Вашият сигнал Връзка с Флагман
Управител:
Веселин Василев, email: v.vasilev@flagman.bg

Главен редактор:
Катя Касабова, email: k.kassabova@flagman.bg

Коментарите под статиите се въвеждат от читателите и редакцията не носи отговорност за тях! Ако откриете обиден за вас коментар, моля сигнализирайте ни!

Как приложението за проверка дали сте „хакнат“ може да се окаже еднакво опасно със самия НАПлийкс

"Приложението" всъщност е уебсайт, как стотици хиляди му се доверяват след като Агенцията доказа, че не може да гарантира сигурността на личните данни е мистерия
Ключови думи: нап, приложение, лични данни, новини

Броени дни след най-голямата хакерска атака в България, извадила на яве личните данни на над 5 млн. граждани, изглежда българинът вече отново е готов да повярва в адекватността на инситутициите – и в часност IT отдела на НАП. Новото „приложение“, ако то изобщо може да се нарече така, с което всеки може да провери дали е изтекла неговата информация или не, вече бе ползвано от огромен брой хора след като бе пуснато вчера следобед. Хиляди побързаха да се похвалят във Фейсбук с резултатите си – дали ИМА или НЯМА изтекли данни.

Но как работи приложението и защо то може да се окаже също толкова уязвимо на атаки, колкото очевидно бяха и базите от данни на Агенцията?

На първо място то не е „приложение“ в смисъла, в който повечето хора разбират тази дума. На практика проверката се извършва през отделен сайт, създаден за няколко дни от, вероятно IT отделът на НАП (защото ако се окаже, че го е правила частна фирма, то е било без обществена поръчка, което би усложнило цялата ситуация неимоверно). Сайтът изисква от потребителите да въведат своето ЕГН и телефонен номер. Второто е необходимо, за да ви бъде издаден уникален четирицифрен код (спорно уникален при все, че броят на българи, чийто данни са изтекли, е 7-цифрено число), който се използва като двуфакторна идентификация. Този код отговаря на определени параметри (например ЕГН-то ви) в изтеклата база от данни, който сравнява за съвпадения и изпраща бинарен отговор – ИМА или НЯМА – под формата на СМС.

До тук всичко е добре на теория.

Въпреки, че „приложението“ използва сигурния https протокол, е спорно до каква степен самото то е сигурно. Все пак всяка информация, въведена в интернет, подлежи на атаки по един или друг начин. На хартия, въвеждането на телефонен номер и издаването на специален четирицифрен ключ, който да „отключва“ информацията от изтеклата база данни, е добра идея. На практика обаче се оказва не толкова добра.

Както стана ясно, хиляди потребители на Фейсбук, лекоми

Българинът се довери на НАП и публикува личните си данни... във Фейсбук

слено публикуваха скрийншотове на СМС-а, който са получили като обратен отговор от НАП, без да се замислят, че в него се съдържа въпросният ключ. А той – като всичко останало в интернет, може да бъде обратно трасиран по няколко начина до оригиналната информация – в случая ЕГН и телефонен номер.

Като прибавим факта, че Фейсбук изисква да използвате двете си имена и желателно ваша автентична снимка, се получава взривоопасна комбинация, която потенциално може да доведе до още изтичане на личните данни -дори на тези, които не са засегнати от хакерската атака.

Няколко реда за самата хакерска атака също са необходими – по всяка вероятност тя представлява „фишинг атака“. Казано просто – изпратен злонамерен файл, който при отваряне от някой, предоставя достъп до информация на даден компютър. Това може да се случи и вероятно се е случило през e-mail адрес от някой служител на НАП, който не е преценил опасностите. 

Но да се върнем на „приложението“. Имаше ли по-лесен и най-важното по-безопасен начин, то да се изпълни? По-скоро да. Така или иначе данните са изтекли. Вместо да се използва двуфакторна аутентикация на данните през личния ви телефон, можеше просто да се работи на базата на съвпадения. Изтеклата база от данни се публикува криптирана на сайт и всеки потребител въвежда ЕГН-то си – то служи като парола за достъп, чрез която може да види за себе си дали са изтекли само неговите или нейните данни. Разбира се това би довело до възможност отделен потребител да провери и личните данни на хора, на които знае единния граждански номер – но тези данни така или иначе са изтекли и могат свободно да бъдат намерени в архивен файл, който циркулира из интернет пространството и без друго.


И така от чисто любопитство и може би известна доза неразбиране, стотици хиляди българи се довериха във възможностите на една държавна институция, която буквално преди дни доказа, че не може адекватно да се справя със сигурността на личните данни. Довериха се и дори споделиха доверието си към нея във Фейсбук – огромна корпорация, която всъщност има интерес да знае всеки малък детайл за вас, за да ви таргетира с по-сортирани откъм вашите интереси и финансови възможности реклами.

А щом ние можем да се сетим как да стане това, то значи със сигурност има хакери, които са се сетили по-рано.
 

11
Коментара по темата
11.
Зип файл
14.08.2019 14:16:10
Много моля, ако някой има файла, да ми пише. Опитвам се да си върна едни откраднати от мен пари...
10.
,,,
10.08.2019 20:16:45
Който е писал статията е много прост...
9.
TheXfile
29.07.2019 21:57:25
Линкът с файла, от отдавна не е активен, някой ако сподели нов, ще сме радостни! Благодаря!
8.
uniklani sa
26.07.2019 16:09:04
Нарекоха го ПРИЛОЖЕНИЕ и вече го пуснахме в google play :). Благодарим и целувки.
7.
?
26.07.2019 15:16:35
И как разбрахте, че 4-те цифри са ключ или индентификатор? Просто 4 цифри, можеха да са 4 букви примерно - по заявка ABCD или WQAS има или няма данни.

А как като знаете 4-те цифри и името ми, ще откриете някаква информация? Виждате ми името и 5524 във Фейсбук как ще разберете информация за мен, както твърдите в статията?

ПП: И вземете вече да си оправите т.нар. "Защитен код" при пускането на коментар. Не е логично да пишеш коментар на кирилица и после да превключваш на латиница за да въведеш код за да го публикуваш! Можете да разкарате буквите и да оставите само цифри в този защитен код - така няма да се налага да се превключва кирилица-латиница.
6.
kiss
26.07.2019 15:09:09
Това правителство и всички управляващи трябва моментално да си подадат оставката и да заключат парламента.Да се изкарат данните на всички управници и да им се търси отговорност.Държавата и срината заедно с населението и.
5.
//
26.07.2019 13:48:22
Кирчо е дал супер линк, благодаря. Изтрийте спейсовете, без точка след zip и се получава, но се тегли бавно
4.
NA M im UTKATA
26.07.2019 12:48:35
дай друг линк Кирчооо
3.
*********
26.07.2019 12:23:10
Коментарът беше изтрит от модераторите, тъй като съдържаше обидни квалификации към Флагман.бг или членове на редакционния екип.
2.
Кирчо
26.07.2019 11:55:06
anonfile.com/ K73a8dzan7/ minfin-leak .zip.
Ест с ХТТПС://
Паролата е :bulgaria
1.
//
26.07.2019 11:37:04
Къде е достъпен този архивен файл с изтеклата информация?
  Добави Коментар
Не правете секс на дивана, защото... Лекар предупреди за сериозни рискове Пазете се от токсични приятели, които могат да съсипят връзката ви Неподходящи изказвания за връзката или партньора ви е първият червен флаг
4-те зодии, които имат ангелски души Ето кои са те  Тези вкусни лодки с месо ще ви станат любимо ястие Всеки знае рецептата
Банята изглежда мръсна и небрежна: премахнете тези неща от нея Вижте кои са те и подрете банята си  Иска да се върне при бившия си Русата Златка опитвала да затопли отношенията си с Благо Джизъса
Вместо 13 заплата у нас много работодатели са раздали за празниците бонуси, тематични подаръци и коледни партита Финaнсoвите кoледни бoнуси сa в гoлям диaпaзoн в зaвисимoст oт зaемaнaтa длъжнoст и видa нa кoмпaниятa - от 200 до 750 лв.  Смесете кисело мляко, брашно и захар на равни части и направете тази сочна торта с неустоим крем Вкусът е впечатляващ, презентацията - още повече
Методът 3-6-9 издава има и бъдеще връзката ви Три стъпки тестват колко здрави са любовните ви отношения... Закупуването на жилище става все по-трудно с тези промени в закона Строителите ще калкулират в цената на имота новия данък, обясни адвокат
Хвали се, че навремето е скъсвал Преслава от се*с Петя, както е истинско й име,  първо бе танцьорка във видеоклиповете на Милко Калайджиев, а след това той я превърна в Преслава, която познаваме днес  Започна скоростен ремонт на ГКПП "Кулата" заради Шенген Целта е с разширение да се направят по две пътни ленти във всяка посока преди пункта