ЛевИнс изгуби данни на 2,25 млн. българи

Най-големият теч на данни в България от 2019 г. насам, когато бе хакната Националната агенция за приходите (НАП), и вероятно най-мащабният пробив в сигурността на частна компания. Такава оценка може да се направи на пълния комплект от лични данни на 2.25 млн. души, изпратени до пощата на "Капитал" и други медии от хакера (или хакерите), ползващ псевдонима "Емил Кюлев". Той твърди, че те са добити, чрез пробив в системата на най-голямата застрахователна компания по премиен приход в България "Лев инс", пише Капитал.

В базата данни се съдържат три имена на кирилица и латиница, ЕГН, номер на лична карта, адрес и в някои случаи мобилен номер. Данните включват и бивши клиенти на "Лев инс", а вероятно и вече починали лица, защото ЕГН-тата достигат до 1925 г.

Трудно е да се направи точна класация на хакерските атаки, но тази срещу НАП определено печели по няколко параграфа. Тя засягаше повече хора, като обхващаше данни на над 6 млн. души. Освен това тогава там извън идентификационни данни за много от тях имаше и информация от различни периоди за доходи, работодатели, санкции и др. Същевременно обаче много от данните бяха откъслечни и фрагментирани. Тогава прокуратурата обвини собственикa и служители на компанията "ТАД груп", но в крайна сметка случаят се превърна във фарс.

Сега става дума за систематизирана база данни, в която могат да се намерят лични данни и на обществени лица като бившия главен прокурор Иван Гешев и настоящия изпълняващ длъжността Борислав Сарафов.
Реклама

Предвид огромния брой записи може да се предположи, че в него влизат всички бивши и настоящи клиенти на "Лев инс". За сметка на това в случая за щастие няма никаква допълнителна информация - какъв застрахователен продукт са ползвали, в кой период са били клиенти, какъв е номерът на автомобила им. Същевременно хакерите в анонса си твърдят, че разполагат и с много повече информация, включително и с "пълното счетоводство на "Лев инс", което показвало злоупотреби и източване чрез огромни месечни бонуси".

"Капитал" изпрати въпроси към "Лев инс" и Комисията за защита на лични данни (КЗЛД) по отношение на теча на данни, но получи отговори само от държавната институция след дадения срок и след публикуването на статията. Въпросите и към двете са свързани с това дали клиентите на компанията са били уведомени, както предписва законът, и какви стъпки са били предприети. Архивите, разпратени към медии, са с дати от декември 2022 г. и януари 2023 г.

В отговор на въпросите на "Капитал" председателят на КЗЛД Венцислав Караджов казва, че в комисията не е постъпвало уведомление от компанията за нарушение на сигурността, както изисква европейския регламент. Мейлът на хакера отпреди няколко дни е изпратен освен до медии и до дадения за контакт от комисията kzld@cpdp.bg.
За пари или с мисия

"Капитал" се свърза и с хакера "Емил Кюлев", който уточни, че атаката е целенасочена срещу "Лев инс" и сочения за действителен собственик на компанията Алексей Петров, когото нарича с обидни квалификации. В анонса си за пробива на сайта си хакерът мотивира действията и с острата реакция на Петров "срещу достойната българска гражданка и служебен министър на финансите Росица Велкова".

Името на компанията нашумя напоследък покрай войната ѝ срещу промените в Кодекса за застраховането, които трябваше да гарантират спазването на правилата в международната система "Зелена карта" и да изпълнят ангажиментите на България за приемането и в еврозоната. Текстовете бяха атакувани от Съюза за стопанска инициатива, чийто изпълнителен директор е Алексей Петров, и като крайно не бяха приети в предишното Народно събрание. Освен това "Лев инс" заведе и безпрецедентно дело срещу Mediapool за 1 млн. лв. за статия по темата, базирана именно на изказване на Велкова.

"Кюлев" посочва, че пробивът е реализиран през декември 2022 г., станал е "елементарно", въпреки че "Лев инс" предлага на свои клиенти именно застраховки и мониторинг срещу кибератаки. Той твърди още, че разполага със записи на Алексей Петров, които има намерение да разпространи в бъдеще. Отговорите на "Емил Кюлев" можете да прочетете в карето долу.

Източването на данните е конфузно за компанията и близките до нея лица и по още няколко линии - самият Алексей Петров е доцент в Пловдивския университет, където преподава "Активна корпоративна сигурност". А през 2021 г. "Лев инс" се похвали и че е привлякла като директор, който да отговаря за IT и киберсигурност, Явор Колев, дългогодишният ръководител на структурите за борба с киберпрестъпността в МВР.

Хакерът активист е известен още от 2020 г., когато създаде т.нар. "Държавна агенция по дигиталното спокойствие". "Кюлев", който взима името си от убития през 2005 г. банкер и собственик на ДЗИ и Росексимбанк, е хаквал и разпространявал данни от други компании в миналото, като "Айкарт кредит".

В някои случаи той открито е искал откуп и е предлагал такса спокойствие, но същевременно често мотивира действията си като борба с корупцията и подигравка с конкретни политически фигури. Сега от сайта му липсва секцията с реализираните пробиви, но се предлага дневен, седмичен и месечен достъп до търсачка за лични данни, включително електронни пощи, пароли, Facebook акаунти, автомобилни номера на рами, IP адреси и други. Запазена е и секция с медийното отразяване на подвизите на "Кюлев" през годините.

Речникът на хакера наподобява този, използван от Васил Божков, с обвинения в "хунта" и др., а през 2020 г. той подписваше някои свои съобщения и с пожеланието "бъдете здрави", подобно на Божков. "Кюлев" отрича да има общо с Божков.

В предаването "12+3" изпълнителният директор на "Лев инс" Павел Димитров отрече данните, които се разпространяват в публичното пространство, да са свързани по някакъв начин с компанията:

"Мога категорично да заявя, че теч на данни няма. Въпросните данни отдавна циркулират в медийното пространство. Те са част от т.нар. тъмна мрежа. ... Проверихме лица, които са клиенти на нашата компания, те не фигурират в тази база, а такива, които не са наши клиенти - фигурират в тази база. Лицето, което публикува въпросните данни, не за първи път се опитва да пробие нашата мрежа. Преди година и половина това лице беше разкрито и в момента, когато разкрихме самоличността му, той започна да се укрива в чужбина".

Димитров окачестви акцията на хакера като "отмъщение заради разкритата му самоличност".