Държавата с най-отворените данни в света
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Държавата с най-отворените данни в света

Shutterstock

Държавата с най-отворените данни в света

Как България неволно настигна скандинавските страни по публичност на доходите

Николай Стоянов
8595 прочитания

Shutterstock

© Shutterstock


Всяка година на 1 ноември във Финландия се чества своеобразен Национален ден на завистта. Това е датата, на която се публикува облагаемият доход на всички граждани на държавата и съответно любопитството на всички - от медии и анализатори, до съседи, годеници и бивши съпрузи, ескалира. В Швеция и Норвегия, с известни условности, има подобно ниво на откритост на данъчната информация, с традиции от десетки години.

На 15 юли България също изживя своя такъв миг, макар и неволно, без никакъв дебат и законови промени. В изтеклите данни от НАП практически има за почти всеки по нещо, макар и в доста хаотичен и труден за непосредствено разбиране и ползване формат. С известни умения за боравене с бази данни обаче е реалистично в близките няколко седмици да се появи и доста по-систематизирана картина, макар и с празни петна. Така с един хакерски замах в България вече също всеки може да види кой каква заплата взема и дори много повече. Но едва ли и най-големите защитници на отворените данни са доволни от начина, по който това се случи.

Денят на затишието

Понеделник сутрин в редакциите на вестниците обичайно времето тече бавно. Някъде преди превключването в работен ритъм и когато все още няма събития от деня и развития от предходния, има време за сравнително спокойно кафе и планьорки. Така изглеждаше и този понеделник в редакцията на "Капитал", когато малко след 10 часа се получава мейл със заглавие Ministery of Finances [BG] Data Leak (правописът е запазен).

Грешката в заглавието, както и не особено издържаният английски в текста, и приканването да се свали огромен zip файл, будят логично първоначално притеснение дали не е рисковано да се отваря. Все пак минути по-късно анонсираният от анонимния хакер масив от 57 бази данни, съдържащи данни за милиони българи, е свален на личен компютър на журналист. Отварянето на няколко произволни по-големи по размер файлове постепенно потвърждават заявката. В лийкъта се съдържа колосално количество информация, която не би трябвало да е широкодостъпна. Потвърждаването с достатъчна степен на сигурност, че става въпрос за реални данни, е бързо - няколко произволни търсения по три имена на журналисти от вестника произвеждат верни ЕГН, а също така и справки по имена на публични фигури показват данни за тях.

Преди да се продължи с проверката на данните, изпращаме въпроси към финансовото министерство за коментар. Както ден по-късно ще научим от министър Владислав Горанов, в неговото ведомство са научили за пробива и теча в този момент.

В няколкото часа, с които разполагаме, докато чакаме отговор, търсим из данните - по-скоро като кълване на кокошки, отколкото нещо методично. Подреждане на най-големите файлове, преглед за какви типове данни става въпрос, от какви институции са През цялото време очакваме информацията да се появи някъде, но цял ден никой не публикува нищо. Към 5:30 следобед имаме готов текст с лаконичен коментар от финансовото министерство, че течът вероятно е от НАП и се разследва от ДАНС и ГДБОП. В следващите часове новината вече е в телевизионните емисии, а близки и далечни познати звънят с въпроси "Има ли ме вътре" и "Дай линк!".

Разгръщането на мащаба

Данните са изпратени до десетки медии. Оттам обаче информацията бързо се разпространява и още вечерта безчетни IT специалисти и data ентусиасти търсят из тях. В добавка и в свой репортаж "ТВ Европа" пуска кадър от писмото на хакера с линка за изтегляне и паролата за файла, което прави информацията достъпна за практически всеки, пожелал да я има.

От заявката на хакера в лийка има данни за 5 млн. души. Още първите прегледи потвърждават, че броят им се измерва в милиони, а впоследствие наистина оценките през различни филтрирания на данните достигат подобни числа. Както и много други: освен първоначално забелязаните от нас данни като адреси, доходи, доброволни осигуровки, безработни и социално подпомагани лица, в рамките на часове се появиха и масово се споделяха в социалните мрежи още и данни за банкови сметки, наличности, пароли, номера на коли...

На следващия ден малко или повече и НАП потвърждава както мащаба, така и автентичността на данните. Признава се и за пробив в системата им отвън. Дадени са и основните хипотези кога и как е станало. Предположенията са, че данните са изтеглени на 29 юни, когато е засечена необичайна активност и са започнали проверки. Явно обаче казусът е подценен, защото информация за проблем не е достигнала до Министерството на финансите, а в самата НАП признават, че са осъзнали мащаба на пробива чак след публикуването на данните. Достъпът до сървър на агенцията е станал през една от електронните им услуги, която е за възстановяване на ДДС от сделки в чужбина (VATrefund). Тя е създадена през 2012 г., ползвала се е от сравнително малък брой данъкоплатци и не е обновявана, заради което се е оказала уязвима. През нея чрез SQL Injection хакерът е успял да стигне до базата данни в един от сървърите на приходната агенция, където, стреляйки на сляпо, е свалял данни (виж графиката). При тази техника в полето за име и парола се въвежда SQL код, който при липса на адекватна защита дава достъп до базата данни.

Това, което видимо липсваше в рамките на ден 2 от скандала, беше поемане на отговорност. Донякъде изненадващо в случая типичният стил на Бойко Борисов да потушава публичното възмущение с търкулнати глави този път не беше приложен. От НАП отложиха решенията за поемане на отговорност за след справянето с кризата. Финансовият министър Владислав Горанов също не демонстрира притеснения за поста си, като обясни, че след разговор с премиера Борисов от него се очаква да даде решения, а не оставка. А ден по-късно той заяви, че няма да иска и оставки в НАП, освен ако не се докаже вина. Към този момент обаче вече ситуацията беше различна - с учудваща скорост още във вторник е имало задържан заподозрян, което позволява поне донякъде да се овладее скандалът. Тотално пасивна в случая беше и прокуратурата. Главният прокурор Сотир Цацаров не се появи на заседанието на Съвета по сигурността към МС, свикано по спешност във вторник. Въпреки че не е член на този формат, ръководителят на държавното обвинение не изпуска възможност да присъства, но явно течът на данни от НАП му се е сторил по-маловажна тема.

Малко по-рано, в 12 часа във вторник, в ново писмо от различен мейл се твърди, че пробивът е наличен от години, че българските власти прикриват истината. Хакерът се описва като руснак, женен за българка и заплашва с изтичане на още данни. Арестуваният обаче не изглежда така.

Хакерът-вълшебник и лаишката грешка

Новината за задържането беше съобщена сутринта в сряда от началника на отдел "Киберпрестъпления" в ГДБОП Явор Колев, а часове по-късно стана ясна и самоличността на предполагамия хакер, който вече е и обвиняем.

Това е 20-годишният Кристиян Бойков, IT специалист, занимаващ се с тестване на системи за уязвимости, работещ в TAD Group. Това, което е отвело разследващите до него, е явно гаф поради невнимание. Сред публикуваните над 1000 файла има останал и един lock файл. Това е временен файл, който се създава от някои Office програми, когато основен файл се използва. В случая явно когато е изготвян пакетът за архивиране, който да бъде разпратен до медиите, е имало и отворен един от CSV файловете. А в lock файла се съдържат данни за името на компютъра и потребителя му "Криссс" - прякор, използван от Бойков в социални мрежи и форуми. Но също и дата от преди вероятната дата на пробива.

Това отключи на ден 3 и премиерът Борисов да заговори по темата преди заседанието на кабинета и да я обърне в бодряшки тон към позитивната й страна - качеството на образованието: "Просто уникални мозъци имаме. Много е важно да намерим начин за такива, Горанов, да има възможност да плащаме повече, за да може да ги ползват и службите, а и ние самите, за да не ни нанасят такива щети и след това да им се повдигат обвинения, а да ги привлечем да работят в полза на държавата. Просто такива вълшебници", казва той.

Работодателят и адвокатите на Бойков изказаха скептицизъм, че той е извършителят. Те видяха в повдигнатите обвинения към него и отнетата техника бизнес интереси, тъй като той е работил по големи проекти и забавянето ще доведе до неустойки. Според тях той дори е помагал и обучавал служители на ГДБОП и затова те мислели, че идват да се консултират с тях, а не да го задържат. "Обвинението е писано на коляно. Представлява три реда, в които няма точен период, в който да е извършвано това престъпление. Не знаят кога е извършено, още по-малко кой го е извършил. Няма абсолютно никакви доказателства", коментира адвоката му Любен Казанлиев.

Дали това е хакерът все още не е сигурно и ако няма признания (каквито за момента той не е направил), за пред съда ще са нужни по-сериозни доказателства от този файл. Индикация, че може би е заловен правилният човек е, че след ареста му няма нов анонимен мейл, който би бил очакван предвид подигравателния тон в предишните. Като например тези две изречения: "Правителството ви е бавно развиващо се. Състоянието на киберсигурността ви е пародийно." Не е и изпълнена заканата за теч на още данни (поне не до редакционното приключване на броя).

Източник, работещ по разследването, коментира, че полицията била "убедена", че това е извършителят. На въпрос дали доказателствата включват само въпросния lock файл, източникът ни коментира, че "тепърва ще се събират доказателства". Без категоричен отговор остана въпросът ни дали твърдението на хакера, че има още източени данни от НАП, е вярно: "Той има адски много данни. Не само от държавни институции, но от фирми. Тепърва ще установяваме кои са придобити законно, и кои - не."

Ако бъде доказана неговата съпричастност, Бойков може да получи от 5 до 8 години затвор, които едва ли си заслужават, въпреки че вървят в пакет със славата на "Човека, който проби НАП". А ако не, в следващите седмици ще продължи търсенето на хакерът превърнал България в рай на отворените данни. Или може би в ад.

Всяка година на 1 ноември във Финландия се чества своеобразен Национален ден на завистта. Това е датата, на която се публикува облагаемият доход на всички граждани на държавата и съответно любопитството на всички - от медии и анализатори, до съседи, годеници и бивши съпрузи, ескалира. В Швеция и Норвегия, с известни условности, има подобно ниво на откритост на данъчната информация, с традиции от десетки години.

На 15 юли България също изживя своя такъв миг, макар и неволно, без никакъв дебат и законови промени. В изтеклите данни от НАП практически има за почти всеки по нещо, макар и в доста хаотичен и труден за непосредствено разбиране и ползване формат. С известни умения за боравене с бази данни обаче е реалистично в близките няколко седмици да се появи и доста по-систематизирана картина, макар и с празни петна. Така с един хакерски замах в България вече също всеки може да види кой каква заплата взема и дори много повече. Но едва ли и най-големите защитници на отворените данни са доволни от начина, по който това се случи.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

5 коментара
  • 1
    drilldo avatar :-|
    Георги Георгиев

    Хора, това сайта дали е обновяван няма никакво значение при пробив с SQL Injection. 2019 г. е неописуем срам за който и да било програмист да го пробият с този метод. Срам, срам, срам!

  • 2
    xdy33610356 avatar :-|
    Тлъсто Тъпа Госпожица ГЕРБ

    Коментарът беше изтрит от модераторите, защото съдържаше рекламни съобщения или спам.

    За да видите коментара кликнете тук.

    Пълен текст на коментара:

    211 Профил на Тлъсто Тъпа Госпожица ГЕРБ
    Тлъсто Тъпа Госпожица ГЕРБ
    Рейтинг: 310
    11:05, 21 юли 19
    Неутрално

    До коментар [#43] от "extraCACA":
    До коментар [#113] от "Darth Plagueis":
    До коментар [#173] от "rincewind":
    До коментар [#137] от "Свинчуга":

    брадчетке и брадчети, мен май ми са изясни целата ралта. а тя е БАААААААТИ КИКОТА

    ТАД Груп/некое Другар-че там са се пробвали да си правят реклама, като правят антиреклама на CloudFlare... тукаверно са търкалам пу пода от кикот. Само го вижте шо за простотии са

    =====
    Истината за "хакването" на НАП е съвсем различна от официалната.

    https://www.xakep.bg/forum/topic/1869-информация-за-хакването-на-нап/
    =====

    третото мнение май беше

    ClouFlare били зад всичколллллл НЕЕЕЕ, НЕ Е ИСТИНА :D то нормално на тех да са им виновни CloudFlare, оти кат отидат некъде да си продават сепур-дупер-мега услигите им викат "сори ние сме зад CloudFlare"

    баче кви простотии са напльокале. гулеми са, ГУЛЕМИ. то не било Клаудфларе, то не било СпамНаус, то не било Информационно Обслужване :D

    и накраа си пльосват ДУКАЗАТИЛСТВУТУ, скрийншотче от трейсрутче. па ша са пувтора БАААААААТИ КИКОТА. бати селските пръчки се оказват теа

    Горната простотия обаче по никакъв начин не оневинява Горанов гробаро-депесарски и той трябва да бъде изгонен с шутове

    бтв, Матю Принс май точно за 2012 разправяше за неква атака срещу СпамХаус и как са били зад тях

  • 3
    drilldo avatar :-|
    Георги Георгиев

    И за какви гении говори Бойко? С няколко команди и малко познания по бази данни с лекота можеш да си достъпиш всички данни, които ти трябват. Важното е да имаш некадърно написан сайт.

  • 4
    xdy33610356 avatar :-|
    Тлъсто Тъпа Госпожица ГЕРБ

    [quote#2:"Тлъсто Тъпа Госпожица ГЕРБ"]бтв, Матю Принс май точно за 2012 разправяше за неква атака срещу СпамХаус и как са били зад тях [/quote]

    DEF CON 21 - Sam Bowne and Matthew Prince - Evil DoS Attacks and Strong Defenses
    https://www.youtube.com/watch?v=4BPibf6C35E&t=1145

    До коментар [#1] от "Георги Георгиев":

    "на няколко места излезе слух, че е т.нар. SQL инжекция. Това звучи правдоподобно"

    изобщо не съм съгласен, че най-вероятната хипотеза е SQLi, ама изобщо. аз първо бих се загледал как в НАП и всякакви държавни институции работят с данните ни и по какви "стандарти" и как ги подмятат насам-натам. После някакъв достъп до машина на такъв служител и така...

    само пример, съвсем груб

    ---

    ъъъ, и още нещо. се забрава да пита, теа csv-та, оти ги наричате SQL Dump?

    аз тва нящо се съм си го представял да изглежда по-инак

  • 5
    owen avatar :-|
    owen

    подзаглавието е супер


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK