Обновена на 16.09.2023 от Questo
Лице, представящо се с псевдонима Емил Кюлев, публикува в интернет лични данни на около 2.2 млн. българи. Те съдържат три имена, ЕГН, адреси, в някои случаи и данни за контакт като телефонни номера.
В имейл, адресиран до български медии, Емил Кюлев заяви, че данните са откраднати от масивите на застрахователната компания „Лев инс“. Часове, след като тези твърдения станаха публично достояние, „Лев инс“ категорично ги отрече.От компанията заявиха, че системите им не са компрометирани, а Емил Кюлев е публикувал стари данни, които от известно време могат да се намерят в интернет.
Кой е Емил Кюлев
Емил Кюлев и неговата „Държавна агенция за дигитално спокойствие“ станаха част от градския фолклор през 2020 г. Тогава лице с този прякор дифейсна няколко сайта и заяви, че продава бази данни, откраднати от държавни институции и частни компании.
Не пропускайте и историята за един българин, ръководещ рансъмуер операция, чиито методи много напомнят тези на Кюлев.
2020: Добре дошли на пазара
Още тогава правеха впечатление усилията, които полага, за да маркетира дейността си. Всеки негов „удар“ се оповестяваше с имейл до медиите и публикации в сайта на Кюлев.
Сред публикациите беше и ценоразпис на базите данни, които продава. Цените варираха от няколко до няколкостотин хиляди лева.
С времето се появиха съмнения, че Емил Кюлев може и да не казва цялата истина за това, което прави. Профилът му в RaidForums (несъществуващ вече хакерски форум) беше блокиран с аргумента, че е измамник. Това обикновено означава, че прибира парите и после не праща данните, които е обещал. Или че е намерил отнякъде вече лийкната база данни и се опитва да я продаде като нова.
Тези съмнения се подсилиха, когато Емил Кюлев публикува в интернет личните данни на близо 2000 клиенти на iCard, за които твърдеше, че е източил от сървърите на компанията. От iCard обявиха, че това всъщност са стари данни и отрекоха да е имало пробив в системите им.
Междувременно се оказа, че през един от биткойн адресите, притежавани от Емил Кюлев, в серия от трансакции са преминали 127 хил. долара в криптовалута по тогавашни цени.
2021: Застраховка „Дигитално спокойствие“
Емил Кюлев продължи да пуска в интернет данни, които изглежда като да са истински. През 2021 г. например бяха публикувани данни за стотици хиляди българи, включващи отново имена и адреси, но също и регистрационни номера на автомобили.
В нов имейл до медиите Емил Кюлев обяви, че разполага с информация за около 3.8 млн. застрахователни полици, източени от застрахователни брокери. От имейла стана ясно, че Кюлев изнудва „Сирма“ – софтуерната компания, която раззборатва информационна система, свързваща застрахователните компании с брокерите.
Като доказателство Кюлев изпрати и копие на писмото, което е изпратил до ръководството на „Сирма“. Уточнявам, че това копие не съм го получил лично, но успях да го възстановя от блога на специалиста по киберсигурност Тодор Донев, който днес не е достъпен за интернет потребителите.
2022: Да се намеси Г-н А.
Изнудването на „Сирма“ продължи и през 2022 г.
Акцията си Емил Кюлев отново рекламира с имейл до медиите. Ето го съдържанието му с известни редакции от съображения за сигурност:
На 16.02.2022 г. осъществих нерегламентиран достъп до административният панел на система Sirma ICS.
За лицата, които не са запознати, Sirma ICS е системата използвана от почти всички застрахователни брокери в България за сключване на застраховки.
През периода 09.02.2022 г. – 14.03.2022 г. успях да източа датабазите на почти всички застрахователни компании, опериращи в България, използвайки потребителските акаунти за вътрешните им системи (Предимно INSIS на Fadata) от интеграцията на Sirma ICS.
На 15.03.2022 г. се свързах с (редактирано) в качеството й на високопоставен представител на Sirma Holding, за да я информирам за дължимата такса „Дигитално спокойствие“ към „Държавна агенция по дигитално спокойствие.
На 19.03.2022 г. с мен се свърза по Telegram медиатор назначен от Sirma Holding с потребителско име @emilkuylev
Като доказателство за думите си Емил Кюлев изпрати линкове към няколко скрийншота, които показват предполагаемата му комуникация със „Сирма“.
В имейла си Кюлев посочваше също, че към края на тази комуникация в преговорите се е включил лично Алексей Петров, който е описан като „Г-н А.“
Като доказателство бяха качени няколко записа на разговори с човек, чийто глас действително прилича на този на Алексей Петров. Към днешна дата обаче записите са свалени.
Каква част от твърденията на Емил Кюлев са истина?
Не може да се каже със сигурност, защото засегнатите страни до голяма степен запазиха мълчание.
Информация за инцидент с хакерска атака и изнудване има в годишния отчет Комисията за защита на личните данни за 2021 г. Като време това съвпада с периода, за който Емил Кюлев твърди, че е действал, но не доказва, че става дума за един и същ случай, нито пък че Кюлев е извършителят.
Става дума за „осъществена хакерска атака на уеббазирана информационна система на дружество, която подпомага дейността и бизнес процесите на застрахователните брокери, с искане за изплащане на откуп.“
Според публикуваната информация достъпът до данните е станал чрез brute force атака: автоматизирано въвеждане на много пароли, докато се налучка вярната.
Какви са данните
Без значение дали Емил Кюлев е пробил информационни системи или просто е свалил наготово вече хакнати информационни масиви, публикуваните през юли 2023 данни (за които твърди, че са от „Лев инс“) изглежда като да са на реални хора. Това поне показва проверка на Questona на случаен принцип за около 30 записа от публикуваната база данни.
Данните включват три имена, ЕГН, дата на раждане, адрес. Публикуваната база данни съдържа около 2.25 уникални ЕГН-та, което предполага, че това е и броят на засегнатите лица.
Има и колона, която изглежда като да съдържа номера на лични карти. Тяхната автентичност обаче не може да се установи на този етап. Ако са истински, това е проблем, защото с тази инфомрация би могло да се извършват документни престъпления или да се теглят кредити от чуждо име.
Данните са качени в интернет на 30 юни, а към момента на публикуване на тази статия (13 юли) вече са свалени над 130 пъти.
Това е кошмарен теч на лични данни, който колегите от „Капитал“ успешно сравниха с този от НАП през 2019 г.
За съжаление на този етап не може да се направи нищо, защото данните вече са в интернет и ще се разпространяват свободно по форуми и торенти.
Знаехте ли, че има и други големи течове на данни на българи?
ено пиленце ми каза че емил кюлев е работил за алексей петров
То имаше и версия, че работи за Божков. Още 2022 г. няколко български медии контролирано пуснаха името на човека, който уж бил зад прякора Емил Кюлев. Тази година след случката с „Лев инс“ същия човек направо го докснаха и публикуваха адреси, снимки, че и телефона на майка му. Ама едно е официално разследване, друго са анонимки в интернет.