Тече, всичко тече
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Тече, всичко тече

Хакерът си е направил собствена "Държавна агенция", на която предлага защита

Тече, всичко тече

Хакер-активист с прякор "Емил Кюлев" и няколко успешни атаки през 2020 г. публикува 21 GB източени от "Айкарт кредит" лични данни

Николай Стоянов, Росен Босев
16296 прочитания

Хакерът си е направил собствена "Държавна агенция", на която предлага защита

© Капитал


Темата накратко
  • В интернет форум беше качена база данни с източени от "Айкарт кредит" лични данни на над 1800 лица.
  • Хакерът, представящ се като "Емил Кюлев", вече има няколко успешни пробива в компании и държавни институции.
  • Самият той твърди, че избира мишените си селeктивно и е движен предимно от политически, а не от финансови цели.

След миналогодишния "НАПлийкс" в България сме доста претръпнали на тема изтекли лични данни. При озовалата се в доста широк кръг ръце информация за почти цялото пълнолетно население, включваща не само ЕГН-та, но и адреси, мейли, доходи, плащания по заеми, номера на коли и какво ли не, новина за хакерска атака или теч от някоя компания трудно буди сериозна тревога. Просто вече може да се каже, че практически в държавата не е останало нищо лично.

Все пак за никой мениджър не е особено приятно да научи за пробив в сигурността, защото това може да доведе до съществени регулаторни проблеми и глоби, особено след влизането в сила на GDPR. A тези случаи най-често се озовават и в медиите, което неизменно произвежда репутационни щети. В последните дни това сполетя "Айкарт" - българска финтех компания за платежни услуги и кредитни карти със 120 хил. клиенти. Случаят на пръв поглед звучи тривиално - хакер се е сдобил с част от базите им данни, поискал е откуп и като не го е получил, публикува масива от 21 GB в интернет форум.

Реално обаче историята се оказва по-заплетена. От една страна, това далеч не е първият удар на хакера, ползващ псевдоним Емил Кюлев, заимстван от името на убития преди 15 години банкер. Той от месеци насам се хвали с пробиви не само в частни компании, а и в държавни институции (прокуратура, парламент, МВР, съд, пощите и т.н.), както и вероятно е зад няколко временни превземания на сайтове. Обявява цели масиви за продан, като видимо досега ГДБОП и другите институции не се справят с установяването на самоличността му. А от друга, самият "Кюлев" твърди пред "Капитал", че избира целите си "на селективен принцип, предимно според собственика", като е воден по-скоро от политически мотив, а финансовият е на втори план. Това се загатва и от сайта му, озаглавен "Държавна агенция за дигитално спокойствие", където за контакт е даден телефонът на Бойко Борисов, а като локация е посочена вила "Секвоя", ползвана от министър-председателя.

Казусът на iCard

В случая с платежната компания доказано и признато има пробив. Става въпрос за данни на около 1800 души, като според публикация на Бюрото за разследващи репортажи и данни (BIRD) те са архивни от 2009 - 2014 г. и се отнасят до физически и юридически лица, срещу които са образувани изпълнителни производства за възстановяване на дългове към "Интеркарт кредит" (предишното име на "Айкарт кредит"). Това е различно дружество от "Айкарт", но двете са с един собственик - "Интеркепитал холдинг", и ползващи един и същ сайт. Едното е платежен оператор, а другото, както подсказва и добавката в името, е небанкова финансова институция, отпускаща заеми.

Това обяснява донякъде и дисонанса - в блога на сайта беше публикувано съобщение от изпълнителния директор на "Айкарт" Явор Петров, в което той обявява новината за изтичане на данни на техни клиенти като фалшива. Същевременно доста по-трудно откриваемо е сложен pdf файл с уведомление от "Айкарт кредит", в което се признава за пробива. Той е редактиран, като в първоначалната версия се обяснява, че на 22 ноември с тях е осъществило контакт "лице, представящо с псевдонима Kyulev, който твърди, че е присвоил личните данни на голям брой физически лица, които се явяват бивши клиенти на "Айкарт Кредит" ЕАД - клиенти с прекратени договори за кредит и кредитна карта и с непогасени задължения към дружеството". В новата версия тази част липсва, като тя е представена като становище по повод публикации в интернет от 24 ноември. Това може и да не е маловажно, тъй като при пробив в сигурността компанията като администратор на лични данни е длъжна да уведоми Комисията за защита на личните данни "без ненужно забавяне и, когато това е осъществимо, не по-късно от 72 часа след като е разбрал за нарушението". Тя твърди, че това вече е направено, като са уведомени и МВР и други компетентни институции. А също и, че не са засегнати настоящи клиенти, а са "откраднати потребителски данни за достъп до самостоятелна

вътрешноорганизационна система Argus, използвана за администриране на досиета единствено на клиенти с прекратени договори с "Айкарт Кредит" ЕАД и с непогасени задължения".

За пари или против системата

Така описан, случаят изглежда като типично изнудване, още повече че не е уникален. По подобен начин "Емил Кюлев" публикува разпечатки от своя кореспонденция и с други компании, които са отказали да заплатят това, което той нарича такса "Дигитално спокойствие". Сред тях са куриерската "Еконт" и застрахователната Generali, чийто български сайт от края на октомври не функционира и препраща към текст на сайта на централата. А след това на различни места предлага техни бази данни за покупка с bitcoin.

Същевременно в изявленията си анонимният хакер далеч не изглежда движен само идеята за лично обогатяване. Насред подигравките към ГДБОП той видимо подкрепя антиправителствените протести от лятото и сипе критики към публични фигури като Бойко Борисов, Делян Пеевски, Иван Гешев. На сайта му се предлага своеобразна застраховка срещу хакерски атаки, наречена "Дигитален щит", където изрично е подчертано, че пакетът не се предлага за фирми, членуващи в КРИБ. Обяснението на хакера, с когото "Капитал" се свърза по мейл: "Причината е, че г-н Кирил Домусчиев е селективен играч, а аз също. Скоро ще усети ефекта на един вид по-друг и непознат за него монопол."

"Емил Кюлев" често ползва и лексиката, популяризирана от Васил Божков след повдигнатите му обвинения, като говори за управляващите като за хунта и ползва знаковия му хаштаг #БъдетеЗдрави. Това логично произвежда и хипотези, че той може да е част от своеобразната хибридна война на хазартния бизнесмен, която той води от Дубай със същите Борисов, Пеевски, Гешев и Домусчиев.

"Кюлев" описва отношението си към Божков като неутрално. "За мен той е от хората, които са готови да допринесат за държавата, без да очакват нещо в замяна. Желая да отбележа, че никога не съм общувал с г-н Божков по какъвто и да е повод. Това, че работя за него, са абсолютни глупости, тиражирани от Шишеви медии", пише той, с последното явно визирайки Пеевски. Една от акциите му през юли е хакване на сайта на "Монитор" и смяна на водещата новина с послание в стил Божков.

Версията на "Емил Кюлев" е, че той целенасочено провокира Пеевски от месеци, като разказът му започва от информацията за изтекли данни на клиенти на bTV, за което медии съобщаваха през април 2020 г. Тогава като купувач на базата се явява Доброслав Русев, когото той шеговито нарича "Шишиевия хакер". "В началото на годината бе реализирана една постановка с хакерска атака върху bTV, която целеше да привлече Шишев интерес. Пръкна се г-н Русев с желанието да закупи дата базата на bTV с цел да бъде оказан последващ натиск върху тях. Вместо това просто бяха разкрити Шишевите пипала", обяснява "Кюлев". Неговата трактовка е, че по подобен начин е имало план с базите данни да бъдат рекетирани и овладени и "Еконт", и "Айкарт".

Самият "Кюлев" свързва различни кадрови промени, арести на други хакери и дори законови поправки със своята дейност. Дали това е така трудно може да се установи със сигурност, но е факт, че досега не личи органите на реда нито да проверяват неговите твърдения, нито да са успели сериозно да му се противопоставят.

Източник на "Капитал" от службите за сигурност коментира, че ГДБОП е започнала проверка по т.нар. Емил Кюлев още през юли, когато в darknet-a се появява линк към твърдени бази данни на МВР, Народното събрание и други институции. "Детска работа", коментира високопоставен служител, имащ отношение към темата. Първите активности на "Кюлев" съвпаднаха с оставката на дългогодишния директор на отдела за "Компютърни престъпления" Явор Колев, което стана причина за спекулации за причината на оставката. Източник на "Капитал" в МВР коментира, че отстраняването на Колев е част от прегрупирането във вътрешното министерство от кадри, близки до кръга на настоящия главен прокурор Иван Гешев. Отделът, който ръководи Колев, е ключов. Ключово е и колко капацитет и умения имат, за да не настане потоп от данни за всички.



Човекът зад "Айкарт"

Името, с което платежната компания се свързва от създаването ѝ, е Христо Георгиев. Той заедно с дългогодишния си бизнес партньор Свилен Савчев са движещата сила зад създадения в началото на XXI век първи небанков картов оператор в България "Транскарт", където са съдружници с "Петрол холдинг", тогава под контрола на Митко Събев и Денис Ершов. През 2008 г. обаче двата лагера излизат в открита война, която стига и до съда. "Петрол" обвинява мениджъра в лошо управление и източване, което е довело финансите му до ръба, и те нямат избор, освен да го закрият и да пренесат дейността в нова компания. А Георгиев насрещно има претенции, че "Петрол" дължи пари на негови компании.

Така след развода Георгиев стартира нов платежен оператор, тогава под името "Интеркарт финанс", което е основата на днешната "Айкарт". По собствените ѝ рекламни материали 12 години по-късно тя е с 250 служители и присъствие в над 30 държави, като предлага широка палитра платежни услуги, включително и съвременните финтех решения като дигитален портфейл. Лицензирана е от БНБ като дружество за електронни пари, пълноправен член е на големите световни картови оператори като Visa, Mastercard, Union Pay и др. За 2018 г. общо приходите ѝ надхвърлят 62 млн. лв., като за 2019 г. спадат до 51.8 млн. лв. Печалбата също се понижава от 10.4 на 8.6 млн. лв. Собственик на компанията е "Интеркепитал холдинг", под чиято шапка са и още няколко дружества, но "Айкарт" определено е ключовото. До края на миналата година акционери в него поравно са Савчев и Георгиев, но през март тази година последният продава дела си на група лица - предимно управители и дългогодишни кадри на групата.

Вероятно това решение е продиктувано от проблемите около друго бизнес начинание на Георгиев - малтийската Satabank. Тя е създадена 2014 г., но само четири години по-късно местният финансов регулатор пое контрол над нея и ѝ назначи за администратор EY. Основните обвинения са за съмнителни транзакции и пране на пари - нещо, което Георгиев отрича, като твърди, че ликвидирането на банката е резултат от целенасочена акция, за да могат малтийските банки да запазят пазарния си дял при платежните услуги. Като крайно на 30 юни ЕЦБ отне лиценза на Satabank, което би могло да е основание и за други регулатори, включително и БНБ, да отнемат лицензите на други свързани с Георгиев финансови компании.

Покрай Satabank Георгиев се забърка и в друг скандал. През пролетта четири международни правозащитни организации алармираха Съвета на Европа, че Георгиев е завел дела в Районния съд във Варна срещу малтийски блогър и изданието Times of Malta във връзка с публикации. Делата са все още висящи.

Регулаторният риск важи в по-малка степен за другата съществена компания на Георгиев - MyPOS, която е обособена в отделна група. Тя предлага малки евтини портативни ПОС терминали, удобни за малки бизнеси, чрез което успява да реализира над 50 млн. лв. приходи и 8.5 млн. лв. печалба за 2019 г. Причината е, че тя няма собствен лиценз от БНБ, а оперира като регистриран агент на "Айкарт". Все пак Христо Георгиев излиза и от управлението на българското "Майпос", макар да остава в това на собственика му - британското MyPOS World.

"След събитията със Сатабанк през 2018 г. всички български органи, включително БНБ, ДАНС, НАП, КЗП, НОИ и други, извършиха в продължение на дванадесет месеца пълна проверка на дейността и клиентите на "Айкарт" АД, както и на неговия агент "Майпос" АД. Не бяха установени никакви нарушения", се казва в становището на Георгиев по повод решението на ЕЦБ. На сайта на самото MyPOS също преди дни е публикувано кратко становище по повод спекулации в социалните мрежи, в което се заявява, че "няма никакъв пробив в сигурността на myPOS и не са изтекли никакви данни на клиенти или каквито и да е други лица".
Темата накратко
  • В интернет форум беше качена база данни с източени от "Айкарт кредит" лични данни на над 1800 лица.
  • Хакерът, представящ се като "Емил Кюлев", вече има няколко успешни пробива в компании и държавни институции.
  • Самият той твърди, че избира мишените си селeктивно и е движен предимно от политически, а не от финансови цели.

След миналогодишния "НАПлийкс" в България сме доста претръпнали на тема изтекли лични данни. При озовалата се в доста широк кръг ръце информация за почти цялото пълнолетно население, включваща не само ЕГН-та, но и адреси, мейли, доходи, плащания по заеми, номера на коли и какво ли не, новина за хакерска атака или теч от някоя компания трудно буди сериозна тревога. Просто вече може да се каже, че практически в държавата не е останало нищо лично.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

6 коментара
  • 1
    evpetra avatar :-P
    evpetra

    Пак хакнаха пръскачката!

  • 2
    bramasole avatar :-|
    bramasole

    До коментар [#1] от "evpetra":

    Припомнихте ми становище на Спецпрокуратурата, че обвинените от "ТАД груп" са пробвали да включат пръскачките пред парламента. Нелепото е, че изреклата този нон сенс прокурорка, Евгения Станкова, преди дни е била отличена с приз „Прокурор на годината“.

  • 3
    ruslan avatar :-P
    Росен Радославов

    "Тече, всичко тече" разбира се, но уви не всичко се пие.

  • 4
    evpetra avatar :-|
    evpetra

    До коментар [#2] от "Bramasole":

    Интересно, за какви постижения? Доколкото ми е известно, набеденият хакер все още е в любимата на Каскета категория "обвиняем" без обвинителен акт. Толкова бързо го разкриха, пък сега какво ...?

  • 5
    bramasole avatar :-|
    bramasole

    До коментар [#4] от "evpetra":

    Предполагам, че официалната аргументация е, че е заради делото "Сарафово":
    https://temida.tv/39684-2/

  • 6
    evpetra avatar :-|
    evpetra

    До коментар [#5] от "Bramasole":
    "Пред месец септември 2020 г. пледира по делото „Сарафово“, което приключи с осъдителни присъди за двамата извършители терористи с наказание „Доживотен затвор без замяна“. Работи и по дела за престъпления по глава Първа – „Престъпления против Републиката“, които са от изключителната компетентност на Специализирана прокуратура."

    Къде са тези терористи? Доживотен затвор, ако ги хванат. Не знам каква защита изобщо са имали в тяхно отсъствие. И това е свършила Госпожа-пръскачката. Останалото е "Работи и по дела за престъпления..." без да се уточнява дали ги е изработила. Като се има предвид как се работи в Специалната прокуратура, където прокурорите произнасят присъдите, връх на наглостта на Каскетурата е да си раздава награди. Друг е въпросът, че точно на наградите им никой не обръща внимание.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност.