Чудовищният пробив в големи масиви с лични данни и данъчно-осигурителна информация за граждани и фирми ще докара огромни главоболия, репутационни щети, а навярно и жестоки глоби на България. Освен че има изтичане на гигантски бази данни, за чиято неприкосновеност Министерството на финансите би трябвало да гарантира, става дума за застрашаване не само на националната, но и на европейската сигурност - неизвестният хакер се е добрал до лични данни на чужденци, до данъчни тайни на "небългарски" компании и дори до деликатна информация, която данъчните служби на страните от ЕС си разменят по мрежата Юрофиск, за да се борят с трансграничните ДДС измами.
Още по-притеснително е, че сред папките, към които води линкът, има "селекции" по най-различни признаци, включително и политически. Има например отделни таблици с имена по "професии" - за съдии, прокурори, лични лекари, футболисти, частни съдебни изпълнители и др. Има и файлове с данни за играчи на онлайн хазарт. Съществува и "справка" със заглавие Б.Б., има данни за правителството на тройната коалиция и т.н. Информацията е толкова обемиста, че ще отнеме време да се прегледат всички папки и файлове. А изпратеното в понеделник до някои медии, включително и до "Сега", е само половината от изтеглената информация, твърди тайнственият хакер.
Какво знаем досега?
Във вторник министър Горанов направи няколко нелепи опита да омаловажи кибертрагедията. Пробити били едва 3% от всичките тайни, които пази НАП, хакната била само една от 144 електронни услуги на приходната агенция, тайнственият враг е успял да проникне в един от сървърите на НАП, а нейните масиви и услуги се разполагали на общо 60 сървъра, мънкаше министърът пред медии и в парламента. Дори и той обаче не посмя да отрече, че това е най-големият теч на информация досега.
Засегнати са "над 5 млн. български и чуждестранни граждани, както и компании“, твърдят обаче анонимните хакери. Те призовават медиите да ровят из данните и да правят собствени разследвания на пробитите масиви - общо 21 гигабайта, от които засега са достъпни малко под 11 GB.
Информационната "атомна бомба", към която води линкът, е за различни периоди, с различен обем и обхват. Има отделни файлове гиганти, които съдържат цели масиви с лични данни. Като GRAO например, който е с цели 1.4 млн. реда с по три имена и ЕГН. Вероятно е справка от ГРАО за попълване базите данни на НАП, предполага "Капитал".
В друг файл с над 1 млн. записа срещу имената има числа, или NULL - вероятно става дума за данъчни задължения към определен момент. В трети файл с над 1.1 млн. ЕГН-та са вписани месечни доходи и вноски за доброволно пенсионно и здравно осигуряване към неизвестен момент. Явно данните са от данъчни декларации.
В друга папка с името GAMON се съдържат два списъка с няколкостотин хиляди лица. Срещу тях има идентификатор Player_ID и се посочва използван IP адрес. Данните очевидно са на хора, които залагат онлайн.
Една от папките се нарича AZ - което вероятно означава Агенция по заетостта. Друга се казва BACIS - инициалите съвпадат с една от най-важните бази данни на Агенция "Митници" - Българска акцизна централизирана информационна система, накратко БАЦИС. Има и папка NZOK - като Национална здравноосигурителна каса, AUAN (Актове за установяване на административни нарушения) и др. Има и няколко папки, съдържащи в името си съкращенията НАП и NRA (National Revenue Agency). Някои папки съдържат данни от данъчни декларации отпреди 2007 г. В други има съвсем "пресни" вписвания, направени през юни т.г.
Програмистът Боян Юруков съобщи в блога си, че някои от таблиците включват потребителски имена, пароли и още данни за работата на служители на НАП и на други държавни структури. Има и доста лични сертификати на граждани. "Ако сте работили или плащали някакъв данък в последните 10 години, то е почти сигурно, че най-малкото ЕГН-то, името, адресът и доходът ви са в базата. Данните включват плащания по заеми, номера на превозни средства, граждански договори, данни на много българи зад граница, получавали пенсии или отказали се от здравно осигуряване, IP адреси и информация дали играете хазарт", твърди Юруков. И още - има "индикации за сигнали между НАП и европейски институции и елементи от разследвания". Много IT специалисти вече успяха да намерят данни за себе си.
Атанас Чобанов, главен редактор на разследващи сайт БиволЪ, обясни, че пробивът засяга и данни, разменяни между НАП и данъчните служби на други европейски държави в Юрофиск. Юрофиск е мрежа, създадена от ЕС специално за борба с международните ДДС измами. Течът на данни от Юрофиск е огромен международен скандал, това е пробив и в европейската сигурност и България не си е свършила работата, коментира Чобанов.