20-годишният "бял хакер" Кристиян Бойков от Пловдив е арестуван като основен заподозрян за кражбата на защитени данни на близо пет милиона души от системата на Националната агенция по приходите (НАП). Премиерът Бойко Борисов описа младежа като "уникален мозък", "над световно ниво", но разследващите съобщават, че "хакерът" е бил хванат, защото е оставил следи в системата на приходната агенция.
Най-интересният щрих е, че Бoйков е обучавал на киберсигурност служителите на ГДБОП, а сега точно ГДБОП е на първа линия в разкритията за проникването в НАП, довело до най-мащабното изтичане на информация от българска институция. През последните два дни се тиражираха версии за хакерска атака от чужбина и "руска следа", които вече изглеждат дискредитирани.
Пред Mediapool източници от разследването обясняват, че следите, оставени от Бойков в системата на НАП, са открити и в устройствата в дома му. Адвокатите твърдят, че срещу момчето няма никакви доказателства.
Прокуратурата обвини Кристиян Бойков за неправомерен достъп до компютърна система, която е част от критичната инфраструктура на държавата. Ако обвинението бъде доказано пред съда, "хакерът" може да получи до 8 години затвор. Разследващите все още не разполагат с цялата картина по случая, включително нямат информация колко време е продължило незаконното източване на данни от НАП и дали заподозреният е действал сам.
За втори път в новините
В сряда излязоха множество любопитни подробности около Кристиян Бойков. Преди две години той е успял да проникне "с няколко клика" в базата данни на Министерството на образованието и науката (МОН). Той първо е сигнализирал министерството, но никой не му е отговорил. После се е свързал с "Господари на ефира". Едва тогава държавата му е обърнала внимание.
След репортажа Кристиян Бойков получава оферта от глобалната компания за киберсигурност "ТАД груп", която има офис в София. Към момента на ареста Бойков е служител във фирмата. Той работи като "бял" или "етичен" хакер. Неговата задача е да проверява уязвимостта на информационните системи на държавни служби и частни компании.
Сега Кристиян Бойков за втори път попада в новините. Адвокатите му казват, че той е водел курсовете по киберсигурност на служителите на ГДБОП. Арестът на заподозряния е извършен именно от ГДБОП.
Разследването е стартирало след спешни мероприятия на отдел "Киберпрестъпност" в ГДБОП, подпомогнати от експерти на държавната фирма "Информационно обслужване". Така е установено, че данните на гражданите, които бяха разпратени до медиите пред два дни, са събрани чрез информационната система VAT REFUND, използвана от НАП. Тази система се ползва за подаване на заявки за връщане на ДДС от чужбина.
"ТАД груп": Кристиян е етичен хакер
"Кристиян е наш служител от 2017 г. на позиция "Експерт Киберсигурност“. Като част от компанията, Кристиян винаги се е отнасял с етичност, професионалност и лоялност, както към работните си ангажименти, в това число и към нашите клиенти, така и към целия екип", се казва в съобщението на компанията. "ТАД груп" допълва, че всички служители минават през обучение по етично хакерство.
"Кристиян е човекът, който открива следи, но не оставя следи", коментираха адвокатите на Бойков. Версията на защитата е, че "белият хакер" може да е натопен със сигнал до ГДБОП от конкурентна фирма.
Бял хакер, черен хакер
Шефът на отдел "Киберсигурност" в ГДБОП Явор Колев обясни в сряда, че направените експертизи са показали, че има вероятност арестуваният да е съпричастен към пробива в системата на НАП. 20-годишният младеж няма криминално досие.
Разследващите са стигнали до него по един от файловете, изпратени до медиите. В него е имало данни, идентифициращи конкретна компютърна конфигурация, уникално потребителско име, дата, час и софтуерно приложение.
В резултат на оперативно-издирвателни и компютърно-разузнавателни действия е установено, че потребителското име се ползва от младежа. Той е задържан на работното си място в София, но доказателства разследващите са открили и на адресите му тук и в Пловдив.
Иззети са компютърни конфигурации, харддискове, флаш памет и 2 мобилни телефона. Назначени са технически и компютърни експертизи и се разпитват свидетели, предаде БНР.
48 часа след като с имейли до определени медии Бойков съобщи, че разполага с личните данни на близо 5 млн. български и чужди граждани, именно по имейл разследващите стигат до него – по уникалното му потребителско име.
Обвинението му е по текст от Наказателния кодекс, свързан с неправомерно придобиване и разпространяване на компютърни данни, тъй като става дума за атака срещу информационната система, която е част от критичната инфраструктура.
До момента адвокатите на заподозрения - Любен Казанджиев и Георги Стефанов казват, че не са получили доказателства срещу него.
Кристиян Бойков има необходимите умения да прикрива следите си в Интернет и ако е извършил хакерска атака, службите няма как да го засекат, твърдят те.
Явор Колев уточни, че Бойков е задържан във вторник следобед.
"Бяха иззети множество компютърни устройства, чийто експертиза продължава в момента. Тя е съвсем първоначална, тъй като всичко е криптирано, но се съдържат данни, сочещи неговата съпричастност към извършването на това деяние", коментира Колев пред БНР.
"На този етап не можем да говорим с абсолютна точност (за евентуални съучастници - б.р.), тъй като разследването е в съвсем начална фаза и предстои много работа, така че ще се изясни цялостната картина", допълни той.
Явор Колев уточни, че фирмата, в която работи заподозреният, няма никакво отношение към предполагаемото престъпление. Той извършвал тестове на компютърни системи и мрежи за уязвимост: "Но при него има едно размиване между т.нар. бяло и черно хакерство".
"Работи се по всички версии, нищо не е отпаднало", каза още началникът на отдел "Киберпрестъпност".
Нищо не е сигурно
Засега няма достоверно потвърждение за обхвата на откраднатите от финансовото министерство данни. По данни на финансовото министерство са източени близо 3% от информационния масив на агенцията, но в тези 3% са личните данни на почти всички работещи българи. Самата атака е била извършена преди повече от месец, но тогава никой не е разбрал за пробива.
В понеделник до медиите беше изпратен имейл руски сървър, в който анонимни хакери съобщават, че са откраднали поверителна данъчна и осигурителна информация на около пет милиона граждани. След това бе изпратен втори мейл, в който анонимен подател твърди, че той е хакерът и че е руски гражданин женен за българка, което засега не се потвърждава.
Към момента не е напълно сигурно дали Кристиян Бойков е извършителят, нито пък и дали е имал съучастници. Не е ясно той ли е авторът на двете отделни писма до медиите – едното, с което бяха разпространени откраднатите данни от НАП с предупреждение "Правителството ви е бавноразвиващо се. Киберсигурността ви е пародийна", и второто – изпратено до Нова тв, в което хакерът се представя за руски гражданин.
Съществува и риск от изтичане на още данни, тъй като първоначалният мейл твърдеше, че разпратените близо 11 GB данни са едва около половината от източеното от НАП. Във второто послание от "руския" хакер имаше закана, че ако властите покрият истината, той ще пусне общия обем от 21 GB данни.
Филмът не е съветски, а български
Поръчителите на хакерската атака срещу НАП са българи, каза в сряда говорителят на агенцията Росен Бъчваров. Преди ден вътрешният министър Младен Маринов направи връзка между "руската" следа и покупката на американски изтребители F-16 за българската армия.
"Има доста основателни подозрения, че второто писмо (на хакера), в което се твърди, че авторът е руснак, не е от истинския извършител на атаката", казва говорителят на НАП. Той обясни, че разследването продължава и службите засега са потвърдили само факта за външния неоторизиран достъп до сървърите на НАП.
"Не изключваме опция вътрешен човек да е помогнал на хакера, но по всичко личи и всички доказателства до момента сочат външна намеса", каза Росен Бъчваров пред бТВ. В отговор на въпрос дали базата данни на НАП е добре защитена, той отговори, че това сега е първи приоритет на държавата.
"При създаването си през 2012 г. системата е създадена с отлична защита. През 2015 г. системата е модифицирана, за да се връчват определени документи, в резултат от което тя е станала уязвима, и това е пропуск на звеното, което се занимава с IT развойна дейност и с информационната сигурност", каза Росен Бъчваров. Той обясни, че в този момент не е възможно да се източват данни, защото пробивът е затворен, когато властите са разбрали са кражбата на данни.
Възможен шантаж
Оповестените данни от системата на НАП са данъчни декларации, в които са описани доходите на широка група български граждани, включително и на политици.
"Декларациите не са подредени по име или социален статус, информацията се връща назад повече от десет години, но все пак няма как да се проследят доходите на един човек за десет години назад, защото информацията е частична", каза Бъчваров. Той не изключва възможността информацията да се използва за шантажиране на хора.
"Всички последици от оповестяването на тази информация са възможни", призна говорителят на НАП. "Лошото е, че в данъчните декларации на физическите лица са видни ЕГН-та, данни за доходи и други лични данни, са достъпни в момента", допълни той.
В сряда НАП ще има среща с Комисията за лични данни, за да се види кой и как да понесе отговорността за изтичането на данни и как да се постъпи с хората, чиито данни са били оповестени.
Премиерът Бойко Борисов междувременно поиска младежи като задържания хакер да бъдат привлечени да работят за службите. В коментар по темата Борисов определи 20-годишния младеж като уникален.
Ключови думи
За честна и независима журналистика
Ще се радваме, ако ни подкрепите, за да може и занапред да разчитате на независима, професионална и честна информационно - аналитична медия.
74 коментара
Екипът на Mediapool Ви уведомява, че администраторите на форума ще премахват всички мнения, съдържащи нецензурни квалификации, обиди на расова, етническа или верска основа.
Редакцията не носи отговорност за мненията, качени в Mediapool.bg от потребителите.
Коментирането под статии изисква потребителят да спазва правилата за участие във форумите на Mediapool.bg
Прочетете нашите правила за участие във форумите.
За да коментирате, трябва да влезете в профила си. Ако нямате профил, можете да се регистрирате.
има едно голЕЕЕмо неудобство в тезата на обвинението ;-) - хакването (за което имало доказателства на компютрите на арестувания) е правено под Уиндоус, а арестуваният на всичките си компютри е работил под Линукс ;-)
Това се казва да надминеш учителя си!
Май се очертава МВР и службите пак да се поа...кат. Удобният виновен. Като толкова ги бива да хващат за 24 часа киберпресъпници защо ги няма никакви в пазенето на данните. Защо не намерят кой е писал писмото, а нещо ЗАМЪЛЧАХА ПО НЕГОВ ПОВОД. Даже и това писмо да е нищо повече от една подигравка, каквато си е, де.
А какво ще кажете за разпространената информация, на базата на публикуваните данни, че Лиляна Павлова е получила премия за отлично изпълнена задача по европредседателството на България в размер на 3.5 млн. лева? Ето тук може да се потрудят разследващите журналисти. И ако това е така премиерът трябва да си ходи. Защото имаме поговорка "То бива бива, но вол за курбан не бива". И за тези които помнят-по живково време премиалните бяхо до 3 брутни заплати годишно.
Тази сутрин по БТВ, всичко се случи, каквото писах по-долу. 4 часа натиск да си признае с обещание, че ще го пуснат и то без адвокат. Дано да го извадят по-скоро от там, и после Страсбург. И ББ да плати лично солидната присъда, с която неминуемо ще осъди БГ, т.к. той именно внушаваше, че е виновен.
№65Както разбрахме тази сутрин от адвокатите му и неговия работодател, ситуацията е даже още по прозаична: - log файлът, въз основа на който е изградено обвинението, е написан на кирилица и е създаден чрез операционна система Windows, докато всичко останало е под Linux. Коментарите--даже и за тези които нямат никаква представа от операционни системи--са излишни. Ново издание на казуса \"Иванчева\" в още по бездарно изпълнение.
Тъй като дълги години съм се занимавал с информационна сигурност, ще ви кажа само едно: отговорностите за сигурността на информацията във всяка организация се простира ДО ВИСШЕТО РЪКОВОДСТВО. Така че шефовете на НАП да не се правят на божи кравички и да прехвърлят вината за пробива в информационните им масиви на начинаещи специалисти. Но да сте чули някой през последните години да е поел отговорност в нещастната ни Родина? Няма и да чуете, защото сме затънали до ушите в мафиотското блато на "управляващите" ни разбойници.
Случката ми напомня за убитата русенска журналистка, дето "автентичните" изписахте безброй простотии за връзката и с "Бивол" и прочие от вашите си простотии. Сега почвате отново.
Е тя атаката пак може да е от руски домейн. Не се изисква голяма компютърна грамотност за да влезеш през домейн от където си искаш по света.
Днес видях файла. Не е възможно опитен човек способен да хакне НАП да си напише собственото име във файла още на старта, че и от дома си - ако го е направил този трябва да е най-прoстия човек в България. 100% им е трябвал виновник за да покажат бързо положителен резултат по време на кризисния PR и не са се сетили за друг тип улика. Спомнете си и случая с Иванчева - имало отпечатъци по парите - от бузите и носа и. Така действат те като има проблем не се притесняват да си създават сами доказателства. Помислете само - ако нямаше писмо до медиите дори нямаше да разберат че са хакнати толкова си разбират от работата.