Можно было бы ожидать, что IRS обеспечит свое присутствие в сети, по крайней мере, так же, как и банк, но недавняя автоматическая атака на веб-сайт IRS показывает, насколько уязвим PIN-код IRS e-filing (персональный идентификационный номер) система может быть. 9 февраля 2016 года IRS сообщила об автоматическом нападении, в котором для успешного доступа к электронным файлам ПИН были использованы около 101 000 номеров социального обеспечения (SSN). Несанкционированные попытки были сделаны на около 464 000 уникальных SSN.

IRS уведомляет тех, кто пострадал от нарушения, и вносит дополнительные защиты для затронутых аккаунтов для защиты от идентификации кражи. (Подробнее об этой теме см. Как защитить ваши налоговые декларации от кражи личных данных и Кража личных данных подоходного налога: как бороться с победой .)

Проблема не нова для IRS. Фактически, в 2013 году кража личных данных была названа IRS в качестве мошенничества номер один, с которым он должен сражаться. Зная, что это проблема, неудивительно, что IRS не сделала больше для защиты своего веб-сайта с электронными файлами.

Проблема

18 февраля Джозеф Хенчман, вице-президент юридических и государственных проектов для налогового фонда, написал комиссару IRS Джону Коскинену, чтобы указать на проблемы с «Get My Electronic Палис "на веб-сайте IRS. Эта страница ", которая позволяет налогоплательщикам получать номер IRS-провайдера для подачи своих налогов в Интернете, - писал он, - требует такой минимальной информации, что любой вор данных, который стоит его соли, уже имел бы. В настоящее время любой, у кого есть номер социального обеспечения, адрес и дата рождения, может украсть чью-то личность с использованием этой страницы IRS. «

Хенчмен отметил, что функции, которые сделают страницу более безопасной, включают в себя:

• Функция «CAPTCHA», которая требует, чтобы кто-то продемонстрировал, что он или она человек.
• Необходимая информация о том, что хакер или вор данных не имели бы легкого доступа, например, данные из налоговой декларации за предыдущий год для проверки личности.

Более того, когда Хенчмен пытался получить IRS-PIN-код, в браузере Chrome он использовал предупреждение о том, что страница IRS «использует слабую конфигурацию безопасности» и что «соединение зашифровывается с использованием устаревшего набора cypher [sic]» , «

Хенчмен написал:« Весь смысл требовать, чтобы ПИН-код был электронным, заключается в том, чтобы минимизировать кражу идентификационной информации, поэтому грустно иронично, что процесс получения электронного ПИН-кода настолько прост, что он делает все возможное, чтобы получить один бессмысленный в лучшем случае, и кражи личных данных в худшем случае. «

Ответ IRS

В ответ на письмо налогового фонда IRS опубликовала заявление о том, что« мы не обсуждаем наши базовые протоколы или системы. «В частности, касательно использования функций CAPTCHA, IRS добавил:« В этой быстро развивающейся области, связанной с кибербезопасностью, не всегда есть простые решения.Например, многие методы «CAPTCHA» имеют недостатки, которые умные злоумышленники могут преодолеть. «Несмотря на это, IRS заверил налогоплательщиков, он« продолжает пристально следить за применением ПИН-кода электронного файла, а также других наших систем, и мы примем меры по защите налогоплательщиков. «

Налоговый фонд впервые узнал о проблеме из Luca Gattoni-Celli налоговых аналитиков, которая опубликовала предупреждение 18 февраля. Налоговые аналитики связались с бывшим агентом по доходам IRS Кевином Джонсоном, который считал этот процесс« несколько смущаясь, потому что слишком легко получить ПИН-коды. «

Нижняя линия

ПИН-код электронной заявки должен предоставить гражданам США гарантии того, что их записи в IRS являются безопасными. Очевидно, что это нарушение вызывает вопросы об уровне безопасности, который в настоящее время существует. Следите за своей почтой за письмом от IRS, если у вас есть номер социального страхования, который мог быть взломан.

IRS выпустила заявление, которое указывает, что оно знает о проблеме и что оно внесло дополнительные меры защиты. IRS также указала на то, что системы обработки различны: «Системы обработки являются отдельными и отличными от приложения для электронного файла PIN, а информация налогоплательщика не была скомпрометирована на этой критической платформе. "

Узнайте больше о защите себя в Как защитить себя от кражи личных данных .