Кой е хакерът, обвинен за изтичането на данни

© Associated Press

Софийската градска прокуратура повдигна обвинение на 20-годишен българин за източване на личните данни на милиони граждани и фирми от базите на Националната агенция за приходите (НАП), които бяха разпратени до медиите преди дни. В съобщението й се посочват само инициали - К.Б.

Зад тях стои името на Кристиян Бойков. Информацията беше потвърдена за "Дневник" от МВР. Преглед на публичната информация в профилите му в социалните мрежи показва, че той отговаря и на първоначалното описание на задържания, дадено тази сутрин от Явор Колев, директор "Компютърни престъпления" в Главна дирекция "Борба с организираната престъпност" (ГДБОП) - млад, служител в специализирана компания и с предишен хакерски опит.

Според визитките Бойков работи в TAD Group - компания за киберсигурност, която работи в България от 2016 година, но от прокуратурата уточняват, че фирмата няма връзка с действията на служителя й.

По-рано днес още преди съобщението на прокуратурата група ИТ специалисти, с които "Дневник" разговаря, вече бяха стигнали до профила на същия човек, изследвайки появили се в социалните мрежи данни от изтеклите файлове.

Все още няма информация за мотивите на Бойков, както и дали той е действал самостоятелно или в група, а дали настина е извършителят или каква е ролята му би трябвало да се докаже в предстоящия процес.

Бойков влиза в медиите не за първи път, защото през октомври 2017 г. още като ученик Кристиян Бойков разкри, че личните данни на над 1.2 млн. деца са били достъпни на интернет страницата на системата за обхват на деца в образователната система "Посещаемо и безопасно училище" и всеки е можел да стигне до тях без идентификация.

Кой е Kpuccc

Вчера в социалните мрежи сред различните коментари и реакции за изтичането на данни, беше разменяна и снимка, в която се виждаше потребителско име на евентуалния хакер.

Именно по него, експертите с които "Дневник" разговаря, бяха достигнали вече до профила на Бойков. Снимката е била на част от т.нар. "lock" файл, който е бил забравен в разпространените данни. Той показва информация от компютъра и потребителското име - Kpuccc. Според тях това е нетипично име и при търсене в интернет - показва, че го е използвал в различни хакерски форуми и в някои от тях е със снимката си.

"Това е скрит файл, който се създава от текстообработващата програма, когато се отвори даден файл, с цел да не се отвори два пъти. Като се затвори csv файла, lock файла се изтрива автоматично. Очевидно в случая е направил архива, докато е бил отворил един от файловете, а програмата, която е използвал е LibreOffice - безплатна алтернатива на Microsoft Office. Вариантите са: или тогава е създал архива, докато е бил отворил един от файловете, или тогава му е забил компютъра, докато е разглеждал данните и този файл е останал там скрит и той не му е обърнал внимание", обясниха за "Дневник" експертите, пожелали анонимност. Те уточняват обаче, че това не означава, че файлът е теглен от този потребител, а само че той го е отварял на компютъра си.

Датата на lock файла е 11.05.2019 г. 11:49, което означава че данни са били теглени преди това и са отваряни в този момент.

От публично разпространяваните данни от изтеклите файлове няма данни, които да потвърждават и дали Бойков ги е разпратил до медиите този понеделник.

Какво съобщи държавното обвинение

Прокуратурата обясни, че разследването е започнало след извършени "спешни оперативно издирвателни мероприятия" от служители на отдел "Киберпрестъпност" на МВР. Със съдействието на "Информационно обслужване" АД са установили, че файлът, който е изпратен до медиите и съществува в интернет пространството съдържа "данни за над 5 млн. български и чужди граждани и търговски дружества, в това число три имена, ЕГН на български граждани, имена и ЕИК на търговци, данъчна и осигурителна информация по подадени годишни декларации получени в НАП от други институции в България по международния обмен на информация в информационната система VAT REFUND, ползвана от НАП, съхранявана в сървър на НАП и др."

Установено е, че в един от файловете има данни, които идентифицират наименованието на конкретна компютърна конфигурация, уникално потребителско име, дата, час и софтуерно приложение, послужило за прочитането на файла. Според разследващите потребителското име се ползва от К. Б. – на 20 години от Пловдив.

Вчера служители на ГДБОП се установили, че младият мъж е на работа в офис на фирма в София, където е задържан за срок от 24 часа. Той е експерт по киберсигурност и се занимава с тестове и одит на информационни системи. Действията му нямат връзка с дейността на фирмата, в която работи, се казва още в съобщението на прокуратурата.

Извършени са претърсвания и изземвания в офиса на фирмата, както и в дома на задържания в София и в Пловдив. Иззети са компютърни конфигурации, хард дискове, флаш памети и два мобилни телефона. Назначени са технически и компютърни експертизи и се разпитват свидетели, съобщиха от прокуратурата.

Какво е обвинението

Бойков ще отговаря за това, че от неустановена дата до 15 юли в София неправомерно копирал компютърни данни от сървър на НАП, като деянието представлява немаловажен случай и е извършено срещу информационна система, която е част от критичната инфраструктура, за което се предвижда наказание лишаване от свобода от 5 до 8 г. затвор и глоба до 10 000 лв.

Софийска градска прокуратура е разпоредила задържането му за срок до 72 часа. Той е бил задържан вчера следобяд на работното му място.

Днес премиерът Бойко Борисов обяви пред министрите на заседанието на правителството, че хакерите трябва да се привлекат да работят за държавата, защото те са уникални мозъци. Той нарече младите хора, работещи с компютри истински вълшебници.

Във вторник - часове след разпространението на изтеклите данни до медии - министри и институции имаха различни версии за атаката. Вътрешният министър Младен Маринов я обвърза дори със сделката за покупката на Ф-16. Руска връзка беше отречена, но твърденията бяха, че пробивът е станал от чужбина, а от НАП обясниха, че не изключват и участието на вътрешен човек.

Всичко за скандала четете в специалната тема - тук.