IRS hack: A „csak tudod” kérdések könnyen válaszolhatók

Anonim

SAN FRANCISCO - Azok a hackerek, akik a belső bevételi szolgálat Get Transcript webhelyén keresztül több mint 100 000 személyes nyilvántartáshoz jutottak, nem kellett minden olyan sok információra, hogy szakadjanak be, mondjuk szakértőknek.

Az IRS kedden azt mondta, hogy a számítógépes bűnözők másutt beszerzett személyes adatokat használnak fel az átiratkozási szolgáltatásba, ami lehetővé teszi a felhasználók számára, hogy megtekinthessék az adószámla-tranzakciókat, a line-by-line adóbevallási információkat, valamint az IRS-nek bejelentett béreket és bevételeket.

Az IRS szerint a tolvajok 100.000-ből elloptak adót

Az információhoz való hozzáféréshez jogos jogosultnak vagy tolvajnak szüksége volt egy névre, a társadalombiztosítási számra, a születési dátumra, a bejelentési állapotra (egyedülálló, házas, stb.) És egy utcai címre.

Ezután több személyes identitásellenőrzési kérdésre kellett válaszolniuk, amelyeket „csak akkor tud válaszolni” az IRS oldal szavaival.

Ezeket tudásalapú hitelesítésnek vagy KBA-nak hívják. Az Equifax hitelintézet által kínált szolgáltatásból Brian Krebs biztonsági író szerint.

Ezek közé tartoztak az olyan információk, mint az előzetes cím vagy telefonszám, vagy az autó vagy lakáshitel információk. A felhasználóknak négy ilyen kérdésre kellett helyes választ adniuk.

A probléma az, hogy az ilyen típusú adatok könnyen megvásárolhatók az interneten a föld alatt, ahol a teljesen beépített portfóliókat tartalmazó, hatalmas adatbázisok több tízezer ember számára csak egy dollárrekordot tudnak elérni.

Az IRS által használt ellenőrzési lekérdezések eléggé messze voltak a kérdésektől, hogy „csak válaszolhatsz”, hogy a hackerek 200 000 számlára próbáltak betörni, és 100 000-ből kaptak információt.

"Ez eléggé megdöbbentő, ez egy 50% -os sikerességi arány" - mondta Morey Haber, a Phoenix-alapú számítógépes biztonsági cég, a BeyondTrust technológiai alelnöke.

Nem is lett volna nehéz automatizálni, mondta Robert Hansen, a WhiteHat Security alelnöke, a Santa Clara, a Calif-alapú biztonsági cég.

"A robotok beadása rendkívül egyszerű, " mondta.

Szó szerint több tucat eszköz áll rendelkezésre, amelyeket gyakran a spammerek használnak, és amelyek a változókat, például a nevet, a társadalombiztosítási számot stb. Feltérképezik, és egymás után helyezik el a helyes sorrendben, mondta Hansen.

Az IRS-támadás rámutat egy olyan problémára, amelyet a biztonsági kutató már régóta aggaszt - ha valamilyen információt kap valakitől, annál könnyebb összegyűjteni.

Ha az oldalak egyre inkább a név és a jelszó nélküli információkat használják az identitás megerősítésének módjaként, ez potenciális ajtót nyitott az okos hackerek számára.

Nem olyan biztonságos online biztonsági kérdések

"Az IRS webalkalmazás elleni támadás komoly előrelátással és szakértelemmel töltött be" - mondta a Trend Micro Global fenyegetés kommunikációs igazgatója, Christopher Budd.