"От НАП помолиха да си смените ЕГН-то" - коментари за хакнатите лични данни
Обясненията на ръководещите за невиждания пробив в осведомителните масиви на Национална агенция за приходите, сякаш предпазени като данъчна загадка, и теча на голямо количество персонални данни на жители и компании, провокираха нова лавина от сериозни и саркастични мнения в мрежата. " Дневник " подбра някои от тях:
Николай Слатински:
" Ако данъчните не предлагаха електронни услуги, нямаше да има теч на персонални данни. "
Честно казано, дори Валери Божинов на фона на говоренето на някои министри (особено финансов, правосъден, на туризма) наподобява исполин на дълбоката мисъл, исполин на изисканата фраза, исполин на брилянтния изказ и великан на изтънчения език...
Светлин Наков, ИТ експерт:
Викнаха ме в Нова телевизия да разясня теча на данни от хакнатата работна Oracle база данни на чиновник Министерството на финансите или Национална агенция за приходите, която съдържа извадки с финансова информация и огромно количество персонални данни. Показаха ми въпросните изтекли данни, с цел да съм квалифициран по тематиката.
Малко информация (мое персонално мнение), извлечена от мен въз основа на разбор на дългообсъжданите данни, станали към този момент обществено притежание:
- Изглежда някой се е сдобил с нерегламентиран достъп до Oracle база данни в някой държавен сървър. Не знам от коя институция е, само че в случай че съдим по заглавието на файла, би трябвало да е от Министерството на финансите (МФ)
- Съдържаната финансова информация насочва към МФ или Национална агенция за приходите: има данни за компании и физически лица, доходи, хонорари по цивилен контракти, данъчни заявления, осигуровки, митнически заявления, такива неща
- Файлът с експортираните бази данни е 1.7 GB (компресиран) и съдържа 57 бази (схеми) с по 20-30 таблици приблизително, някои с по половин милион записа, в CSV формат (експорт)
- Данните са за дребни времеви изрезки, примерно няколко месеца или година, не са цялостни
- Приличат на работни таблици, които са извлечени от някакви информации (може би за анализ)
Смятам, че базата е Oracle, тъй като има скица APEX (Oracle Application Express) и файл WWV_FLOW_FND_USER
- Освен това таблиците и колоните са именувани с основни букви, което се употребява най-много в Oracle
За мен няма подозрение, че данните са от пробив или теч (хакнат сървър или теч на данни през вътрешен човек от държавна институция)
- Данните са за остарели интервали и частични, не са цялостен указател
- Повечето данни са за 2007 година Има и по-нови. Има и от 2019 година, само че множеството са за остарели интервали: от 2006-2010
- Датите на файловете са от 10.11.1989 година (оттеглянето на социалистическата система)
Имам съмнение, че става дума за погрешно конфигуриран Oracle сървър (пароли по подразбиране), употребен от държавен чиновник:
- Сървърът не е прикрит зад firewall
- Не е заменена паролата по дифолт
- Атакуващият се закача с някакъв инструмент (примерно Toad for Oracle) и експортира данните в CSV
Най-вероятно са хакнали локалната база данни на чиновник от МФ, където той си е работил по всякакви информации, или някакъв работен сървър в МФ или Национална агенция за приходите.
Заключение:
- Случаят е извънредно притеснителен: изтекли са данни от информации за няколко стотици хиляди жители и компании (имена, ЕГН, компании, БУЛСТАТ, адреси, мейли)
- Няма нито един изцяло източен указател - единствено частични данни от някакви информации
- Прилича на теч на данни от чиновник, който не знае за това (по невнимание)
- Вероятно се е случило през март-април 2019 година (от тогава са последните данни)
- Най-вероятно някакъв общоприет security scanner инструмент е хванал врата на Oracle и е тествал паролите по дифолт и е намерил пробива
- Уменията за подобен пробив са на начално равнище и всеки изкарал общоприет курс като https://softuni.bg/modules/67/cyber-security-april-2019 с малко повече усърдие може да го направи
До проверяващите: хванете някой Oracle security инженер и посетете с него мястото на събитието и бързо ще ви стане ясно какво тъкмо се е случило.
© Иван Червенков, "Фейсбук "
Имали - дали.
Милен Георгиев:
За разлика от Търговския указател, Национална агенция за приходите има най-малко благонадежден бекъп, който се пази в редакциите на медиите.
Пейо:
Нашето потомство се научи на прилагане и писане на програмен продукт с краден програмен продукт. Дано сегашното да се научи на обзор и разбор на данни с крадени данни.
д`Алеко Константинов:
От Национална агенция за приходите помолиха да си промените ЕГН-то и да ползвате композиция от специфични знаци, дребни и огромни числа за по-голяма сигурност.
N. Ó Paloff:
Първо Комисия за защита на конкуренцията ще санкции Apple с няколко милиарда, а след това тия при ще покрият вредите на Национална агенция за приходите.
crockettsky:
Разговор около изтеклата информация от Национална агенция за приходите:
- Е, няма ли да ти е гадно някой да може да види годишните ти доходи?
- Дреме ми. Най-много да се пукне от смях.
Божидар Божанов:
Хората персонални данни не ядат.
Стоил Яков:
Разбирам шегите и закачките с следващия гаф на ръководството. Но пробивът в системата на Национална агенция за приходите е пробив в националната сигурност. Проблемът е голям. А политици, ръководещи и съпротива би трябвало да си дадат сметка, че никой не е предпазен. И е нужно незабавно работещо решение.
А. Трудски:
Най-накрая ще станат ясни годините на Лили Иванова.
Майната:
Национална агенция за приходите - Никва Анонимност Просто
Абе, Ангеле:
Някъде надълбоко в данните от Национална агенция за приходите пишело кой предложил Делян Пеевски.
Цецка Цачева:
Във връзка с теча на данни от Национална агенция за приходите Министерство на вътрешните работи афишира премия за всякаква информация или сведения, доказващи за какво Костов е отговорен.
© Иван Червенков, "Фейсбук "
Кадър на безприютен свръхчувствителен към земетръси пироман на персонални данни. Май ше се наложи да живее у кръстника си.
Елена Харизанова, svobodnoslovo.eu:
Ние в тази обстановка имаме единствено един простоват въпрос: Сега кой ще санкции Национална агенция за приходите, кой ще глоби Национална агенция за приходите, по какъв начин Национална агенция за приходите ще си заплати, че е била неизрядна, ще може ли, или ще желае разсрочване на дълга си?
Министърът на Национална агенция за приходите сподели, че в случай че има безотговорни служители, ще има и последици. Само че надали за системите за сигурност са виновни служителите. Сигурно дори избран брой виновни служители са предупреждавали свои шефове, че може нещо да гръмне, а шефовете са уведомили други шефове на собствен ред.
Ние не желаеме да уволнявате служители и IT-та. Ние желаеме единствено да кажем, че знаем, че системите на страната не работят както би трябвало. Ние й плащаме налози, а тя би трябвало да ги употребява, с цел да ни обезпечи сигурни и добре работещи в интерес на всички системи. Ако не си платим налозите по някаква причина, отново си плащаме по-късно с санкции и лихви. Т.е. ние изпълняваме своята част от публичния контракт, даже със забавяне. Тя, страната, не го извършва. Така беше и с Търговския указател, по този начин е и със опазването на здравето, по този начин е и в общините – ние си плащаме, а няма посоки или кофи за боклук на улицата, а от време на време и улица няма. Но налози има.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (16)
Николай Слатински:
" Ако данъчните не предлагаха електронни услуги, нямаше да има теч на персонални данни. "
Честно казано, дори Валери Божинов на фона на говоренето на някои министри (особено финансов, правосъден, на туризма) наподобява исполин на дълбоката мисъл, исполин на изисканата фраза, исполин на брилянтния изказ и великан на изтънчения език...
Светлин Наков, ИТ експерт:
Викнаха ме в Нова телевизия да разясня теча на данни от хакнатата работна Oracle база данни на чиновник Министерството на финансите или Национална агенция за приходите, която съдържа извадки с финансова информация и огромно количество персонални данни. Показаха ми въпросните изтекли данни, с цел да съм квалифициран по тематиката.
Малко информация (мое персонално мнение), извлечена от мен въз основа на разбор на дългообсъжданите данни, станали към този момент обществено притежание:
- Изглежда някой се е сдобил с нерегламентиран достъп до Oracle база данни в някой държавен сървър. Не знам от коя институция е, само че в случай че съдим по заглавието на файла, би трябвало да е от Министерството на финансите (МФ)
- Съдържаната финансова информация насочва към МФ или Национална агенция за приходите: има данни за компании и физически лица, доходи, хонорари по цивилен контракти, данъчни заявления, осигуровки, митнически заявления, такива неща
- Файлът с експортираните бази данни е 1.7 GB (компресиран) и съдържа 57 бази (схеми) с по 20-30 таблици приблизително, някои с по половин милион записа, в CSV формат (експорт)
- Данните са за дребни времеви изрезки, примерно няколко месеца или година, не са цялостни
- Приличат на работни таблици, които са извлечени от някакви информации (може би за анализ)
Смятам, че базата е Oracle, тъй като има скица APEX (Oracle Application Express) и файл WWV_FLOW_FND_USER
- Освен това таблиците и колоните са именувани с основни букви, което се употребява най-много в Oracle
За мен няма подозрение, че данните са от пробив или теч (хакнат сървър или теч на данни през вътрешен човек от държавна институция)
- Данните са за остарели интервали и частични, не са цялостен указател
- Повечето данни са за 2007 година Има и по-нови. Има и от 2019 година, само че множеството са за остарели интервали: от 2006-2010
- Датите на файловете са от 10.11.1989 година (оттеглянето на социалистическата система)
Имам съмнение, че става дума за погрешно конфигуриран Oracle сървър (пароли по подразбиране), употребен от държавен чиновник:
- Сървърът не е прикрит зад firewall
- Не е заменена паролата по дифолт
- Атакуващият се закача с някакъв инструмент (примерно Toad for Oracle) и експортира данните в CSV
Най-вероятно са хакнали локалната база данни на чиновник от МФ, където той си е работил по всякакви информации, или някакъв работен сървър в МФ или Национална агенция за приходите.
Заключение:
- Случаят е извънредно притеснителен: изтекли са данни от информации за няколко стотици хиляди жители и компании (имена, ЕГН, компании, БУЛСТАТ, адреси, мейли)
- Няма нито един изцяло източен указател - единствено частични данни от някакви информации
- Прилича на теч на данни от чиновник, който не знае за това (по невнимание)
- Вероятно се е случило през март-април 2019 година (от тогава са последните данни)
- Най-вероятно някакъв общоприет security scanner инструмент е хванал врата на Oracle и е тествал паролите по дифолт и е намерил пробива
- Уменията за подобен пробив са на начално равнище и всеки изкарал общоприет курс като https://softuni.bg/modules/67/cyber-security-april-2019 с малко повече усърдие може да го направи
До проверяващите: хванете някой Oracle security инженер и посетете с него мястото на събитието и бързо ще ви стане ясно какво тъкмо се е случило.
© Иван Червенков, "Фейсбук "
Имали - дали.
Милен Георгиев:
За разлика от Търговския указател, Национална агенция за приходите има най-малко благонадежден бекъп, който се пази в редакциите на медиите.
Пейо:
Нашето потомство се научи на прилагане и писане на програмен продукт с краден програмен продукт. Дано сегашното да се научи на обзор и разбор на данни с крадени данни.
д`Алеко Константинов:
От Национална агенция за приходите помолиха да си промените ЕГН-то и да ползвате композиция от специфични знаци, дребни и огромни числа за по-голяма сигурност.
N. Ó Paloff:
Първо Комисия за защита на конкуренцията ще санкции Apple с няколко милиарда, а след това тия при ще покрият вредите на Национална агенция за приходите.
crockettsky:
Разговор около изтеклата информация от Национална агенция за приходите:
- Е, няма ли да ти е гадно някой да може да види годишните ти доходи?
- Дреме ми. Най-много да се пукне от смях.
Божидар Божанов:
Хората персонални данни не ядат.
Стоил Яков:
Разбирам шегите и закачките с следващия гаф на ръководството. Но пробивът в системата на Национална агенция за приходите е пробив в националната сигурност. Проблемът е голям. А политици, ръководещи и съпротива би трябвало да си дадат сметка, че никой не е предпазен. И е нужно незабавно работещо решение.
А. Трудски:
Най-накрая ще станат ясни годините на Лили Иванова.
Майната:
Национална агенция за приходите - Никва Анонимност Просто
Абе, Ангеле:
Някъде надълбоко в данните от Национална агенция за приходите пишело кой предложил Делян Пеевски.
Цецка Цачева:
Във връзка с теча на данни от Национална агенция за приходите Министерство на вътрешните работи афишира премия за всякаква информация или сведения, доказващи за какво Костов е отговорен.
© Иван Червенков, "Фейсбук "
Кадър на безприютен свръхчувствителен към земетръси пироман на персонални данни. Май ше се наложи да живее у кръстника си.
Елена Харизанова, svobodnoslovo.eu:
Ние в тази обстановка имаме единствено един простоват въпрос: Сега кой ще санкции Национална агенция за приходите, кой ще глоби Национална агенция за приходите, по какъв начин Национална агенция за приходите ще си заплати, че е била неизрядна, ще може ли, или ще желае разсрочване на дълга си?
Министърът на Национална агенция за приходите сподели, че в случай че има безотговорни служители, ще има и последици. Само че надали за системите за сигурност са виновни служителите. Сигурно дори избран брой виновни служители са предупреждавали свои шефове, че може нещо да гръмне, а шефовете са уведомили други шефове на собствен ред.
Ние не желаеме да уволнявате служители и IT-та. Ние желаеме единствено да кажем, че знаем, че системите на страната не работят както би трябвало. Ние й плащаме налози, а тя би трябвало да ги употребява, с цел да ни обезпечи сигурни и добре работещи в интерес на всички системи. Ако не си платим налозите по някаква причина, отново си плащаме по-късно с санкции и лихви. Т.е. ние изпълняваме своята част от публичния контракт, даже със забавяне. Тя, страната, не го извършва. Така беше и с Търговския указател, по този начин е и със опазването на здравето, по този начин е и в общините – ние си плащаме, а няма посоки или кофи за боклук на улицата, а от време на време и улица няма. Но налози има.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (16)
Източник: dnevnik.bg
КОМЕНТАРИ