My Shiny Weblog!

programming, photography and lifestyle

Базата данни на НАП

Преди няколко дни ми трябваше информация за това как се определя дали даден Bulstat или данъчен номер е валиден. В общи линии се оказа, че данъчен номер вече не се ползва, а на bulstat могат единствено да се броят цифрите. Но попаднах на друго интересно нещо—Публичен бюлетин на фирмите, регистрирани по ДДС. Интересно, реших да го изпробвам, взех bulstat номера от една фактура на МТел вкарах го в полето, дадох търсене по bulstat. Правилно ми намери фирма с името “МОБИЛТЕЛ – ЕАД”, след което реших да цъкна на детайли. Излиза следното нещо:

1
2
3
4
5
6
7

Име на фирма :  МОБИЛТЕЛ - ЕАД
БУЛСТАТ :   131468980
Адрес за кореспонденция: 
Област: СОФИЯ-ОБЛАСТ;
Община: СТОЛИЧНА;
Населено място: С.БОЕРИЦА;
Адрес: null;

Стана ми доста интересно, как може една от най-големите фирми в България да се води регистрирана в село Боерица и за адрес да има “null;”. Всъщност може би в село Боерица улиците си нямат имена и за това “МОБИЛТЕЛ – ЕАД” не могат да имат адрес. Много ми е интересно как точно служителите на НАП събират данъчните задължения на МТел от горепосочения адрес. Но както и да е, това не е толкова важно. Друго интересно нещо, което ми направи впечатление на този сайт е, че той има “защита от неправомерно използване на информацията”, каквото и да означава това. По тоя случай, за да търси човек нещо в базата данни, трябва да напише символите изписани на картинката. До тук добре—звучи разумно. Добре познатата защита против спам ботове. Но какво предпазва тя в случая? Оказа се, че след като човек въведе дадените символи в браузера му се записва една бисквитка (cookie) и с нея той може да стигне до страницата с резултатите от търсенето. Адреса на страницата с детайлите от търсенето изглежда по следния начин: 
1

http://212.122.164.84/ddsRegister/results_detail.jsp?DDC_ID=185707

Нали съм си любопитен още от малък, реших да изпробвам какво ли би станало, ако напиша нещо друго за “DDC_ID”. Стана точно това, което си мислех, че ще стане. Излезе ми фирмата със съответното “DDC_ID”. След още няколко минути прекарани в мислене над въпроса как да свалим цялата база данни на НАП стигнах до следния извод:
1
2
3

$ curl -o "#1" -b `cat cookie.txt` -A \
'Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3' \
http://212.122.164.84/ddsRegister/results_detail.jsp?DDC_ID=[1-10000]

На мен ми писна да се занимавам, след като свалих няколко записа. Не че ми е затрябвала базата им данни, а и ако всичко вътре е толкова вярно, колкото информацията за МТел, не виждам на кой би му трябвала. Но от друга страна, като се има предвид, че част от bulstat номерата са всъщност ЕГН на съответните лица, в тази база има лични данни. А личните данни нали са защитени със закон…