IRS hack: domande 'solo tu sai' facile rispondere

Anonim

SAN FRANCISCO - Gli esperti di hacker che hanno avuto accesso a oltre 100.000 record personali attraverso il sito Get Transcript del Revenue Service non hanno bisogno di tutte le informazioni necessarie.

L'IRS ha reso noto che i criminali informatici hanno utilizzato i dati personali ottenuti da altri paesi per accedere al servizio di trascrizione, che consente agli utenti di visualizzare le transazioni del conto fiscale, le informazioni sui redditi riga-riga e i salari e le entrate segnalati all'IRS.

IRS dice che i ladri hanno rubato informazioni fiscali da 100.000

Per accedere a tali informazioni, un utente legittimo - o un ladro - ha richiesto un nome, il numero di previdenza sociale, la data di nascita, lo stato di deposito (single, sposato, ecc.) E un indirizzo.

Successivamente hanno dovuto rispondere a diverse domande di verifica dell'identità personale "a cui solo tu puoi rispondere", nelle parole del sito dell'IRS.

Questi sono conosciuti come un'autenticazione basata sulla conoscenza, o KBA, sfide. Venivano da un servizio offerto dall'ufficio di credito Equifax, secondo lo scrittore della sicurezza Brian Krebs.

Queste includevano informazioni come un indirizzo precedente o un numero di telefono o informazioni relative all'auto o al mutuo per la casa. Gli utenti dovevano fornire la risposta corretta a quattro di tali domande.

Il problema è che quel tipo di dati viene prontamente acquistato su Internet nel sottosuolo, dove vasti database contenenti portafogli completamente costruiti su decine di migliaia di persone possono contenere un minimo di un dollaro.

Lungi dall'essere domande "a cui solo tu puoi rispondere", le query di verifica usate dall'IRS sono state abbastanza facili da far sì che gli hacker abbiano tentato di entrare in 200.000 account e ottenere informazioni su 100.000.

"E 'abbastanza impressionante, è un tasso di successo del 50%", ha detto Morey Haber, vice presidente della tecnologia di BeyondTrust, una compagnia di sicurezza informatica con sede a Phoenix.

Inoltre, non sarebbe stato difficile automatizzarlo, ha dichiarato Robert Hansen, vicepresidente di WhiteHat Security, un'azienda di sicurezza californiana di Santa Clara.

"Le presentazioni robotiche sono estremamente facili da fare", ha affermato.

Letteralmente sono disponibili dozzine di strumenti, spesso usati dagli spammer, che mappano variabili come nome, numero di previdenza sociale, ecc. E li inseriscono uno dopo l'altro nell'ordine corretto, ha detto Hansen.

L'attacco IRS mette in luce un problema a cui i ricercatori della sicurezza si sono a lungo preoccupati: una volta che hai qualche informazione su qualcuno, è più facile raccogliere altro.

Con siti che utilizzano sempre più informazioni oltre al nome e alla password come un modo per confermare l'identità, questo ha aperto una potenziale porta per gli hacker intelligenti.

Domande di sicurezza online non così sicure

"L'attacco all'applicazione Web IRS ha richiesto una lungimiranza e competenza", ha dichiarato Christopher Budd, responsabile delle comunicazioni sulle minacce globali di Trend Micro.