Wykradziono dane podatkowe/osobowe milionów Bułgarów. SQL injection w urzędzie skarbowym?

Reuters donosi o włamaniu na serwery bułgarskiego urzędu skarbowego:

hackers had stolen millions of taxpayers’ financial data in an attack that one researcher said may have compromised nearly every adult’s personal records.

Włamanie nastąpiło w okolicach końca czerwca 2019r. Atakujący twierdzi, że uzyskał dostęp do 110 baz danych zawierających „ściśle poufne” dane. (“critically confidential”). Aby uwiarygodnić włamanie, napastnik podzielił się z mediami około połową łupu (około 11 GB z 21 ukradzionych). Są tam dane osobowe, przychody, adresy, kwestie związane z ubezpieczeniem zdrowotnym czy aktywność osób w serwisach hazardowych.

Sporo danych jest stara (okolice 2017), ale są też i nowe rekordy (z ostatnich miesięcy).

Bułgarski minister finansów Władysław Goranov potwierdził incydent choć stwierdził, że ucierpiało tylko „3% baz danych” (z których jednak wyciekły miliony rekordów)

about 3% of the agency’s database was affected, involving millions of records in the nation of seven million, though the leaked information was not classified and did not endanger financial stability.

Kto stoi za całą akcją?

Sprawa rozwija się dynamicznie i ostatnie informacje popularnego bułgarskiego serwisu informacyjnego mówią o zatrzymaniu (na razie do maksymalnie 72 godzin) 20-letniego Krystiana Bojkowa  – w charakterze podejrzanego. Grozi mu kara więzienia do 8 lat oraz grzywna. Podejrzany to pracownik jednej z bułgarskich firm zajmujących się bezpieczeństwem. Został zatrzymany w pracy, choć służby podkreślają, że nie ma związku między jego działaniami a firmą.

W tym miejscu jako sposób uzyskania dostępu do baz danych wskazuje się SQL injection. Będziemy śledzić dokładniej ten wątek.

–ms