Трябва ли да правим нещо след теча на данни от НАП?

Вече близо две седмици страната не спира да се тресе от скандала с изтеклите данни на повече от 4 милиона активни български граждани. След като НАП вече пуснаха страница, на която може да се провери дали ЕГН-то ви фигурира по някакъв начин в теча, много българи установиха, че наистина са засегнати

14
3245

Какво обаче да правят в този случай. Разбира се всеки решава сам за себе си дали да смени личните си документи. Ето какво публикува НАП официално на своята страница:

Ако сте направили справка и тя сочи, че за Вас има неправомерно разкрити лични данни е важно да знаете, че не е необходимо да предприемате извънредни действия.

Не се налага да сменяте документите си за самоличност.

Няма непосредствен риск някой да се разпореди с имуществото Ви или да поеме задължения от Ваше име, заради неправомерно разпространените данни. Това потвърдиха от Нотариалната камара, банките, дружествата за бързи кредити и лизинг и Агенцията по вписванията.

Съветваме Ви да бъдете предпазливи, когато някой контактува с Вас по телефон или имейл и да не давате на никого финансова информация.

За допълнителна сигурност можете да смените паролата на електронната си поща и ПИК кода от НАП.

Какви конкретни данни за мен са разпространени?

Важно е да се знае, че неправомерно разпространените данни са частични и не позволяват някой да се ориентира в цялостното Ви имуществено състояние.

В момента съпоставяме незаконно разпространената данъчно-осигурителна информация с тази в реалните си бази данни, за да се проверим дали няма дописване или манипулация на публикуваните данни.

Когато приключим със съпоставката ще можем да предоставим и информация за конкретния тип данни, които са били разпространени.

Междувременно в изявление на прокурор Гешев, стана ясно, че върху компютрите на фирмата, обвинена за пробива в НАП, са намерени и 500 000 пощи, заедно с техните пароли на българска услуга  за електронна поща. Това ни подтикна да споделим какво казва по случая  Божидар Божанов. Той е сред известните български компютърни специалисти, основател и ръководител на LogSentinel. Работил е като съветник към Министерския съвет по въпросите на електронното правителство. Коментарът е от профила му във „Фейсбук“:

Това също е много сериозно. – половин милион пощи и техните пароли. Ако това е така, TAD Group са нагазили дълбоко.

Електронната поща е ключът към почти всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, навсякъде. „Забравена парола“ разчита на имейла.

Няколко съвета:

– ако имате поща в български доставчик, сменете си паролата

– не ползвайте лична поща, различна от Gmail или Protonmail. Съжалявам, не съм фен на Google, но там поне сигурността не е под въпрос. Proton също е доста добра опция

– използвяйте двуфакторна автентикация навсякъде, където може. Самата поща, социални мрежи, платежни оператори, мобилни оператори. Така дори някой да ви разбере паролата, сте защитени

– към програмистите: ако ползвате нещо различно от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, приложен много пъти), сменете професията. Годината е 2019, да не знаеш как се пазят пароли е равносилно на това, да не знаеш какво е for-цикъл.

– към хакнатия доставчик: вече трябваше да сте уведомили потребителите и да сте ги накарали да си сменят паролите.

Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо. Най-малкото за това си сменете не просто паролата, а доставчика.

И не на последно място, едно уточнение – това, че критикувам прокуратурата не значи, че защитавам престъпниците. Те са такива само след присъда, разбира се, но не бих защитавал някого, който хаква мейли и си трае, вероятно с цел да ги ползва за свои цели.

Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните съвети остават в сила.

Държавата все още няма канал, по който да си говори с всички граждани електронно. И няма начин да ги идентифицира онлайн. Ако всички граждани имаха електронна идентичност (дали в лична карта или другаде), сега проверката щеше да е тривиална – идентифицираш се и проверяваш.

Не само това – нямаше да се налага да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 г. предложихме т.нар. държавен имейл, който да е relay email, така че държавата да знае, че като прати мейл на <егн>@egov.bg, той ще достигне до получателя (ако съответният си го е настроил, за което се иска пак eID).
Няма нужда да напомням, че проектът за eID се бави вече трета година в МВР и хич не му се види не само края, ами и началото. Поуката е, че като не се вземат правилните политически решения навреме, после неоптималните технически решения са неизбежни.

Междувременно Националната агенция по приходите обяви телефонни номера, на които може да се получи информация за изтекли лични данни след хакерската атака.

Те са насочени предимно към българите в чужбина, които не могат да ползват пусната по-рано през седмицата възможност за справка със SMS. Номерът е (+359/2) 9859 6801.

14
ДОБАВИ КОМЕНТАР

avatar
7 Коментари
7 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Ебачев
Ебачев

ВИЖТЕ КАК ОТ ГДБОП са отворили компютъра на хакера Кристиян: blitz . bg/kriminalni/prestplenie/senzatsionno-eto-kak-politsaite-proniknali-v-kompyutra-na-kiber-terorista-kristiyan_news688116 . html СМЯХ Видеозаписи от камера в престижен ресторант в столичния квартал „Изток“ са уличили 20-годишния Кристиян Бойков и колегите му от фирмата за кибер сигурност „Тад груп“. Това разкри сензационно оперативен работник от ГДБОП, ангажиран в разследването срещу хакерите, източили данните на милиони българи от системата на Националната агенция по приходите (НАП), пише Lupa . bg. За да пробият сложно криптираната с парола от 16 символа файлова система на Кристиян Хакера, ченгетата са работили неуморно, но не само над компютъра му. Оперативните работници се сетили да… Виж още »

Мирослав
Мирослав

Този който не трябва да ми знае e-mail-a, отдавна го е научил. Така, че не ми пука, че някой друг ще ми го знае. Човека се пъне по цял ден, какво да е „сеченото“.

Некъв
Некъв

Повечето уважаващи се програмисти ползват Open Source библиотеки за Identity, които хешират според стандартите. Само стажанти на държавни поръчки преоткриват топлата вода.

DragonSlayer
DragonSlayer

Абе, тази тема взе да ми идва доста жълтеникава, когато при всяко отваряне на Калдата виждам нова статия за НАПлийкс.

Добре, пускате една, две горещи статии, разбирам. Но някак очаквам от портал като този основният инфо поток да е за хардуер, софтуер, игри, технологии, космос дори. Пък то стана хептен жълта преса. Разбирам, че имате нужда да вдигате популярността и посещенията, но не съм впечатлен от начина по който го правите.

Пък не знам, може да съм само аз така.

Тралала
Тралала

Ха-ха-ха.
Да си отворя e-mail при Гугъл е все едно да дам на котка да ми пази млякото.
Двуфакторна идентификация навсякъде ли? Значи изобщо не трябва да се разделям с мобилния телефон… опааа, изгубих го… ами сега?! (нямам достъп до нищо)

Dave
Dave

На всеки на който са му изтекли данните да му се плати обезщетение в размер на 5 брутни заплати които взима в момента.

_nib_
_nib_

те тва е приказка

DragonSlayer
DragonSlayer

Чудесна идея!

Хей, а какво ще кажеш да елиминиране изцяло бедността по света и да преборим стареенето? Това също ми се струва яка идея. Защо не направим направо всички по света млади, богати и щастливи, това ще е върха направо!

И защо точно 5 заплати, това някак ми изглежда нагласено.

_nib_
_nib_

Че оня вампир Меркел го направи бе.Нали покани всичката паплач.После-айде да ги разхвърлим по квоти.Защо?Като си ги поканила-дръж си ги при тебе ма оФцъ.

нямамДуми_Излагация
нямамДуми_Излагация

Освен да съдим НАП за тази излагация и да си научат урока, защото утре може 10 годишен хлапак, играещ Minecraft и Fortnite по погрешка вместо сървър на Minecraft да зареди някой на НАП и да ги хакне.

DragonSlayer
DragonSlayer

Talk is cheap.

Антипростак и убиец на тролове (a.k.a SOROS)
Антипростак и убиец на тролове (a.k.a SOROS)

…show me the code!

dsaa
dsaa

А откъде може да се свали тая база? Едва ли на някой му дреме, че са му разбрали егн-то, въпросът е какво друго е изтекло. Тия ти връщат едни отговор – да и толкова…

Коментар
Коментар

по стар комунистически обичай – истината се крие, което би трябвало да значи, че всичката лична информация, която се съхранява в нап е изтекла егн, ном на лична карта, тел, мейл (ако има), банкова сметка. Не виждам кво пък толкова скришно има в даните за имотното състояние освен ако не сте престъпник и/или политик. Правете си нови банкови сметки, посещавайте места с постоянно видеонаблюдение известно време.