Божидар Божанов е компютърен специалист, основател и ръководител на LogSentinel. Работил е като съветник към Министерския съвет по въпросите на електронното правителство. Коментарът е от профила му във "Фейсбук".

Това също е много сериозно. - половин милион пощи и техните пароли. Ако това е така, TAD Group са нагазили дълбоко.

Електронната поща е ключът към почти всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, навсякъде. "Забравена парола" разчита на имейла.

Няколко съвета:

- ако имате поща в български доставчик, сменете си паролата

- не ползвайте лична поща, различна от Gmail или Protonmail. Съжалявам, не съм фен на Google, но там поне сигурността не е под въпрос. Proton също е доста добра опция

- използвяйте двуфакторна автентикация навсякъде, където може. Самата поща, социални мрежи, платежни оператори, мобилни оператори. Така дори някой да ви разбере паролата, сте защитени

- към програмистите: ако ползвате нещо различно от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, приложен много пъти), сменете професията. Годината е 2019, да не знаеш как се пазят пароли е равносилно на това, да не знаеш какво е for-цикъл.

- към хакнатия доставчик: вече трябваше да сте уведомили потребителите и да сте ги накарали да си сменят паролите.

Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо. Най-малкото за това си сменете не просто паролата, а доставчика.

И не на последно място, едно уточнение - това, че критикувам прокуратурата не значи, че защитавам престъпниците. Те са такива само след присъда, разбира се, но не бих защитавал някого, който хаква мейли и си трае, вероятно с цел да ги ползва за свои цели.

Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните съвети остават в сила.

Държавата все още няма канал, по който да си говори с всички граждани електронно. И няма начин да ги идентифицира онлайн. Ако всички граждани имаха електронна идентичност (дали в лична карта или другаде), сега проверката щеше да е тривиална - идентифицираш се и проверяваш.
Не само това - нямаше да се налага да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 г. предложихме т.нар. държавен имейл, който да е relay email, така че държавата да знае, че като прати мейл на <егн>@egov.bg, той ще достигне до получателя (ако съответният си го е настроил, за което се иска пак eID).


Няма нужда да напомням, че проектът за eID се бави вече трета година в МВР и хич не му се види не само края, ами и началото. Поуката е, че като не се вземат правилните политически решения навреме, после неоптималните технически решения са неизбежни.

Дневник