Как приложението за проверка дали сте „хакнат“ може да се окаже еднакво опасно със самия НАПлийкс

"Приложението" всъщност е уебсайт, как стотици хиляди му се доверяват след като Агенцията доказа, че не може да гарантира сигурността на личните данни е мистерия

Ключови думи: нап, приложение, лични данни, новини

Броени дни след най-голямата хакерска атака в България, извадила на яве личните данни на над 5 млн. граждани, изглежда българинът вече отново е готов да повярва в адекватността на инситутициите – и в часност IT отдела на НАП. Новото „приложение“, ако то изобщо може да се нарече така, с което всеки може да провери дали е изтекла неговата информация или не, вече бе ползвано от огромен брой хора след като бе пуснато вчера следобед. Хиляди побързаха да се похвалят във Фейсбук с резултатите си – дали ИМА или НЯМА изтекли данни.

Но как работи приложението и защо то може да се окаже също толкова уязвимо на атаки, колкото очевидно бяха и базите от данни на Агенцията?

На първо място то не е „приложение“ в смисъла, в който повечето хора разбират тази дума. На практика проверката се извършва през отделен сайт, създаден за няколко дни от, вероятно IT отделът на НАП (защото ако се окаже, че го е правила частна фирма, то е било без обществена поръчка, което би усложнило цялата ситуация неимоверно). Сайтът изисква от потребителите да въведат своето ЕГН и телефонен номер. Второто е необходимо, за да ви бъде издаден уникален четирицифрен код (спорно уникален при все, че броят на българи, чийто данни са изтекли, е 7-цифрено число), който се използва като двуфакторна идентификация. Този код отговаря на определени параметри (например ЕГН-то ви) в изтеклата база от данни, който сравнява за съвпадения и изпраща бинарен отговор – ИМА или НЯМА – под формата на СМС.

До тук всичко е добре на теория.

Въпреки, че „приложението“ използва сигурния https протокол, е спорно до каква степен самото то е сигурно. Все пак всяка информация, въведена в интернет, подлежи на атаки по един или друг начин. На хартия, въвеждането на телефонен номер и издаването на специален четирицифрен ключ, който да „отключва“ информацията от изтеклата база данни, е добра идея. На практика обаче се оказва не толкова добра.

Както стана ясно, хиляди потребители на Фейсбук, лекоми

Българинът се довери на НАП и публикува личните си данни... във Фейсбук

слено публикуваха скрийншотове на СМС-а, който са получили като обратен отговор от НАП, без да се замислят, че в него се съдържа въпросният ключ. А той – като всичко останало в интернет, може да бъде обратно трасиран по няколко начина до оригиналната информация – в случая ЕГН и телефонен номер.

Като прибавим факта, че Фейсбук изисква да използвате двете си имена и желателно ваша автентична снимка, се получава взривоопасна комбинация, която потенциално може да доведе до още изтичане на личните данни -дори на тези, които не са засегнати от хакерската атака.

Няколко реда за самата хакерска атака също са необходими – по всяка вероятност тя представлява „фишинг атака“. Казано просто – изпратен злонамерен файл, който при отваряне от някой, предоставя достъп до информация на даден компютър. Това може да се случи и вероятно се е случило през e-mail адрес от някой служител на НАП, който не е преценил опасностите. 

Но да се върнем на „приложението“. Имаше ли по-лесен и най-важното по-безопасен начин, то да се изпълни? По-скоро да. Така или иначе данните са изтекли. Вместо да се използва двуфакторна аутентикация на данните през личния ви телефон, можеше просто да се работи на базата на съвпадения. Изтеклата база от данни се публикува криптирана на сайт и всеки потребител въвежда ЕГН-то си – то служи като парола за достъп, чрез която може да види за себе си дали са изтекли само неговите или нейните данни. Разбира се това би довело до възможност отделен потребител да провери и личните данни на хора, на които знае единния граждански номер – но тези данни така или иначе са изтекли и могат свободно да бъдат намерени в архивен файл, който циркулира из интернет пространството и без друго.

И така от чисто любопитство и може би известна доза неразбиране, стотици хиляди българи се довериха във възможностите на една държавна институция, която буквално преди дни доказа, че не може адекватно да се справя със сигурността на личните данни. Довериха се и дори споделиха доверието си към нея във Фейсбук – огромна корпорация, която всъщност има интерес да знае всеки малък детайл за вас, за да ви таргетира с по-сортирани откъм вашите интереси и финансови възможности реклами.

А щом ние можем да се сетим как да стане това, то значи със сигурност има хакери, които са се сетили по-рано.