IRS hakata: Kysymyksiä "vain tiedät" on helppo vastata

Anonim

SAN FRANCISCO - Hakkerit, joilla on pääsy yli 100 000 henkilökohtaiseen tietueeseen Internal Revenue Service -palvelun Get Transcript -sivuston kautta, eivät tarvinneet kaikkia niin paljon tietoja, jotta he voisivat rikkoa, sanoa asiantuntijoita.

IRS sanoi tiistaina, että tietoverkkorikolliset käyttivät muualta saatuja henkilötietoja päästäksesi transkriptiopalveluun, jonka avulla käyttäjät voivat tarkastella verotilitapahtumia, rivikohtaisia ​​veroilmoituksia ja palkkoja ja tuloja, jotka raportoidaan IRS: lle.

IRS: n mukaan varkaat varastivat verotiedot 100 000: sta

Tietojen saamiseksi oikeutettu käyttäjä - tai varas - vaati nimeä, sosiaaliturvatunnusta, syntymäaikaa, arkistointitilaa (yksin, naimisissa jne.) Ja katuosoitetta.

Seuraavaksi he tarvitsivat vastata useisiin henkilökohtaisen henkilöllisyyden tarkistamiseen liittyviin kysymyksiin, jotka vain IRS-sivuston sanat voivat vastata.

Näitä kutsutaan tietoon perustuvaksi todentamiseksi tai KBA-haasteiksi. He tulivat luottotoimiston Equifaxin tarjoamasta palvelusta turvallisuusasiantuntijan Brian Krebsin mukaan.

Niihin sisältyi tietoja, kuten esim. Osoite tai puhelinnumero tai auton tai asuntolainan tiedot. Käyttäjien oli annettava oikea vastaus neljälle tällaiselle kysymykselle.

Ongelmana on, että tällaisia ​​tietoja on helppo ostaa Internetistä maan alla, jossa suuret tietokannat, jotka sisältävät täysin sisäänrakennettuja salkkuja kymmenille tuhansille ihmisille, voivat mennä niin vähän kuin dollarin ennätys.

IRS: n käyttämät varmistuskyselyt olivat riittävän helppoja, että hakkerit yrittivät murtautua 200 000 tilille ja saivat tietoa 100 000: sta.

"Se on melko hämmästyttävää, se on 50%: n menestysaste", sanoi Phoenix-pohjaisen tietoturvayhtiön BeyondTrustin teknologiajohtaja teknologiajohtaja Morey Haber.

Se ei myöskään olisi ollut vaikea automatisoida, sanoo Robert Hansen, Santa Claran, Calif-pohjaisen turvallisuusyrityksen, WhiteHat Securityn varatoimitusjohtaja.

"Robottihakemuksia on erittäin helppo tehdä", hän sanoi.

Kirjaimellisesti kymmeniä työkaluja on saatavilla, joita usein käyttävät roskapostittajat, jotka kartoittavat muuttujia, kuten nimen, sosiaaliturvatunnuksen jne., Ja lisää ne toisilleen oikeassa järjestyksessä, Hansen sanoi.

IRS-hyökkäys tuo esiin ongelman, jonka turvallisuustutkija on jo pitkään huolissaan - jos sinulla on jonkin verran tietoa jokuista, sitä helpompaa on kerätä enemmän.

Kun sivustot käyttävät yhä enemmän nimeä ja salasanaa sisältävää tietoa identiteetin vahvistamisen keinona, tämä on avannut mahdollisen oven ovellisille hakkereille.

Ei niin turvallisia online-turvallisuuskysymyksiä

"IRS: n web-sovelluksen hyökkäys otti vakavasti ennakoinnin ja asiantuntemuksen", sanoi Trend Micro Globalin uhka viestintäpäällikkö Christopher Budd.