През изминалата седмица на 15 юли, определени медии в България получиха част от базата с данни на Националната агенция по приходите (НАП). Те се оказаха автентични и съдържат разнообразна лична информация за над 5 млн. българи, събирана от данъчната институция в продължение на десетина години. Изтичането е вследствие на пробив в системата на НАП, като за извършител първоначално се посочи „руски хакер“, а впоследствие беше обвинен, задържан, но и освободен младия специалист Кристиян Бойков.
Теоретично, мащабите на теча показват, че е възможно всеки пълнолетен гражданин в страната да е засегнат. Реално има шанс и да не сте сред тях или поне данните, които да са излезли от НАП да не са толкова големи и критични. Причините са няколко – в списъците фигурират и доста починали вече хора. Самата информация е само фрагмент от базата на НАП, като не са изтекли само, да речем данъчните декларации, а по малко от различни документи и списъци на агенцията. Което означава, че данните, които има за потребителите варират значително. При някои това е само ЕГН и две имена, при други може да включва номер на лична карта, имотна партида и тн.
Линкове с уловки
Любопитството да разберем каква точно информация за нас циркулира в глобалната мрежа е голямо и разбираемо, за да знаем дали трябва да се вземат мерки или не. Покрай това се появиха два линка – единият е към файла със самата изтекла база, а другият е към онлайн търсачка, в която въвеждате ЕГН-то си и разбирате дали фигурирате в нея.
Не препоръчваме да ги ползвате, поради няколко причини. Вторият линк, може да е phishing, с който се примамват потребителите да въвеждат свои данни, които после да се ползват от недоброжелатели. ЕГН-та като информация не са толкова трудни са събиране, но все пак, е по-добре да не го въвеждате по този начин.
Не отваряйте съмнителни линкове за проверка с директно въвеждане на ЕГН
Първият линк със самата база, може да ви излъже да инсталирате зловредо приложение, уж, за да можете да свалите файла. Отделно, дори да искате да разгледате пълната информация, за обикновения потребител тя ще се окаже предизвикателство. Данните са CSV файлове, които трябва да се експортват или в Excel или в друга подобна програма. Голяма част от информацията е неструктуриран вид и/или непълен вид. В някои файлове може да имате само потребители с входящи номера, за които ви трябва списък за да разберете кой кой е. В други – има листове с имена и ЕГН-та и определени стойности, които зависят от типа на файла.
С няколко думи, нито един от линковете няма да е полезен, а напротив – дори може да е вреден за потребителите.
Официалната проверка
НАП обещаха да разработят приложение, от което да се направи справка дали сте сред засегнатите.
Обновена на 25 юли: НАП пуснаха страница, на която може да се разбере дали ваши данни са сред източените бази на приходната агенция. В справката обаче само се казва дали има такива, но не и точния им тип. Тя изисква и предоставянето на телефонен номер. Проверка чрез НАП – ТУК.
Агенцията също така даде малко повече информация, какво да правим, ако сме сред засегнатите потребители. За момента, мерките не включват смяна на личните карти, а на ПИК, ако ползваме онлайн услугите на НАП.
Сайтът за разследваща журналистика bivol.bg беше подготвил по-сигурен метод от останалите места онлайн, но все пак неофициален, с който да проверите дали фигурирате в изтеклата база с данни и поне приблизително да разберете, каква информация съдържа тя.
Ден след пускането на търсачката на НАП, от „Биволь“ спряха достъпа до своята по-прецизна справка. Страницата им вече препраща към тази с идентичната услуга на приходната агенция.
Методът за търсене беше по-сложен при „Биволь“, като се изискваше криптиране на ЕГН-то. Така се осигуряваше почти 100% анонимност, освен ако вашият компютър не е вече заразен. На подобен принцип работят токените за онлайн и мобилното банкиране.
Търсачката на „Биволь“ в изтеклата база данни предоставяше по-пълна информация, за това в какви точно документи и таблици фигурира ваша инфорамция. Но не и конкретните данни, като например точните имена или адреси. Това се правеше, без да се показва конкретната информация, така да не може да се злоупотреби с личния номер на чужд човек.
От друга страна приложението на НАП крие своите рискове, тъй като ЕГН-та се въвеждат свободно без допълнително криптиране. Добавя се единствено телефон, на който се получава кратка информация със SMS дали фигурирате в изтеклата база или не.