако нямаше електронни услуги, нямаше да има риск от приключване " и на финала имитация към 20-годишния Бойков - " Можеше просто да пристигна и да ни каже, че сме тъпи и въобще не ги разбираме тези неща ".
Всъщност специалистът по киберсигурност един път към този момент е посочил недостатъци в системата на друга държавна конструкция – Министерството на образованието и науката още през 2017 година Тогава получил хвалба и благодарствена грамота, че не е популяризирал или подменил данните на 1.5 млн. възпитаници, а е съобщил за пробив в сигурността.
Премиерът Бойко Борисов първо свика Съвет по сигурността. Двудневното му безмълвие по тематиката беше последвано с удивление от качествата и гения на обвинявания и пожелания такива " магьосници’ да работят за държавната администрация.
А ден по-рано Горанов изясни, че частният бранш бил доста конкурентоспособен и с това загатна, че страната не може да си разреши положителни експерти. Също през вчерашния ден Борисов призна, че не схваща и няма да влиза в елементи по тематиката, след което помоли обвинявания да спомага и самичък да декриптира компютъра си, с цел да може проверяващите да видят какво има в него. Защото, по думите на Борисов, те такива отбрани не били виждали. После сподели, че отговорните за хакерската офанзива ще си понесат отговорността.
Опасно е да търсите в платформи дали данните ви са изтекли
Докато от Национална агенция за приходите създават система, по която всеки може да ревизира дали информация за него е станала обществена, в интернет към този момент съществуват платформи, в които може да извършите информация, в случай че въведете ЕГН. Специалисти обаче предизвестяват, че сходни информации може да са рискови.
Докато институциите пробват да неглижират обстановката с изтеклите персонални данни, специалисти предизвестяват, че персоналната информация може да бъде употребена по всевъзможни способи и с нечисти планове и обстановката не трябва да се подценява и омаловажава. Те предизвестяват, че има риск да се усилят фишинг имейлите, телефонните измами и други закононарушения, а изтеклата информация да бъде употребена както в бизнеса, по този начин и за изнудване на обособени хора.
От тук нататък следствието против Кристиян Бойков продължава като най-важно е да бъдат направени експертизи. За задачата обаче първо би трябвало да се декриптират компютрите, на които е работил той - персонални и служебни. Освен това би трябвало да се направи обстоен разбор на изтеклите персонални данни и да се откри, доколкото е допустимо въобще, дали, по кое време и по какъв начин те са били източени от Национална агенция за приходите, от кого и по какъв начин са били публикувани.
Ако се съберат задоволително доказателства против Бойков, прокуратурата може когато и да е да промени още веднъж обвиняването в по-тежко, а в противоположния случай - да приключи следствието против него и да го води против незнаен причинител.
Предстои да бъде осъществен и повсеместен одит на системите за сигурност на Национална агенция за приходите, а евентуално ще бъдат затегнати разпоредбите във връзка с електронната сигурност и в доста други институции като превантивна мярка против нови опити за хакертска офанзива.
Има опция през идващите месеци да стартира вълна от каузи поради изтеклите данни. Министър Горанов сподели, че страната е подготвена да заплати обезщетение на жител, само че единствено, в случай че потвърди, че приключването на данните фактически му е навредило. Освен това Национална агенция за приходите също може да бъде глобена от Комисията за отбрана на персоналните данни.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (49)
До момента има единствено един упрекнат по случая – 20-годишният Кристиян Бойков. Той бе арестуван още във вторник, в сряда прокуратурата му повдигна обвиняване, а в четвъртък го смекчи и реши да го освободи с най-леката мярка " подписка ". Бойков към този момент върви на работа, а през вчерашния ден бе засечен от екип на Нова телевизия пред офиса на компанията, която се занимава с киберсигурност и така наречен етично хакерство. Той твърди, че е почтен и се надява да бъде потвърдено, че е натопен. От кого и по какви аргументи - към момента не споделя.
Всички разновидности са вероятни - от вътрешен човек до младеж
Основният файл, който уличава Бойков в източване на данни от Национална агенция за приходите, е подправен, твърди в обява във Facebook специалистът по програмиране и компютърни технологии Светлин Наков.
" ZIP архивът, който изтече (minfin_leak.zip) е основан под Linux. Подпъхнатият по-късно файл.~lock.DEC73_DETAILS.csv# е основан под Windows, от някой различен, не от този, който е основал архива с експорта на Oracle базата данни на Национална агенция за приходите от системата за възобновяване на Данък добавена стойност ", изяснява Светлин Наков. Той счита, че уличаващият файл е изменен и " подпъхнат " в допълнение, защото е подозрително явно хакер да унищожи всички следи, само че да пропусне тъкмо тази.
Пред " Дневник " той даде допустимо пояснение и за какво данните за хазарта се съдържат в базата данни от системата за възобновяване на Данък добавена стойност – лицензите за Oracle са прекомерно скъпи и е допустимо държавната администрация да е икономисала като държи на един сървър и тези данни.
Наков изясни, че на този стадий няма по какъв начин да бъдат изключени разновидности. Възможно е Бойков фактически да е хакнал базата данни на Национална агенция за приходите, само че тя да е публикувана от някой различен. Дори и да е влизал в системата на Национална агенция за приходите, не е открито дали единствено той е имал достъп до тези файлове извън.
" Ако са обрали дома ви преди 3 дни и са арестували Пешо, несъмнено ли е, че и Гошо не е влизал ", даде образец Светлин Наков.
Според него има вид вътрешно лице или някогашен чиновник от приходната организация да е източил данните от Национална агенция за приходите. Той е на мнение, че даже младеж с повече свободно време и малко знания би могъл да влезе в базите данни на Национална агенция за приходите, само че надали хакерът е чужденец, защото не би имал интерес към бази данни в България.
" Нашите хакери не влизат в данните на управляващите в Афганистан, да вземем за пример. Макар че за тях евентуално би било по-лесно. Просто техните данни не съставляват интерес ", разяснява Наков.
Пред " Дневник " шефът на Главната дирекция " Борба с проведената престъпност " (ГДБОП) Ивайло Спиридонов сподели, че Кристиян Бойков не е обучавал спецполицаи по киберсигурност, както обявиха юристите му. Спиридонов изясни, че негови чиновници да ходили на взаимни образования и курсове с представители на компанията, в която работи обвинявания.
Спиридонов отхвърли чиновници на ГДБОП да са употребявали подпомагане и съвещания от специалисти от компания TAD Group по следствия и досъдебни производства. Той също уточни, че следствието продължава и се ревизират версиите и за съучастници.
От министерството на финансите и Национална агенция за приходите публично признаха за пробива, само че успокоиха, че са източени към 3% от масивите, с които работят данъчните. Вчера бе публикувано и известие, в което се твърди, че информацията е за към 4 млн. живи българи и към един милион умряли.
Именно писмо от приходната организация до прокуратурата стана и мотив обвиняването на Бойков да бъде смекчено и в този момент, в случай че бъде потвърдено, че е отговорен, може да бъде осъден с санкция. В писмото на Национална агенция за приходите се споделя, че казусът не е толкоз сериозен и източените бази данни не могат да доведат до съществени последствия за жителите и компаниите, тъй като не са част от " сериозната инфраструктура ".
Същото настояват и от ГДБОП с претекста, че такава информация може да се откри в интернет съвсем за всеки един човек, а сходни течове се случват на всички места по света.
Ако може, " вълшебниците " да спомагат
Обясненията на финансовия министър Владислав Горанов варираха през седмицата и първо започнаха с опрощение към хората, чиито данни са източени. А по-късно Горанов продължи с: " Данните са единствено 3% ", " Ако нямаше електронни услуги, нямаше да има риск от приключване " и на финала имитация към 20-годишния Бойков - " Можеше просто да пристигна и да ни каже, че сме тъпи и въобще не ги разбираме тези неща ".
Всъщност специалистът по киберсигурност един път към този момент е посочил недостатъци в системата на друга държавна конструкция – Министерството на образованието и науката още през 2017 година Тогава получил хвалба и благодарствена грамота, че не е популяризирал или подменил данните на 1.5 млн. възпитаници, а е съобщил за пробив в сигурността.
Премиерът Бойко Борисов първо свика Съвет по сигурността. Двудневното му безмълвие по тематиката беше последвано с удивление от качествата и гения на обвинявания и пожелания такива " магьосници’ да работят за държавната администрация.
А ден по-рано Горанов изясни, че частният бранш бил доста конкурентоспособен и с това загатна, че страната не може да си разреши положителни експерти. Също през вчерашния ден Борисов призна, че не схваща и няма да влиза в елементи по тематиката, след което помоли обвинявания да спомага и самичък да декриптира компютъра си, с цел да може проверяващите да видят какво има в него. Защото, по думите на Борисов, те такива отбрани не били виждали. После сподели, че отговорните за хакерската офанзива ще си понесат отговорността.
Опасно е да търсите в платформи дали данните ви са изтекли
Докато от Национална агенция за приходите създават система, по която всеки може да ревизира дали информация за него е станала обществена, в интернет към този момент съществуват платформи, в които може да извършите информация, в случай че въведете ЕГН. Специалисти обаче предизвестяват, че сходни информации може да са рискови.
Докато институциите пробват да неглижират обстановката с изтеклите персонални данни, специалисти предизвестяват, че персоналната информация може да бъде употребена по всевъзможни способи и с нечисти планове и обстановката не трябва да се подценява и омаловажава. Те предизвестяват, че има риск да се усилят фишинг имейлите, телефонните измами и други закононарушения, а изтеклата информация да бъде употребена както в бизнеса, по този начин и за изнудване на обособени хора.
От тук нататък следствието против Кристиян Бойков продължава като най-важно е да бъдат направени експертизи. За задачата обаче първо би трябвало да се декриптират компютрите, на които е работил той - персонални и служебни. Освен това би трябвало да се направи обстоен разбор на изтеклите персонални данни и да се откри, доколкото е допустимо въобще, дали, по кое време и по какъв начин те са били източени от Национална агенция за приходите, от кого и по какъв начин са били публикувани.
Ако се съберат задоволително доказателства против Бойков, прокуратурата може когато и да е да промени още веднъж обвиняването в по-тежко, а в противоположния случай - да приключи следствието против него и да го води против незнаен причинител.
Предстои да бъде осъществен и повсеместен одит на системите за сигурност на Национална агенция за приходите, а евентуално ще бъдат затегнати разпоредбите във връзка с електронната сигурност и в доста други институции като превантивна мярка против нови опити за хакертска офанзива.
Има опция през идващите месеци да стартира вълна от каузи поради изтеклите данни. Министър Горанов сподели, че страната е подготвена да заплати обезщетение на жител, само че единствено, в случай че потвърди, че приключването на данните фактически му е навредило. Освен това Национална агенция за приходите също може да бъде глобена от Комисията за отбрана на персоналните данни.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (49)
Източник: dnevnik.bg
КОМЕНТАРИ