Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéRésolu

Fuite de l'Agence nationale des recettes de Bulgarie

Une simple injection SQL contre un service de TVA peu utilisé a permis à un attaquant d'exfiltrer des données fiscales, de revenus, de santé et de retraite de plus de 6 millions de personnes — soit la quasi-totalité de la population adulte bulgare.

Victime
National Revenue Agency (NAP)
Perte
$2.9M
données
6.1M
utilisateurs
6.1M
SecteurGouvernement
PaysBulgarie
Attaquants nommésAttaquant non identifié (Kristian Boykov inculpé, affaire non prouvée)

Le 15 juillet 2019, un pirate anonyme a envoyé aux rédactions bulgares un trésor de données dérobées à la National Revenue Agency (NAP), l'administration fiscale du pays. La fuite — confirmée par la suite comme couvrant 6 074 140 personnes — a exposé les dossiers de la quasi-totalité de la population adulte bulgare, ce qui en fait la plus grande violation de données de l'histoire du pays.

Ce qui s'est passé

L'intrusion a débuté en juin 2019, lorsque l'attaquant a découvert et exploité une vulnérabilité d'injection SQL dans un service en ligne peu utilisé de remboursement de TVA. L'injection SQL — qui consiste à transmettre des entrées conçues pour que l'application les exécute comme des commandes de base de données — a permis à l'attaquant de lire directement les bases de données dorsales de la NAP sans aucun accès privilégié. Sur une période prolongée, l'attaquant a téléchargé des dizaines de tables.

Le 15 juillet, le pirate a envoyé aux médias bulgares des fichiers échantillons et un message raillant l'état de la cybersécurité bulgare, affirmant détenir plus de 110 dossiers et environ 21 gigaoctets de données. Près de 11 Go répartis en 57 dossiers ont circulé publiquement. La NAP a confirmé l'authenticité des données le lendemain.

Impact

  • Les données divulguées comprenaient noms complets, numéros d'identité nationaux, adresses, données de revenus et fiscales, cotisations de sécurité sociale et de retraite, paiements liés à la santé, ainsi qu'un registre d'utilisateurs de jeux d'argent en ligne — couvrant la période de 2007 à mi-2019.
  • L'enquête de la CPDP a établi que les données de 6 074 140 personnes avaient été compromises : environ 4,1 millions de personnes vivantes (citoyens bulgares et étrangers) et 1,96 million de personnes décédées.
  • Dans un pays d'environ 7 millions d'habitants, cela représentait presque chaque adulte vivant.

Enquête et sanction

La police bulgare a arrêté Kristian Boykov, un testeur d'intrusion de 20 ans employé par une société de cybersécurité locale, le lendemain de la fuite. Il a nié toute implication et a été libéré quelques jours plus tard ; le dossier de l'accusation n'a jamais abouti à une condamnation, et le véritable auteur reste officiellement non confirmé.

Le régulateur de la protection des données, la CPDP, a infligé à la NAP une amende de 5,1 millions de BGN (environ 2,6 millions d'EUR) le 29 août 2019 pour ne pas avoir mis en œuvre de garanties techniques et organisationnelles adéquates — l'une des plus lourdes sanctions RGPD de l'UE à l'époque. Les tribunaux bulgares ont par la suite confirmé l'amende.

Pourquoi c'est important

La fuite de la NAP est un exemple type d'une faille unique au niveau applicatif se transformant en exposition à l'échelle nationale. Une vulnérabilité web qu'une revue de code de routine ou un pare-feu applicatif aurait dû détecter a au contraire exposé les dossiers fiscaux et d'identité de toute une nation. Elle est devenue le cas de référence dans les débats de l'UE — y compris une question parlementaire européenne formelle — sur la question de savoir si les administrations des États membres détenant des données citoyennes obligatoires respectaient leurs obligations de sécurité au titre du RGPD.

Chronologie

  1. Un attaquant exploite une faille d'injection SQL dans un service en ligne de remboursement de TVA peu utilisé de la NAP et commence à extraire le contenu de la base de données.

  2. Un pirate anonyme envoie un courriel aux médias bulgares, joignant des échantillons et revendiquant le vol de données sur les serveurs du ministère des Finances.

  3. La NAP confirme l'authenticité des données divulguées ; la police arrête le testeur d'intrusion Kristian Boykov, âgé de 20 ans.

  4. Boykov est libéré ; les charges sont ensuite allégées et l'affaire le concernant n'aboutit à aucune condamnation.

  5. La Commission de protection des données personnelles (CPDP) inflige à la NAP une amende de 5,1 millions de BGN (environ 2,6 millions d'EUR) pour des mesures de sécurité insuffisantes.

  6. L'enquête de la CPDP conclut que les données personnelles de 6 074 140 personnes ont été compromises, dont environ 4,1 millions de personnes vivantes et 1,96 million de personnes décédées.

  7. Les tribunaux bulgares confirment la sanction RGPD de 5,1 millions de BGN à l'encontre de l'agence.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2019_Bulgarian_revenue_agency_hack
  2. thehackernews.comhttps://thehackernews.com/2019/07/bulgaria-nra-data-breach.html
  3. wolftheiss.comhttps://www.wolftheiss.com/insights/bulgaria-fines-in-millions-for-personal-data-breaches/
  4. bta.bghttps://www.bta.bg/en/news/bulgaria/562392-district-court-upholds-bgn-5-million-fine-for-personal-data-leak-from-nra-system
  5. europarl.europa.euhttps://www.europarl.europa.eu/doceo/document/E-9-2019-002962_EN.html

Incidents liés