Трябва ли да правим нещо след теча на данни от НАП?

Вече близо две седмици страната не спира да се тресе от скандала с изтеклите данни на повече от 4 милиона активни български граждани. След като НАП вече пуснаха страница, на която може да се провери дали ЕГН-то ви фигурира по някакъв начин в теча, много българи установиха, че наистина са засегнати

13
3499

Какво обаче да правят в този случай. Разбира се всеки решава сам за себе си дали да смени личните си документи. Ето какво публикува НАП официално на своята страница:

Ако сте направили справка и тя сочи, че за Вас има неправомерно разкрити лични данни е важно да знаете, че не е необходимо да предприемате извънредни действия.

Не се налага да сменяте документите си за самоличност.

Няма непосредствен риск някой да се разпореди с имуществото Ви или да поеме задължения от Ваше име, заради неправомерно разпространените данни. Това потвърдиха от Нотариалната камара, банките, дружествата за бързи кредити и лизинг и Агенцията по вписванията.

Съветваме Ви да бъдете предпазливи, когато някой контактува с Вас по телефон или имейл и да не давате на никого финансова информация.

За допълнителна сигурност можете да смените паролата на електронната си поща и ПИК кода от НАП.

Какви конкретни данни за мен са разпространени?

Важно е да се знае, че неправомерно разпространените данни са частични и не позволяват някой да се ориентира в цялостното Ви имуществено състояние.

В момента съпоставяме незаконно разпространената данъчно-осигурителна информация с тази в реалните си бази данни, за да се проверим дали няма дописване или манипулация на публикуваните данни.

Когато приключим със съпоставката ще можем да предоставим и информация за конкретния тип данни, които са били разпространени.

Междувременно в изявление на прокурор Гешев, стана ясно, че върху компютрите на фирмата, обвинена за пробива в НАП, са намерени и 500 000 пощи, заедно с техните пароли на българска услуга  за електронна поща. Това ни подтикна да споделим какво казва по случая  Божидар Божанов. Той е сред известните български компютърни специалисти, основател и ръководител на LogSentinel. Работил е като съветник към Министерския съвет по въпросите на електронното правителство. Коментарът е от профила му във „Фейсбук“:

Това също е много сериозно. – половин милион пощи и техните пароли. Ако това е така, TAD Group са нагазили дълбоко.

Електронната поща е ключът към почти всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, навсякъде. „Забравена парола“ разчита на имейла.

Няколко съвета:

– ако имате поща в български доставчик, сменете си паролата

– не ползвайте лична поща, различна от Gmail или Protonmail. Съжалявам, не съм фен на Google, но там поне сигурността не е под въпрос. Proton също е доста добра опция

– използвяйте двуфакторна автентикация навсякъде, където може. Самата поща, социални мрежи, платежни оператори, мобилни оператори. Така дори някой да ви разбере паролата, сте защитени

– към програмистите: ако ползвате нещо различно от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, приложен много пъти), сменете професията. Годината е 2019, да не знаеш как се пазят пароли е равносилно на това, да не знаеш какво е for-цикъл.

– към хакнатия доставчик: вече трябваше да сте уведомили потребителите и да сте ги накарали да си сменят паролите.

Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо. Най-малкото за това си сменете не просто паролата, а доставчика.

И не на последно място, едно уточнение – това, че критикувам прокуратурата не значи, че защитавам престъпниците. Те са такива само след присъда, разбира се, но не бих защитавал някого, който хаква мейли и си трае, вероятно с цел да ги ползва за свои цели.

Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните съвети остават в сила.

Държавата все още няма канал, по който да си говори с всички граждани електронно. И няма начин да ги идентифицира онлайн. Ако всички граждани имаха електронна идентичност (дали в лична карта или другаде), сега проверката щеше да е тривиална – идентифицираш се и проверяваш.

Не само това – нямаше да се налага да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 г. предложихме т.нар. държавен имейл, който да е relay email, така че държавата да знае, че като прати мейл на <егн>@egov.bg, той ще достигне до получателя (ако съответният си го е настроил, за което се иска пак eID).
Няма нужда да напомням, че проектът за eID се бави вече трета година в МВР и хич не му се види не само края, ами и началото. Поуката е, че като не се вземат правилните политически решения навреме, после неоптималните технически решения са неизбежни.

Междувременно Националната агенция по приходите обяви телефонни номера, на които може да се получи информация за изтекли лични данни след хакерската атака.

Те са насочени предимно към българите в чужбина, които не могат да ползват пусната по-рано през седмицата възможност за справка със SMS. Номерът е (+359/2) 9859 6801.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
13 Коментара
стари
нови оценка
Отзиви
Всички коментари