Защо НАП допусна хакването на половин милион пощи и паролите им?

Божидар Божанов е компютърен специалист, основател и ръководител на LogSentinel. Работил е като съветник към Министерския съвет по въпросите на електронното правителство. Коментарът е от профила му във „Фейсбук“.
Това също е много сериозно. – половин милион пощи и техните пароли. Ако това е така, TAD Group са нагазили дълбоко. Електронната поща е ключът към почти всичко. Ако имаш нечия поща, можеш не просто да му четеш писмата, а и да получиш достъп до всичките му профили, навсякъде. „Забравена парола“ разчита на имейла.
Ако имате поща в български доставчик, сменете си паролата. Не ползвайте лична поща, различна от Gmail или Protonmail. Съжалявам, не съм фен на Google, но там поне сигурността не е под въпрос. Proton също е доста добра опция. Използвяйте двуфакторна автентикация навсякъде, където може. Самата поща, социални мрежи, платежни оператори, мобилни оператори. Така дори някой да ви разбере паролата, сте защитени.
Към програмистите: ако ползвате нещо различно от bcrypt, scrypt, PBKDF2 (или в краен случай SHA256 със сол, приложен много пъти), сменете професията. Годината е 2019, да не знаеш как се пазят пароли е равносилно на това, да не знаеш какво е for-цикъл. Към хакнатия доставчик: вече трябваше да сте уведомили потребителите и да сте ги накарали да си сменят паролите. Това, че ГДБОП и прокуратурата разполага с паролите, също е плашещо. Най-малкото за това си сменете не просто паролата, а доставчика.
И не на последно място, едно уточнение – това, че критикувам прокуратурата не значи, че защитавам престъпниците. Те са такива само след присъда, разбира се, но не бих защитавал някого, който хаква мейли и си трае, вероятно с цел да ги ползва за свои цели. Дори и да няма 500 хиляди хакнати имейла и всичко да е пиар, горните съвети остават в сила. Държавата все още няма канал, по който да си гвоори с всички граждани електронно. И няма начин да ги идентифицира онлайн. Ако всички граждани имаха електронна идентичност (дали в лична карта или другаде), сега проверката щеше да е тривиална – идентифицираш се и проверяваш.
Не само това – нямаше да се налага да се оставят телефони, да се пращат sms-и и кво ли още не. Преди над 3 г. предложихме т.нар. държавен имейл, който да е relay email, така че държавата да знае, че като прати мейл на <егн>@egov.bg, той ще достигне до получателя (ако съответният си го е настроил, за което се иска пак eID).
Няма нужда да напомням, че проектът за eID се бави вече трета година в МВР и хич не му се види не само края, ами и началото. Поуката е, че като не се вземат правилните политически решения навреме, после неоптималните технически решения са неизбежни.