» »

Še vedno ni jasno, kdo je shekal bolgarski davčni urad

Še vedno ni jasno, kdo je shekal bolgarski davčni urad

vir: ZDNet
ZDNet - V začetku tedna je odjeknila novica, da naj bi hekerji vdrli v podatkovno bazo bolgarske finančne uprave in ukradli osebne podatke petih od sedmih milijonov bolgarskih državljanov. Kmalu zatem so prijeli varnostnega strokovnjaka iz Plovdiva, a se je izkazalo, da je očitno kriv drugega, nepovezanega vdora, zato je bil že izpuščen na prostost.

Upravljalci informacijskega sistema bolgarske finančne uprave so se v torek znašli v precejšnji zadregi, ko je več lokalnih medijev prejelo elektronsko pošto z dobrih deset gigabajtov veliko priponko, v kateri so bili mnogi osebni podatki množice Bolgarov, ki naj bi ušli s strežnikov finančne uprave. Med njimi naslovi prebivališč, številke osebnih dokumentov in denarni prejemki. Neznani heker se je v sporočilu pohvalil, da ima vsega skupaj 21 GB podatkov skupno petih milijonov ljudi, se pravi, skorajda vseh odraslih državljanov (Bolgarija šteje sedem milijonov prebivalcev). Obenem je navedel, da luknja v državnem informacijskem sistemu zeva že enajst let in da se je za izpust podatkov odločil zaradi odpora do korupcije v državi. Poslane datoteke so se medtem že znašle na spletu, kar je potrdilo njihov obstoj.

Tu pa se je burleska šele zares pričela. Bolgarski državni aparat se je hipoma odzval in premier Bojko Borisov je hekerja označil za "čarodeja". Toda varnostni strokovnjaki so že po hitrem pregledu situacije začeli pripominjati, da za vdor bržkone ni bilo potrebno neko izjemno znanje. Točka napada naj bi bil davčni urad, in sicer skozi SQL vrivanje, za katerega je obstajala ranljivost v sistemu za vračilo DDV. Skratka, glede na znane podatke je šlo za očitno šlamparijo na strani državnega osebja in ne genialen hekerski podvig.

Še več - napadalci naj bi za seboj pustili vrsto sledi. Ravno te naj bi varnostne organe pripeljale do Kristijana Bojkova, uslužbenca podjetja za digitalno varnost iz Plovdiva, ki je bil v sredo aretiran. Toda po poročanju lokalnih časnikov so preiskovalci odkrili, da je v sistem finančne uprave vdrl ob nekem drugem času in da gre za nepovezano stvar, zato je bil že izpuščen na prostost (seveda pa ga čaka pregon zaradi njegovega vdora). Tako še vedno ni jasno, kdo so zlikovci za napadom. Država s prstom kaže na Rusijo, saj naj bi akcija potekala od tam, kot odgovor na nedavno bolgarsko odločitev za nakup ameriških lovcev F-16. Toda vprašanje je, komu verjeti, ker se uradniki trudijo na vse kriplje odgovornost naprtiti komu drugemu, saj finančni upravi ob dokazani malomarnosti grozi zajetna globa.

20 komentarjev

jukoz ::

> Toda vprašanje je, komu verjeti, ker se uradniki trudijo na vse kriplje odgovornost naprtiti komu drugemu, saj finančni upravi ob dokazani malomarnosti grozi zajetna globa.

Da ne bo kdo preveč pameten in kaj sikal čez Bolgare - Obnašanje je zelo podobno temu, kar smo videli ob "vdoru" v AJPES in reakciji SI-CERTa in IP-RS:
https://slo-tech.com/novice/t696143

Je pa za pohvalit komentar Bojka - je res originalen =)

nekikr ::

No, povsem očitno je, da gre za Rusijo ali Iran. Se že ve kakšne bodo sankcije?

Vazelin ::

PrihajaNodi je v Bolgariji. Upam da ni kakšna povezava:))

johanblond ::

"ranljivost v sistemu za vračilo takse VAT" -> "ranljivost v sistemu za vračilo davka na dodano vrednost"

kuglvinkl ::

Ce bi se to zgodilo pri nas, globa sledi samo gen. direktorju.
Your focus determines your reallity

gruntfürmich ::

itq. najpomembneje je najti krivca. briga jih za razsulo od države...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

kuglvinkl ::

vseen mi je za Rusijo.
Your focus determines your reallity

poweroff ::

kuglvinkl je izjavil:

Ce bi se to zgodilo pri nas, globa sledi samo gen. direktorju.

Hmm, a ni GDPR uvedel neke kazni tudi za podjetja?
sudo poweroff

kuglvinkl ::

Je, but not applicable. Če imaš tako sestavljen proračun kot mi, it makes sense za državne organe. A če mu daš globo, potem ne bo več zaposloval, pa mora, ker gredo ljudje v penzijo, oz. ne bo popravil puščajoče strehe? na hitr bi rekel, da je to odmik od darwina.

Za odgovorno osebo je pa seveda druga pesem in je jasno kaznovanje možno.

Hec pri nas je, da MJU upravlja z IT varnostjo, po spremembi ZDU-1. Kdo bi torej odgovrajal v primeru data breacha na FURS, IT storitev je bila pa prenesena na MJU?

Čeprav nekaj slišim, da pride IT nazaj na državne organe. Ker je blo to z MJU totalni flop...
Your focus determines your reallity

poweroff ::

kuglvinkl je izjavil:

Je, but not applicable. Če imaš tako sestavljen proračun kot mi, it makes sense za državne organe. A če mu daš globo, potem ne bo več zaposloval, pa mora, ker gredo ljudje v penzijo, oz. ne bo popravil puščajoče strehe?

Ne razumem.

Če daš privat firmi visoko globo, bo zašla v težave in ne bo mogla več zaposlovat, kupovat dodatnih osnovnih sredstev,...? In je to potem izgovor, da jim visoke globe ne daš?
sudo poweroff

bbbbbb2015 ::

Slovenija je po tej plati zelo podobna Bolgariji. Stvar je taka, da sploh softver šepa v Sloveniji. Glede na to, da so moji trije sodelavci prav Bolgari (vsi top inženirji) je verjetno tkao, da so vsi talentirani razvijali šli delat v tujino. Nočejo se zajebavati z neko unterhunt sceno v Bolgariji.

Ostanejo starci, ženske, otroci in pripravniki. Oni potem pocajo skup, kakor vejo in znajo. Saj enako je v Sloveniji, malo si samo poglejte, kakšna so navodila za certifikate in to v Sloveniji. Od uporabe outdated brskalnikov, do vklopa potokolov, ki so že znani kot premalo varni, do tega, da cela država Slovenija ne zna spraviti skup,da bi bili root certifikati v Storu od Microsofta, Googla in podobno.

Ker biti CA je v tujini resen posel. Dobiš kontrole, dobiš provokatorje, ki poskušajo s socialnim inženiringom vdreti.

V Sloveniji obtaja en CA, ki so jih okradli, vse računalnike so jim odnesli. Odnesli so tudi moji stranki, ki je bila na istem naslovu. Še iz kombijev so laptope pobrali.

To še toliko ne bi bil problem, ampak ta CA je imela navado, da so oni inicializirali privaten ključ in ti ga skopirali na kartico.

V glavnem, varnost je v Sloveniji v kur*u. AJPES je en tak primer, ko imajo aplikacije zelo slabo narejene. To če si malo kodo pogledate, to vidite, da je spacano skup. Naj se jih resni profesionalci lotijo, to bodo razpadli ko kure.

Ahim ::

"takse VAT"? Je to nekaj konceptualno podobnega DDV davku?

kuglvinkl ::

poweroff je izjavil:

kuglvinkl je izjavil:

Je, but not applicable. Če imaš tako sestavljen proračun kot mi, it makes sense za državne organe. A če mu daš globo, potem ne bo več zaposloval, pa mora, ker gredo ljudje v penzijo, oz. ne bo popravil puščajoče strehe?

Ne razumem.

Če daš privat firmi visoko globo, bo zašla v težave in ne bo mogla več zaposlovat, kupovat dodatnih osnovnih sredstev,...? In je to potem izgovor, da jim visoke globe ne daš?


Ja, ker smo zavrnili čisti darwinizem?

Mislim, kaj imam jaz osebno kot državljan s tem, da so na čelu nekega organa kreteni, ki ne znajo posrkbeti za IT sec?
Your focus determines your reallity

poweroff ::

Ne razumem... pa saj ko privat firma dobi globo (in tam tudi zaposleni osebno kot zaposleni nima nič s tem, da je direktor kreten), noben inšpektor ne pokaže usmiljenja, pač pa globo gladko napiše.

Ali je zdaj kakšna sprememba, za katero ne vem?
sudo poweroff

kuglvinkl ::

Ja, ker imamo samo en furs npr.

Wtf ti ni jasno? A drzava je enako gosppdarstvo? Kar ti pises seveda poznamo onkraj luze, kjer ni socialisticnega proracuna. Ce zmanjka denarja, pac ni drzavnega servisa, recimo policije, zdravstvene oskrbe. Bogatim se jasno jebe, ker npr. V UK placujejo za zasebne bobije in jih bk za drzavno zdravatvo.

Tak sistem prelrskov je v veljavi od zadnje reforme 2005, prej pa dvomim, da ni bilo enako.

Izključitev odgovornosti

13.a člen

Republika Slovenija in samoupravne lokalne skupnosti ne odgovarjajo za prekršek, zakon pa lahko določi, da odgovarja za prekršek odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.

In doloci in se kaznuje.
Your focus determines your reallity

Zgodovina sprememb…

bbbbbb2015 ::

kuglvinkl je izjavil:

Ja, ker imamo samo en furs npr.

Wtf ti ni jasno? A drzava je enako gosppdarstvo? Kar ti pises seveda poznamo onkraj luze, kjer ni socialisticnega proracuna. Ce zmanjka denarja, pac ni drzavnega servisa, recimo policije, zdravstvene oskrbe. Bogatim se jasno jebe, ker npr. V UK placujejo za zasebne bobije in jih bk za drzavno zdravatvo.


Kar ti navajaš, so prekrški. Da nekomu ukradejo toliko podatkov, pa so bili recimo opozorjeni na luknje, je kaznivo dejanje. Je pa res, da če prijavljaš kaznivo dejanje, moraš imeti otipljivo škodo.

Drugo pa je, če zafrkavaš kakšne tujce, pa te ti dajo na arbitražno sodišče:
https://siol.net/novice/slovenija/petis...

Tudi Hrvati se zajebavajo:
https://www.slobodnadalmacija.hr/dalmac...

in fašejo tožbe pred sodiščem v Washingtonu. Ni tako enostavno. Država lahko precej nasrka, če se jih lotijo kekci s kapitalom.

kuglvinkl ::

Ti si pomesal... govorimo o odgovornosti drzavnih organov s strani inspekcije. Matthai je spraseval glede globe npr. Fursu.

Pregona zaradi malomarnosti, no se bo morala praksa se razviti. Pa kdo bo morl dati ovadbo.

Storilceva stran je druga zgodba.
Your focus determines your reallity

kuglvinkl ::

Pa tist link iz Slobidne Dalmacije, tist je hec iz stvarnega prava.... ki ima posledice na odskodninskem podrocju. Nima veze u glavnem...
Your focus determines your reallity

poweroff ::

kuglvinkl je izjavil:

Ja, ker imamo samo en furs npr.

Kaj pa če imamo eno samo lokalno podjetje, od katerega je odvisen ekonomski obstoj večine prebivalcev neke občine?

Ja, saj vem, kaj se zgodi. Okoljska inšpekcija, recimo, jim gleda skozi prste. Zaradi širših, nacionalnih, interesov. Znane zgodbe, znane...

kuglvinkl je izjavil:


Izključitev odgovornosti

Call me a terrorist, ampak tole je meni tipičen primer, ko hegemon sam sebi napiše skrajno pristransko zakonodajo s katero se potem baha, da je "enak pred zakonom". Spominja na kadija tuži, kadija sudi.

No, hvala bogu imamo še mednarodno pravo, kjer država a svoje zločine (recimo Izbrisani) kljub vsej "zakonski" izključitvi odgovornosti, vseeno odgovarja. Vsaj minimalno.

Anyway, kam bi pa šla taka globa potem? V privat roke, ali - glej no glej - v proračun?
sudo poweroff

dronyx ::

Bolgari namesto da se sekirajo zaradi vdora naj raje spremenijo zakonodajo in naredijo te podatke javno dostopne. Če se ne motim imajo finci javno dostopne te podatke, tako da lahko vsak za svojega soseda preveri če je prijavil pravilno prihodke oziroma če se sklada življenjski slog s prihodki. Ne pa farsa kot pri nas, ki so nekateri za davkarijo praktično socialni problemi, doma pa luksuzni avtomobili, vile z bazeni itd. Bodo pa verjetno Bolgari znali analizirati tako pridobljene podatke in ne dvomim da bodo prišli do zanimivih zaključkov. :)

Zgodovina sprememb…

  • spremenil: dronyx ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cenzura ali nesposobnost? Kako je FURS želel "zapreti" Facebook (strani: 1 2 )

Oddelek: Novice / Zasebnost
9434078 (27485) Furbo
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432611 (22918) Furbo
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185791 (59986) MrStein
»

Slovenska policija aretirala domnevnega pisca Maripose (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
22172398 (51600) #000000
»

V lanskem vdoru v Sony ušel neizdani material Michaela Jacksona

Oddelek: Novice / Varnost
4914010 (11728) ahac

Več podobnih tem