БЛОГ

НАПЛийкс – 450.372 имейл адреса на частни лица и фирми са компрометирани

НАПЛийкс – Изтеклите данни останали в сянката на скандала

Критичността на изтеклите от НАП лични и данъчно–осигурителни данни на физически лица и фирми е неоспорима. Редица данни с критично значение за кибернетичната сигурност на потърпевшите български и чуждестранни физически лица, фирми, както и на служителите на НАП и използваните от НАП информационни системи, останаха извън фокуса на медиите. Тук можете да научите повече относно изтеклите от НАП данни, които застрашават вашата дигитална идентичност и финансово състояние.

НАПЛийкс – изтеклите данни, за които никой не говори

Критичността на изтеклите от НАП лични и данъчно–осигурителни данни на физически лица и фирми е неоспорима. Официалното становище на НАП, както и редица публикации в пресата предоставиха много добро описание на типа на изтеклите данните, които директо се свързват с неприкосновенноста на личната информация. Въпреки това редица данни с критично значение за кибернетичната сигурност на потърпевшите български и чуждестранни физически лица, фирми, както и на служителите на НАП и използваните от НАП информационни системи, останаха извън фокуса на медиите. Тук можете да научите повече относно изтеклите от НАП данни, които застрашават вашата дигитална идентичност и финансово състояние.

Личните и данъчно–осигурителни данни на цялото активно българско население бяха компрометирани с изтеклите от НАП данни

В рамките на направения от BULIDSEC експертен анализ бе установено, че изтеклите от НАП данни съдържат личните и данъчно–осигурителните данни на повече от 5 милиона българи. Наред с техните имена, единни граждански номера, номера на паспорти, адреси и финансово състояние бяха компрометирани финансовите данни на редица български и чуждестранни фирми.

Количеството и качеството на данните позволяват от тях да бъде извлечена информация относно трудови и бизнес взаимоотношения от една страна между засегнатите лица и фирми, а от друга между самите фирми. С други думи, наред с изтеклата лична и финансова информация, течът съдържа конкретна и коствена информация за лица, техните длъжности, работодатели и дали съответните лица носят финансова отговорност (например лица, които имат правота да извършват разплащания от името на фирмите).

За съжаление такъв тип информация, би могла лесно да бъде използвана за ред финансови престъпления, телефонни измами, заплахи, изнудвания и рекет.

450.372 лични и фирмени имейл адреса се съдържат в изтеклите от НАП данни

Изтеклите от НАП данни съдържат 450.372 лични и фирмени имейл адреса, с които лесно, анонимно и без специални ИТ познания могат да бъдат извършени дигитални престъпления, базирани на:

Критичността на положението се засилва от факта, че изтеклите от НАП данни съдържат частична информация за електронните подписи на лица и фирми, които са подавали данъчни декларации по електронен път. Наличието на такъв вид информация, предоставя огромни възможности за кибер престъпниците да извършат дори извънредно целенасочени и комплексни кибер атаки срещу потърпевшите лица и фирми.

9.905 имейл адреса на служители на НАП са компрометирани

Наред с изтеклите данни на частни лица и фирми, течът на данни от НАП съдържа подробна информация за 9.905 слижители на Националната Агенция по Приходите. Тази информация включва техните имена, служебна позиция, отдел, адрес, телефон и имейл. В голяма част от случаите дори тяхното потребителско име (Username) и парола (под формата на неподправен хеш – unsolted hash) за достъп до информационните системи на службата. Пароли, които се съхраняват под формата на неподправен хеш, много лесно и бързо могат да бъдат декодирани (в plain text).

Много обезпокоително е, че част от изтеклата от НАП информация, съдържа потребителски имена и некриптирани пароли на служители за вътрешни подсистеми на НАП, които не отговарят на елементарни стандарти за дефиниране на сигурни пароли. С други думи, изтеклите от НАП данни, показват сериозни дефицити по отношение на кибер сигурността при някои от информационните системи в НАП. Това впечатление се засилва от наличието на потребителски имена и пароли на фирми извършвали софтуерни услуги за НАП, които би трябвало да бъда изтрити веднага след като поръчката им е била приключена.

Така необходимото доверие при електроннен вид комуникация е срутено

Така необходимото доверие при финансова, даннъчна и бизнес електронна комуникация между НАП и частните лица, НАП и бизнеса както и между самите представители на бизнеса е срутена. Неправомерно изтеклата от НАП информация може прекалено лесно да бъде използвана от кибер престъпници за извършването на редица финансови и други престъпления.

Контролирайте дали имейл адреса ви е част от изтеклите от НАП данни!

BULIDSEC ежедневно анализира изтичания на данни в межународен мащаб с цел предотвратяване кражби и злоупотреби с дигитални идентите. Само от началото на 2019 експертния екип на BULIDSEC е идентифицирал с помоща на иновативна комбинация от алгоритми за изкуствен интелект и машинно обучение повече от 458 милиона компрометирани имейл базирани акаунта. За да можете постоянно да контролирате дали вашите имейл адреси са част от изтеклите от НАП данни, както и други минали и бъдещи национални и международни течове на данни, използвайте BULIDSEC Email Identity Guard.

Изтеклите от НАП данни - анализ на възможните кибер атаки

Течът на данни в НАП – анализ на възможните кибернетични атаки

В последните дни беше изписано много относно изтеклите от НАП данни. Тъй като архивът все още може да бъде намерен и свален само с едно обикновенно търсене в Интернет, експертния екип на BULIDSEC реши да приложи дългогодишния си опит в сферата на кубер сигурността, за да анализира течът и изтеклите данни. Нека започнем с кратък разбор на събитията.

Какво се случи до сега?

На 15 Юли Нова телевизия оповести, че анонимен хакер е изпратил извадки от откраднати данни от Българската Национална Агенция по Приходите. Новината беше светкавично разпространена от водещите български медии като бе събуден интереса дори на международната преса:

След първоначалния шок от новината и съобщенията, че стартира разследване от съответните органи, бяхме свидетели на ред полемични изказвания и спекулации относно произхода на анонимния хакер, неговата/нейната/тяхната мотивация, избрания момент информацията да стане публична, както и на начина по–който информацията е била открадната. Стигна се дори до там, че след като на 17 Юли Кристиян Бойков беше заподозрян и задържан по повод изтеклите от НАП данни, а после пуснат с мярка за неотклонение – разписка, много колеги от ИТ сектора използваха случилото се за маркетинг на предлаганите от тях услуги. Наблягайки в техните експертни изказвания и блогове на типични кибернетични атаки като SQL Injection, Cross-Site-Scripting и други, много ИТ колеги се позиционираха като експерти по кибернетична сигурност оставяйки впечатлението че начина по–който данните са били източени е кристално ясен.

Анализ на възможните кибернетични атаки довели до течът на данни в НАП

Прилагайки 20 годишният си опит в сферата на кибер сигурноста и борбата с кибер престъпниците, експертният екип на BULIDSEC анализира изтеклите данни. Тъй като само през последните 2 години, нашите експерти са анализирали повече от 70.000 международни изтичания на данни, много бързо открихме ред индикатори, който опровергават някои от лансираните по медиите начини на атака.

Изтеклите от НАП данни не са вследствие от SQL Injection или Cross-Site-Scripting

Течовете на данни придобити чрез компрометиране на онлайн формуляри и уеб приложения с SQL Injection или Cross-Site-Scripting базирани атаки, съдържат извлечения от таблици от компрометираната база от данни. Особен интерест при такъв вид атаки, са таблици съдържащи информация за потребителите на системата. По този начин, хакерите целят да се сдобият с потребителски имена и пароли, които биха им осигурили достъп до части на информационната системата, които изискват по–високи права на достъп.

Въпреки, че изтеклите данни съдържат информация за потребителски имена, имейли и пароли на редови служители на НАП, както и на административни системни акаунти, използваната файлова структура е изключително нетипична за такъв тип кибернетични атаки. Наличието на папки съдържащи специализирани и конкретни извлечения за определени фирми и физически лица, папки съдържащи тестови данни (sample data), както и извлечения от системни енумерации и тяхното текстово значение екстремно намаляват вероятноста, че данните са придобити чрез SQL Injection или Cross-Site-Scripting атака.

Файловата структурата на изтеклите данни, фактът че архивът съдържа тестови данни, както и специализираните извлечения за конкретни фирми и лица, говорят за това че данните не са изтекли директно от базата данни на НАП, а че информацията е била копирана от файловата система на определен компютър, било то сървър на НАП или на някой от фирмите работещи по проекти от НАП или компютър на служител на НАП или на някоя от фирмите подизпълнители.

Най–вероятните начини, по които са изтекли данните от НАП

  1. Компютър на служител на НАП или на програмист от фирма подизпълнител е бил обновен, без да бъдат изтрити данните преди да бъде унищожен.
  2. Демотивиран служител на НАП или на фирма подизпълнител е предостави/продал данните на заинтересувано трето лице.
  3. Текстови данни са били предоставени на фирма подизпълнител за поддръжка или доразработване на софтуер като сървърът използван за обен на данните, не е бил достатъчно защитен или е бил неправилно конфигуриран.
  4. Поради небрежност, немърливост или незнание на програмист от фирма подизпълнител или системен интегратор изтеклите данни са били съхранявани на някой от сървърите на НАП, които се индексират от Интернет търсачките като по този начин данните са станали достъпни.

Извършителите на кибер престъпления рядко остават анонимни

Извършителите на кибер атаки над комплексни информационни системи рядко успяват да заличат следите си. Поради специфичноста на изтеклите данни и тяхната структура, анализът на ИТ инфраструктурата на НАП, както и на фирмите извършващи софтуерни, системни и процесуални поръчки за НАП и техните архивни (backup) системи сравнително бързо би идентифицирал източника на изтеклата информация. Поради големината и значимоста на течът, както и фактът, че мотивацията на евентуални съучастници от редиците на слижители на НАП или техни подизпълнители най-вероятно има финансов характер, евентуална проверка на тяхното финансовото състояние би ограничила значително кръга от заподозрени. Убедени сме, че разследващите органи ще използват всички възможни технически и следователски средства за установяване на пътя за изтичане на данните.

Контролирайте дали имейл адреса ви е част от изтеклите от НАП данни!

BULIDSEC ежедневно анализира изтичания на данни в межународен мащаб с цел предотвратяване кражби и злоупотреби с дигитални идентите. Само от началото на 2019, експертния екип на BULIDSEC с помоща на иновативна комбинация от алгоритми за изкуствен интелект и машинно обучение са идентифицирали повече от 458 милиона компрометирани имейл базирани акаунта. За да усъществите постоянен контрол дали вашите имейл адреси са част от изтеклите от НАП данни или от други минали и бъдещи национални и международни течове на данни, използвайте BULIDSEC Email Identity Guard.

HOW TO DEFEND YOURSELF AGAINST DIGITAL IDENTITY THEFT

Best Practice for Protecting Email Identities

How to defend yourself against digital identity theft

As ever more services are moving online, your email address is becoming the cornerstone of your digital identity. No wonder that cyber criminals have begun to target email addresses for identity theft, financial fraud and other online crimes. Make sure you know what cyber criminals are up to so you can defend yourself against digital identity theft!

Digital Identity Theft is an emerging threat

In order to make a profit of digital identities, criminals must first get ahold of them. Unfortunately, that is not a difficult feat. Online services are regularly targeted by hackers looking to extract personal data, causing headlines that describe ever larger breaches: “Hackers Stole Personal Data of 2 Million T-Mobile Customers”, “Tens of millions of hacked Gmail and Yahoo Email accounts are being sold on the dark web”, “Every single Yahoo account was hacked – 3 billion in all”, “Twitter advising all 330 million users to change passwords after bug exposed them in plain text”, “Facebook Security Breach Exposes Accounts of 50 Million Users” and even recently “Store of 770m email addresses and passwords discovered after being put on hacking site”. Worryingly, these headlines cover only those breaches that became public. A considerable number of breaches never gets media coverage: either because the organization that was hacked chooses not to publish any information about the hack – or because they didn’t even notice that a hack took place.

ТЕСТВАЙТЕ BULIDSEC EMAIL IDENTITY GUARD 7 ДНИ БЕЗПЛАТНО

The „Dark Web“ and Crypto Currencies are an attractive infrastructure for cyber criminals

Having stolen online identities, cyber criminals often turn to the “dark web” to hawk their wares. The dark web has recently gotten a lot of coverage by the media. It consists of forums, online shops and other websites that cannot be accessed as part of the regular internet. Because they are hard to find, dark web forums give cover to all kinds of activities that can not stand the light of day. The combination of such an attractive infrastructure and the development of anonymous currencies such as bitcoin has given rise to a lively market for identity data. Email accounts and other online identities are being sold at low rates  by criminals looking to make a quick profit.

We often set our priorities on comfort and not on cyber security

The risk increases by the fact that many people use the same email address and password to register accounts with multiple online services. For instance, “85% of the millennials admit to re-use credentials across sites and services”. This leads to a major problem if cyber criminals breach one of these services: a security breach at a single online service can mean that hackers immediately have access to your complete digital identity across all services.

The Digital Identity Theft defense strategy

Having your digital identity stolen can be a harrowing experience. Fortunately, there are some measures you can take to prevent identity theft and to limit its impact.

First and foremost, you should make sure that even if your online identity is breached, the associated data are of no use to cyber criminals. For example, make sure that you use a different password on every website. That way, a data leak on a single website does not lead to cyber criminals getting access to all your other online identities.

In addition to using unique passwords, you should make sure they cannot be easily guessed. “1234” and “password” are so easy to guess that even unskilled hackers can gain access to your account immediately. Instead, choose a complex password (a long password containing letters, numbers and other characters) or a passphrase (a combination of words that is easy to remember but hard to guess).

Some websites offer enhanced security measures, such as two-factor authentication using a smartphone or a security token. By enabling such features, hackers cannot login to your account, even if they manage to obtain your user name and password.

Independent Online Identity Monitoring closes the defense gap

Finally, make sure you are notified if your data are breached. BULIDSEC Email Identity Guard monitor data breaches for any signs of your online identity. That way, you can take countermeasures, such as changing your passwords or closing your accounts, before cyber criminals gain access to your accounts.

The Cost of Email Identities for Cyber Criminals

The Cost of Email Identity for cyber criminals

Putting a price on your digital identity

What do your hotel loyalty card, your online bank account and your email inbox have in common? They are all very valuable to cyber criminals! This blog post will explore the many ways in which hackers are trying to make a profit off your online accounts. Make sure you are aware of their methods, so you can defend yourself when your digital identity is under attack.

НЕ ДАВАЙТЕ ШАНС НА КИБЕР ПРЕСТЪПНИЦИТЕ

Whether you upload photos to your Facebook profile, book a hotel room online or send private emails using your webmail provider - your online identity contains both valuable memories and valuable data. The fact that cyber criminals are interested in these accounts should therefore not come as a surprise. The more sensitive data is processed online, the higher the potential profit is for criminals. For example, hacked iTunes accounts have been reported to sell for $8 a piece on underground markets - because hackers can use them to buy products and services with the associated credit card details. Similarly, McAfee reported a selling price between $0.55 and $15 for accounts for online video streaming services, which can be sold on to unscrupulous users looking for a cheap deal on video content.

Interestingly, even accounts for services that can be used at no cost represent a very real value to cyber criminals. The McAfee report quotes a selling price of $20 for hotel loyalty accounts - which are free for hotel guests that enroll into a loyalty program. Because customers can use loyalty cards to save up points for free hotel stays, they become a target for criminals who redeem the points themselves or sell them on to others. Similarly, online auction accounts, which can typically also be created for free, are popular with cyber criminals. By stealing the digital identity of a seller with positive ratings on an auction platform, they can hide their own reputation when selling fraudulent services or products.

A popular approach to stealing digital identities is phishing. When an online service becomes victim of a data breach, criminals try to extract whichever data they can. If they can get hold of customer email addresses, they often contact users directly and try to impersonate the service in order to extract more information, or even money, from the victims. For example, when criminals obtain email addresses of online banking customers, they may set up a fake online banking website. By luring customers to the fake website, they can intercept login data, which can then be used to steal funds from the account. Some data breaches contain even more data, such as user names and passwords. Cyber criminals that manage to steal such data do not even need to turn to phishing. Instead, they can directly abuse the login data and for instance reuse your identity to attack the accounts of your contacts. For customers that reused their login data on other websites, the effects can be even more damaging, as the criminals are now able to log in to their accounts across the internet.

Considering that the number of active email accounts worldwide is expected to reach 6 billion by 2019, the number of potential targets for phishing and other methods of identity theft will only increase. This means that it is getting ever more important to protect yourself against digital identity theft. BULIDSEC offers a unique software tool that helps you monitor in real time your email identities. BULIDSEC Email Identity Guard makes sure that you are immediately notified if your email address is leaked after a data breach. It lets you take appropriate countermeasures quickly so that cyber criminals can not take over your digital identity!