НАПЛийкс – 450.372 имейл адреса на частни лица и фирми са компрометирани

НАПЛийкс – Изтеклите данни останали в сянката на скандала

Критичността на изтеклите от НАП лични и данъчно–осигурителни данни на физически лица и фирми е неоспорима. Редица данни с критично значение за кибернетичната сигурност на потърпевшите български и чуждестранни физически лица, фирми, както и на служителите на НАП и използваните от НАП информационни системи, останаха извън фокуса на медиите. Тук можете да научите повече относно изтеклите от НАП данни, които застрашават вашата дигитална идентичност и финансово състояние.

НАПЛийкс – изтеклите данни, за които никой не говори

Критичността на изтеклите от НАП лични и данъчно–осигурителни данни на физически лица и фирми е неоспорима. Официалното становище на НАП, както и редица публикации в пресата предоставиха много добро описание на типа на изтеклите данните, които директо се свързват с неприкосновенноста на личната информация. Въпреки това редица данни с критично значение за кибернетичната сигурност на потърпевшите български и чуждестранни физически лица, фирми, както и на служителите на НАП и използваните от НАП информационни системи, останаха извън фокуса на медиите. Тук можете да научите повече относно изтеклите от НАП данни, които застрашават вашата дигитална идентичност и финансово състояние.

Личните и данъчно–осигурителни данни на цялото активно българско население бяха компрометирани с изтеклите от НАП данни

В рамките на направения от BULIDSEC експертен анализ бе установено, че изтеклите от НАП данни съдържат личните и данъчно–осигурителните данни на повече от 5 милиона българи. Наред с техните имена, единни граждански номера, номера на паспорти, адреси и финансово състояние бяха компрометирани финансовите данни на редица български и чуждестранни фирми.

Количеството и качеството на данните позволяват от тях да бъде извлечена информация относно трудови и бизнес взаимоотношения от една страна между засегнатите лица и фирми, а от друга между самите фирми. С други думи, наред с изтеклата лична и финансова информация, течът съдържа конкретна и коствена информация за лица, техните длъжности, работодатели и дали съответните лица носят финансова отговорност (например лица, които имат правота да извършват разплащания от името на фирмите).

За съжаление такъв тип информация, би могла лесно да бъде използвана за ред финансови престъпления, телефонни измами, заплахи, изнудвания и рекет.

450.372 лични и фирмени имейл адреса се съдържат в изтеклите от НАП данни

Изтеклите от НАП данни съдържат 450.372 лични и фирмени имейл адреса, с които лесно, анонимно и без специални ИТ познания могат да бъдат извършени дигитални престъпления, базирани на:

Критичността на положението се засилва от факта, че изтеклите от НАП данни съдържат частична информация за електронните подписи на лица и фирми, които са подавали данъчни декларации по електронен път. Наличието на такъв вид информация, предоставя огромни възможности за кибер престъпниците да извършат дори извънредно целенасочени и комплексни кибер атаки срещу потърпевшите лица и фирми.

9.905 имейл адреса на служители на НАП са компрометирани

Наред с изтеклите данни на частни лица и фирми, течът на данни от НАП съдържа подробна информация за 9.905 слижители на Националната Агенция по Приходите. Тази информация включва техните имена, служебна позиция, отдел, адрес, телефон и имейл. В голяма част от случаите дори тяхното потребителско име (Username) и парола (под формата на неподправен хеш – unsolted hash) за достъп до информационните системи на службата. Пароли, които се съхраняват под формата на неподправен хеш, много лесно и бързо могат да бъдат декодирани (в plain text).

Много обезпокоително е, че част от изтеклата от НАП информация, съдържа потребителски имена и некриптирани пароли на служители за вътрешни подсистеми на НАП, които не отговарят на елементарни стандарти за дефиниране на сигурни пароли. С други думи, изтеклите от НАП данни, показват сериозни дефицити по отношение на кибер сигурността при някои от информационните системи в НАП. Това впечатление се засилва от наличието на потребителски имена и пароли на фирми извършвали софтуерни услуги за НАП, които би трябвало да бъда изтрити веднага след като поръчката им е била приключена.

Така необходимото доверие при електроннен вид комуникация е срутено

Така необходимото доверие при финансова, даннъчна и бизнес електронна комуникация между НАП и частните лица, НАП и бизнеса както и между самите представители на бизнеса е срутена. Неправомерно изтеклата от НАП информация може прекалено лесно да бъде използвана от кибер престъпници за извършването на редица финансови и други престъпления.

Контролирайте дали имейл адреса ви е част от изтеклите от НАП данни!

BULIDSEC ежедневно анализира изтичания на данни в межународен мащаб с цел предотвратяване кражби и злоупотреби с дигитални идентите. Само от началото на 2019 експертния екип на BULIDSEC е идентифицирал с помоща на иновативна комбинация от алгоритми за изкуствен интелект и машинно обучение повече от 458 милиона компрометирани имейл базирани акаунта. За да можете постоянно да контролирате дали вашите имейл адреси са част от изтеклите от НАП данни, както и други минали и бъдещи национални и международни течове на данни, използвайте BULIDSEC Email Identity Guard.