Най-големият теч на лични данни в България
Хакер публикува лични данни на 2.25 млн. клиенти на „Лев инс“
За най-големият теч на данни в България от 2019 г. насам, когато бе хакната Националната агенция за приходите (НАП), съобщава Капитал. Вероятно това е най-мащабният пробив в сигурността на частна компания. Такава оценка може да се направи на пълния комплект от лични данни на 2.25 млн. души, изпратени до пощата на медии от хакера (или хакерите), ползващ псевдонима „Емил Кюлев“. Той твърди, че те са добити чрез пробив в системата на най-голямата застрахователна компания по премиен приход в България „Лев инс“.
В базата данни се съдържат три имена на кирилица и латиница, ЕГН, номер на лична карта, адрес и в някои случаи мобилен номер. Данните вероятно включват и бивши клиенти на „Лев инс“, а може би и вече починали лица, защото ЕГН-тата достигат до 1914 г. Архивите, разпратени към медии, са с дати от декември 2022 г. и януари 2023 г.
„Капитал“ изпрати въпроси към „Лев инс“ и Комисията за защита на лични данни (КЗЛД) за това дали клиентите на компанията са били уведомени, както предписва законът, и какви стъпки са били предприети. Отговор беше получен само от държавната институция след дадения срок и след публикуването на статията.
В отговор на въпросите на „Капитал“ председателят на КЗЛД Венцислав Караджов казва, че в комисията не е постъпвало уведомление от компанията за нарушение на сигурността, както изисква европейския регламент. Мейлът на хакера отпреди няколко дни е изпратен освен до медии и до дадения за контакт от комисията [email protected].
Пред Bird.bg изпълнителния директор Павел Димитров в писмен отговор е обяснил, че твърдението за теч е „абсолютно невярно“. „Изнесените данни, не са от архивите на компанията. Пробив в нейната система не е имало. Личните данни, публикувани от съмнителен сайт, който посочвате, циркулират отдавна в интернет пространството. В случая те се използват за преднамерена и зловредна атака срещу единствената застрахователна компания в България, която гарантира киберсигурност“, настоява той.
С голям размах
Трудно е да се направи точна класация на хакерските атаки, но тази срещу НАП определено печели по няколко параграфа. Тя засягаше повече хора, като обхващаше данни на над 6 млн. души. Освен това тогава там извън идентификационни данни за много от тях имаше и информация от различни периоди за доходи, работодатели, санкции и др. Същевременно обаче много от данните бяха откъслечни и фрагментирани. Тогава прокуратурата обвини собственикa и служители на компанията „ТАД груп“, но в крайна сметка случаят се превърна във фарс.
Сега става дума за систематизирана база данни, в която могат да се намерят лични данни и на обществени лица като бившия главен прокурор Иван Гешев и настоящия изпълняващ длъжността Борислав Сарафов.
Предвид огромния брой записи може да се предположи, че в него влизат всички бивши и настоящи клиенти на „Лев инс“. За сметка на това в случая за щастие няма никаква допълнителна информация – какъв застрахователен продукт са ползвали, в кой период са били клиенти, какъв е номерът на автомобила им. Същевременно хакерите в анонса си твърдят, че разполагат и с много повече информация, включително и с „пълното счетоводство на „Лев инс“, което показвало злоупотреби и източване чрез огромни месечни бонуси“.
За пари или с мисия
„Капитал“ се свърза и с хакера „Емил Кюлев“, който уточни, че атаката е целенасочена срещу „Лев инс“ и сочения за действителен собственик на компанията Алексей Петров, когото нарича с обидни квалификации. В анонса си за пробива на сайта си хакерът мотивира действията и с острата реакция на Петров „срещу достойната българска гражданка и служебен министър на финансите Росица Велкова“.