- Масивът на #НАПЛийкс съдържа данни за 6 млн. български граждани – 4.66 млн. живи и 1.38 починали. Пълнолетното население на България е 5.8 млн., а тези в трудоспособна възраст са 4.2 млн.
- В мейла си до медиите хакерите дават да се разбере, че имат още толкова данни изтеглени от сървърите на Министерството на финансите. Макар да използват руски мейл, далеч не може да сме сигурни, че са руснаци
- Има 57 папки, някои от които са системна информация за базата данни на НАП
- Някои от таблиците включват потребителски имена, пароли и други данни за работата на служители на НАП и други държавни структури. Има и доста лични сертификати на граждани
- Ако сте работили или плащали някакъв данък в последните 10 години, то е почти сигурно, че най-малкото ЕГН-то, името, адреса и дохода ви е в базата. Основната част от данните обхващат последните 10 години
- Освен данъчни декларации, данните включват плащания по заеми, номера на превозни средства, граждански договори, данни на много българи зад граница получавали пенсии или отказали се от здравно осигуряване, IP адреси и информация дали играете хазарт
- Базата съдържа индикации за сигнали между НАП и европейски институции и елементи от разследвания
- Течът на данните е бил възможен заради неспазването на елементарни мерки за сигурност в администрацията – нещо, за което предупреждаваме отдавна
- Макар данните да не донесат пряка вреда за повечето хора, те може да навредят на текущи данъчни разследвания, както и да се използват от телефонни измамници или за изнудване.
- В същото време публичността на тази информация, колкото и вредно да е за националната сигурност, ще даде възможност на изследователи да направят по-добра картина за доходите на населението, безработицата и социалните придобивки. Също така ще подпомогнат журналистически разследвания в имотното състояние на публични лица и отказа от проверки на самите служби в злоупотреби като #АпартаментГейт
Първото, което следва да се направи сега, е да се понесе политическата и професионалната отговорност. Горанов следва да подаде незабавно оставка заедно с ръководителите на отговорните за този пропуск структури. Трябва да има криминално разследване как се е допуснало това и обвинения, макар последното да е малко вероятно предвид в какво се е изродила прокуратурата ни.
Паралелно с това следва да се направи одит на цялата информационна инфраструктура на обществения сектор. Правила и закони, които определят как следва да се пазят данните, кой следва да има достъп до какво има, но не се спазва, както стана ясно. Време е да започне администрацията сериозно да мисли за електронно управление и съпътстващите мерки за сигурност, системи за проверка и достъп.
Не на последно място обаче, трябва да разберем, че този теч на данни е стряскащ само защото вече не може да си затваряме очите за състоянието на държавните бази данни. Истината е, че почти всеки в администрацията е имал достъп до същата информация, а заедно с тях и познатите им. Хазарта започва една от последните си песни с „Имам човек в НАП…“. Е, доста хора имат човек тук и там. Един мой приятел разказваше как започнал успешен консултантски бизнес в България и скоро след това дошли „гости“ заедно със служител на НАП в неприкрит опит да разберат какво прави фирмата и дали може да се присвои.
Сега вече няма нужда да „имаш човек“ или поне не за доходите от 2007-ма насам. Въпрос на време е някой да пусне публична търсачка за информацията. Не съм съгласен, че трябва да се направи, но толкова хора имат вече архива, че е неизбежно.
И тук идваме към точката, за която не искате да мислите – какво правим с тази информация? Не тази, че са хакнали НАП, а с това, че всички ще знаят доходите ви. Нормално е да сте бесни. Трябва да сте бесни. Ако не защото личната ви информация е навсякъде, то най-малкото защото администрация за милиарди е позволила това. Само бесните хора могат да свършат нещо.
По-важен е въпроса дали следва всички да го знаем това? Не само сега и занапред Дали го искаме? В Швеция техният аналог на НАП прави публични всички данъчни декларации в края на годината. Отделни може да се видят с телефонно обаждане, но условието е, че отсрещната страна ще разбере, че сте видели декларацията им. Заедно с това публикуват детайлни справки за доходите по възрастови групи, региони, професии, нива на квалификация и прочие. Тази прозрачност в доходите е помогнала на много компании да поемат инициативата и сами да информират служителите си колко взимат колегите им на същото ниво.
Ние обаче не сме Швеция и това не е прозрачност. Това е престъпно нехайство. Макар голяма част от данните наистина да не заплашват пряко населението, части от тях и цялата им съвкупност наистина са проблем за националната сигурност.
Някой ще направи портал позволяващ лесна проверка. Всеки ще може да види доходите на съседа, колегата, известни и небезизвестни личности. Как това ще се отрази на взаимоотношенията ни, на обществения и политическия живот?
Какво следва от тук?
Допълнение [15 юли 13:40]
НАП са излезли със съобщение, че „само 3%“ от данните им били откраднати. Така изглежда се опитват да изкарат, че само 3% от населението е засегнато. Всъщност, личните данни на над 95% от работещите в България са в онзи архив. Макар НАП да има наистина много повече данни, това не означава, че ЕГН, име и доходи за 10 години назад на милиони не са изтекли заедно с друга защитена информация.
Нещо повече – изложеното до тук обхваща само това, което знаем. Хакерите твърдят, че имат още толкова данни, които предвид, че не са публикували, може да съдържат много по-вредна за засегнатите и за държавата като цяло информация. Възможността за измами и изнудване са само най-очевидните рискове.
Един страничен ефект, който очаквам, е че най-накрая ЕГН-тата ще спрат да са лични данни. Не де-юре, а де-факто. И това защото просто вече имаме ЕГН-тата заедно с имената на почти всички българи. Не, че до сега не беше напълно достъпно през различни системи като тази на имотния регистър. Все още се поддържаше илюзията обаче, че са лична информация. Отдавна не са и вече е ясно на всички.
И да, имам препратки към American Gods в текста, макар да е донякъде неудачно използването им в този контекст.
Хубав, бърз и точен анализ, благодаря! Може би имаме нужда от изцяло нов вид лична идентификация, базиран на биометрични данни?
@Николай Михайлов – електронната идентификация има точно тази цел. Този достъп с лични електронни подписи, кодове от НАП и прочие са истинска напаст. Друг важен аспект е получаването на информация как се обработват данните. И сега го има като справка, но е силно ограничена, просто защото институциите не си свързват системите, а и няма контрол и проследимост кой какво гледа.
Още нещо – заглавната снимка на статията е сатира. Пуснах я снощи като препратка към предупрежденията за cookie-та и GDPR, с които сме свикнали да се съгласяваме винаги.
Горанов ако успее да устои и на тоя гаф, значи ние сме си виновни, че ги търпим. А че администрацията е дебилна, това не е новина.
поредния прах в очите, много по лесно се копира вътрешна информация на SD или флашка, за прецакаме електронното гласуване, и да се преизбират същите мутри
Вие имате ли достъп до този архив и как го получихте, за да напишете тези неща ?
Допълних статията с отговор на прес-съобщението на НАП от преди час.
@skylark – вярно е. Очаквам обаче Борисов да си отреже опашката до края на седмицата.
@мутробетон – мерките за сигурност би следвало да предпазват именно срещу това. Особено във финансови институции копирането на флашки следва да е строго забранено не само, за да не се точат данни, но и за да се предотврати вкарване на вируси и други вектори за атака.
@Христо – Линкът на данните, за жалост, вече е публичен. От тях става ясно всичко изложено в статията.
Относно публичните данъчни декларации и доходи, явно ги има не само в Швеция, но и в Норвегия и Финландия:
https://www.ft.com/content/2a9274be-72aa-11e7-93ff-99f383b09ff9
Междувременно човек представящ се за хакера изпрати писмо до медиите с още информация: https://www.svobodnaevropa.bg/a/30058276.html
Интересен аспект е, че посочва Капитал като единствените, които се ровят активно в данните от медиите, до които е писал. Съгласен съм с него по този въпрос.
Защо този файл се крие от всички медии?
@Боян: Препрочети това от прес-съобщението на НАП поне два пъти: „Нерегламентираният достъп до чувствителна информация е органичен.“ …
…и нищо чудно и ти като мен да се замислиш, дали хората публикуващи изключително важно съобщение до всички, с правописни грешки — дали не пазят по същия „органичен“ начин и данните на всички българи?..
Е*гати и администрацията, е*гати и смотаняците с бюджет за стотици милиони левове… 🙁
Много точно написано. Каквито и системи и защити да се изпозлват, когато се намесят човешкото неразбиране на всичко това, което се прави от ИТ отделите и това, че всички приемат тези хора като досадни твари, които едва ли не бавят процесите, вместо да помагат ще се стига до такава ситуация. Мерките трябва да са брутални, не трябва да има компромиси, не трябва да се допуска някой да прескача правилата за работа, с цел по-добра ИТ сигурност и т.н. Това, което може да се направи и според мен ще доведе до положителен отклик е когато се правят ИТ одити и се водят предписания (препоръки, несъответствия) от одиторите да се гледат реално нещата, не само на документи. На документи знаем всички са ТОП, но практически положението е зле, персонала (не ИТ специалистите) е супер неграмотен и не знаят елементарни неща и не искат да ги научат, защото така са свикнали!!! Никой съответно няма да накара 50 г Иванка да се ограмоти на курс. И вместо служителите да се съобразяват със новостите и изискванията, на места се получава точно обратното!!! Много ще ми е интересно ако се въведат регулаторни органи, които ще проверяват всички политики по ISO и прочие дали се спазват на 100 % и когато се „треснат“ жестоки глоби, например защо РДП-то е включено или защо не ИТ user има админски права на своята рабоботна станция, тогава много бързо всички ще се ограмотят, иначе ще се минава между капките и подобни пробиви на потърпевши фирми ще го отнасят. Сигурен съм че малко от фирмите спазват всички изисквания по ИТ безопасност!!!
@Anonymous – махнах линка и паролата. Разпространението му е още в сива територия от юридическа гледна точка и затова не го искам тук.
@Michel – е не могат честно да кажат, че са обезопасили изцяло системата си, щом най-вероятно още паролите не са си сменили и не са patch-нали системата да не позволява точене.
@Боян: Имах предвид, не можаха ли поне да си редактират прес-съобщението преди да го публикуват? Щото е едно като си пиша в блога и сбъркам думата „ограничен“ с „органичен“, ама е друго когато държавен орган (или трябва да кажа, „държавен огран“?;-)) така пише в официални съобщения… Стои някак едно такова… смотано… Все едно, „attention to detail = нула“… :-/
@Michel – като нищо са го писали на телефона това 🙂 Става ясно ПР-тите им какво търсят в нета по цял ден, щом autocorrect им сменя на това.
@User – Голяма част от мерките може да се изпълняват от всеки независимо от техническото ниво, ако процедурите са ясно описани и има контрол. Сложността на паролите, несподелянето на информация, контрол над достъпа и прочие мерки свързани с инфраструктурата и самите хора не е въобще сложна – трудно се налага просто. Явно никой не се и опитал даже.
Не мога да не отбележа няколко момента 😉 fucked up не е корумпирано правителство, по-точно не само. Факд ап е сбъркано цялостно, на страшно много нива и в този смисъл преводът е неточен и неверен. Друг момент е,че след като си мислех, че дъното е достигнато, този министър на вътре;ните работи започна да го копае с багер: имейл от яндекс има връзка с Ф-16???
Боян, как си се сдобил с линка и паролата, при положение, че този имейл е бил препратен само на определени медии?
@Weiss – да, абсурдни са твърденията на двамата министри. Опитват се да завъртят историята, за да си спасят публичния образ, за да не се наложи Борисов да си реже опашката в тяхно лице. Нищо повече. Иначе почти всичко останало, което казаха за случая е пълна глупост. Включително как били защитени данните.
@Име – някои медии бяха доста недобросъвестни да публикуват линка в репортажите си.
@Боян всичко е просто, когато се спазват нещата. Правила има и са перфектни на теория, но малко ги изпълняват. Работя в подобна фирма и да ти кажа работата с усери, които работят по начин от 10 и не искат да се променят по никакъв начин и вместо те да се ъпгрейдват и да се нагажда според правилата, става точно обратното. Проблемът не е само до паролите. Това се прави с политики и лицата искат не искат го правят! Има много по-страшни и уязвими неща, фишинг атаки, които трудно се контролират и т.н. Не всичко е система, трябва и разбиране от целия колектив. Всеки казва на мен няма да ми се случи, но когато стане, всеки хвърля вината върху сис админите. Когато някой сис админ говори на шефове, които са икономисти и които са напълно неграмотни и за тях системата е един бутон който се натиска и управлява, няма как да се променят нещата за добро. НАП са изтривалка и данните оттам са отдавна изтекли, отдавна, но по друг начин!
Валидните уникални ЕГН-та в данните са 1 149 881
ПС. 3% от данните реферира към набора данни – той далеч не е пълен дори за справките, които предлага, като дори самият хакер държи 50% от свалените данни в момента.
Така например, има ограничен брой datapoints за всяко ЕГН – съдейки по общия брой редове и броя месеци от 2007 насам, наистина реалния брой вероятно е около 3%. Тук не говорим за данните за ДДС, например, които са истински интересни и липсват напълно.
@user – във всяка организация е така. Някои могат да си го позволят, други не трябва. Течове на информация е имало и ще има винаги. Такова безхаберие обаче е престъпно.
@Dimiter Shalvardjiev – толкова са само в един от всички 273 файла, в които има въобще колона за ЕГН. Иначе не оспорвам твърдението за 3-те % – нямам информация, за да го оборя. Казвам обаче, че е абсурден аргумент тук, тъй като обхватът на останалите данни може да е най-различен и не особено важен за отделните хора.
Голяма част от данните, например, би трябвало да са отделните транзакции, които всеки касовите апарати подават на НАП за всяка покупка. Това са много данни, които формално се броят към общия размер на базата, в случая не променят факта, че декларациите, заемите и куп други данни на милиони българи са изтекли.
Само да Ви кажа, че работещите в България и осигурените най-вече са около 3.5 мил. Това са 5 мил записи, а не реални хора, защото ако има записи за социални здравни или нещо друго, едно лице фигуира на няколко места. И според мен това не е цялата база или е някаква тестова база със стари данни.
@user – 3 млн. и нещо са заетите във всяка една година. През последните 10 години не са едни и същи 3 млн. Също така базата не съдържа данните само на заети и плащащи данъци, а и на българи в чужбина, собственици на фирми, получаващи социални и прочие. Наистина не е пълна базата и има доста неща, които изглеждат като еднократни справки на служители. Но щетата от тях въобще не е за подценяване.
@Боян Юруков – дай първите три стъпки според теб, за да случим електронната идентификация час по-скоро 🙂
Довършване на поръчката за системата за електронна идентификация и новите лични документи с нужния чип като за начало. Доста неща трябва да се случат и в агенцията за електронно управление като подготовка, обучения и услуги. Трябва да се обновят системи, за да работят с новата идентификация. Най-вероятно ще се наложат и нормативни промени за изчистване на недостатъци.
Здравейте,
имам само един върпос – как ще бъдат обезщетети фирмите и лицата, чиито данни са изтекли?
Много добра статия. Пиша този коментар за да се абонирам за блог-а ви, поради липсата на друга форма за абонамент ;).
@Боян, прав си, няма значение колко са актуални, а че критични данни и са изтекли. Силно се надявам това изтичане да не е изценировка на даване на на данни на фирми, които да се възползват и след да кажат „Ми те нали изтекоха, това е Кибер Чернобил, свали ли са ги“. Също не вярвам, че лицето което са хванали е реално… Човек който знае какво прави ме съмнява да го прави от офиса на фирма и то за кибер дигурност, без да използва прокси през Таджикистан например…
@Мая – първо трябва да покажат, че са пострадали – материално или морално – от този теч.
@Спас – Благодаря. Долу има линкове за RSS и Twitter. Там се пуска веднага като пусна статия.
@user – за да се дадат данни на познати, не е нужно такъв теч. Има сведения, че и до сега като имаш човек в НАП научаваш каквото ти трябва. Има много теории сега, но малко информация, така че всяка теза защо, кой и кога е просто предположение.
Чудесен анализ! Поздравления!
Питам се с колко ще се увеличат хаковете когато в системата на НАП започнат да постъпват и източените при ревизия на търговски обект – склад на едро, данни от проверяващите(имат право да източат цялото движение на стоки на флашка и да си тръгнат към НАП-а с него) според условията на Наредба Н18. Отделен въпрос е с каква скорост ще се движат към НАП и какво ще се случи по пътя!
Всичко това е въпрос на качество на системите. Всяка нова в администрацията, впрочем, следва да се прави по новия закон, който има строги изисквания за сигурност, интеграция и прочие. Не, че няма доста случаи на неспазване на такива изисквания или одобрение на системи, които не изпълняват поръчката, но ще е по-трудно като правят поръчката.
Притеснителното е друго! Никой никога не е осъждан за хакване в България и няма механизми и експерти към специализираните прокуратура за по 1000 лв, които могат да го докажат! По-притеснителното е това! Началото на годината бяха пробити 2-3 фирми, като едната е с човек отвътре, който бе пуснат без кой знае какви последствия… Поне две пострадаха сериозно с криптовирус и загубиха много….
Как да тълкуваме изречението „Има и доста лични сертификати на граждани“??
Откъде пък НАП притежават универсални сертификати, издадени от публичните оторита? Самите НАП по никакъв начин не мога да имат частните ключове. Ако пък имате предвид някакви частни сертификати, издадени от самите НАП, то НАП могат да ги обяват за невалидни за секунди.
@user – не знам дали никой не е осъждан. Определено ще се пробват сега обаче. Има доста пострадали от изнудване, но често не се съобщава, а и извършителите са неизвестни.
@Знайко – нямат частните ключове, а сертификати. Това пиша. Не могат да подписват нищо, но може да се види най-малкото личните данни на някои от съдържанието на сертификатите.
@Боян, осъждат ги но не затвор. Например 2-3 к глоба и навън, а може да направили празий за пъти, пъти повече от глобата. Лошото са реално две неща: тъй наречените експерти по чието становище се определя дали нещо е станало или не е станало са държавни служители. Прокурорите си нямат ама ни най-малка представа от ИТ процеси, уязвимости и т.н. И ако не им е предсотавено доказателството по най-добрия начин, те няма за какво да се хванат.., слагат някаква глоба и на свобода…
Практична+Полезна статия.
Адмирации & Респект за позицията относно некадърната мърлящина на държавната администрация+правителство.
Мога ли да Ви помоля за съвет как да проверя дали сертификата ми за електронен подпис (персонален на името на е-мейла в коментара ми) в момента дали се вее в НЕТ-а?
Предварително благодаря.
@user – в съда знам, че свидетелстват вещи лица. Не знам доколко са кадърни и дали са държавни служители, но им се плаща за услугата. Иначе при чисто съдебно минало и признание най-често се утърва затвора за такива неща.
@Симеон Димитров – най-добре е да проверите на сайта на НАП в услугата им. Дори сертификата на електронния ви подпис дори да е в изтеклите данни, той не позволява да се подпише нещо с него. Той е просто подпис, който не може да бъде повторен. Съдържа обаче ЕГН-то ви, както доста други таблици, най-вероятно.
Трагедията е пълна, още повече с тези screenshot-s (ако са реални), които ги показаха по сутрешните блокове… Как може достъп до администрация/сървър да се остави с юзера и паролата по подразбиране… Лошото е, че най-вероятно всички държавни институции са с подобна сигурност…
…още след точка 1:
„Масивът на #НАПЛийкс съдържа данни за 6 млн. български граждани – 4.66 млн. живи и 1.38 починали. Пълнолетното население на България е 5.8 млн., а тези в трудоспособна възраст са 4.2 млн.“
…какво да се коментират останалите неща…