Man kan forvente at skattemyndighetene ivaretar sin webtilstedeværelse minst så vel som en bank, men et nylig automatisert angrep på IRS-nettstedet viser hvor sårbar IRS-e-filing-PIN-koden (personlig ID-nummer) systemet kan være. Den 9. februar 2016 rapporterte IRS et automatisert angrep hvor omtrent 101 000 personnummer (SSN) ble brukt til å få tilgang til e-post-PIN-koder. Uautoriserte forsøk ble utført på ca 464 000 unike SSN.

IRS gir melding om de som er berørt av bruddet og legger inn ekstra beskyttelse mot de berørte kontoene for å beskytte mot identifiserende tyveri. (For mer om emnet, se Slik beskytter du skatteavkastningen din fra identitetstyveri og Identitetstyveri for inntektsskatt: Hvordan bekjempes .)

Problemet er ikke nytt for IRS. Faktisk, i 2013 ble identitetstyveri navngitt av IRS som nummer ett svindel det må bekjempe. Å vite dette er et problem, det er overraskende at skattemyndighetene ikke har gjort mer for å sikre e-fil-nettstedet.

Problemet

Den 18. februar skrev Joseph Henchman, visepresident for juridiske og statlige prosjekter for Skattefondet, til IRS-kommissær John Koskinen for å peke på problemer med "Get My Electronic" Filing PIN "-siden på IRS-nettstedet. Denne siden, "som gjør det mulig for skattytere å få et IRS-leverandørnummer for å arkivere sine avgifter online," skrev han, "krever så liten informasjon som en datatyv som er verdt hans salt allerede hadde. For øyeblikket kan enhver som har noens personnummer, adresse og fødselsdato stjele andres identitet ved hjelp av denne IRS-siden. “

Henchman bemerket at funksjoner som ville gjøre siden sikrere inkluderer:

En "CAPTCHA" -funksjon som krever at man viser at han eller hun er menneskelig.

• Nødvendig informasjon om at en hacker eller datatyv ikke ville ha lett tilgang til, for eksempel detaljer fra forrige års selvangivelse for å verifisere identitet.
• Dessuten, da Henchman prøvde å få en IRS-kode, utstedte Chrome-nettleseren han brukte en advarsel om at IRS-siden "bruker en svak sikkerhetskonfigurasjon" og at "forbindelsen er kryptert ved hjelp av en utdatert cypher-sic-suite . "Henkman skrev:" Hele poenget med å kreve en PIN-kode til fil elektronisk er å minimere identitetstyveri, så det er dessverre ironisk at prosessen for å skaffe en elektronisk PIN-kode er så lett at det gir hele poenget med å skaffe seg en meningsløs i beste fall og gjøre identitetstyveri lettere i verste fall. "

IRS-svaret

Som svar på brevet fra Skattefondet utstedte IRS en erklæring om at" vi diskuterer ikke våre underliggende protokoller eller systemer. "Spesielt om bruk av CAPTCHA-funksjoner, tilføyet IRS," Det er ikke alltid enkle løsninger på problemer i dette raskt utviklende området med cybersikkerhet.For eksempel har mange "CAPTCHA" -teknikker svakheter som smarte angripere kan overvinne. "Til tross for dette, forsikret IRS-skattebetalere, fortsetter den å følge nøye med e-post-PIN-applikasjonen, så vel som våre andre systemer, og vi vil iverksette tiltak for å beskytte skattebetalere. Skattestiftelsen lærte først om problemet fra Luca Gattoni-Celli fra skatteanalytikere, som utgav varselet den 18. februar. Skatteanalytikere ble kontaktet av en tidligere IRS-omsetningsagent, Kevin Johnson, som vurderte prosessen "noe forvirrende fordi det er for enkelt å få tak i PIN-koden. "

Bunnlinjen

E-arkiverings-PIN-en skal gi amerikanske statsborgere forsikringen om at deres poster hos IRS er sikre. Det er klart at dette bruddet stiller spørsmål om sikkerhetsnivået som er på plass. Se posten din for et brev fra IRS, hvis du har et av de personnummer som kan ha blitt hacket.

IRS utstedte en erklæring som indikerer at den er klar over problemet og at den har lagt ytterligere beskyttelse på plass. IRS påpekte også at behandlingssystemene er forskjellige: "Behandlingssystemene er separate og skiller seg fra e-fil-PIN-applikasjonen, og skattebetalers informasjon er ikke blitt kompromittert på denne kritiske plattformen. "

Lær mer om å beskytte deg selv i

Slik beskytter du deg mot identitetstyveri