IRS web varlığını en azından bir banka olarak güvence altına almasını bekler ancak IRS web sitesine yapılan yeni bir otomatik saldırı, IRS e-dosyalama PIN'inin (kişisel kimlik numarası) ne kadar savunmasız olduğunu gösterir. sistem olabilir. 9 Şubat 2016'da IRS, e-dosya PIN'lerine başarıyla erişmek için yaklaşık 101,000 Sosyal Güvenlik Numarası'nın (SSN) kullanıldığı otomatik bir saldırı rapor etti. Yaklaşık 464.000 benzersiz SSN'ye yetkisiz girişimler yapıldı.

IRS, ihlalden etkilenenlere haber veriyor ve hırsızlığa karşı korunmak için etkilenen hesaplara ek korumalar koyuyor. (Konuyla ilgili daha fazla bilgi için, bkz. Kimlik Hırsızlığından ve Gelir Vergisi Kimlik Hırsızlığına Karşı Vergi İadelerinizi Nasıl Koruyacaksınız? ile Savaş Nasıl Yapılır.)

Sorun yeni değil onların. Aslında, 2013'te kimlik hırsızlığı, IRS tarafından mücadele edilmesi gereken bir numaralı aldatmaca olarak seçildi. Bunun bir problem olduğunu bilmek, IRS'in e-dosya web sitesini güvence altına almak için daha fazlasını yapmadığı şaşırtıcı.

Sorun

18 Şubat'ta, Vergi Vakfı için yasal ve devlet projelerinin başkan yardımcısı Joseph Henchman, IRS Komiseri John Koskinen'e "Get My Electronic" sorunlarını belirtmek için yazdı. IRS web sitesinde "Dosyalama PIN" sayfası. Yazar, "vergi mükelleflerinin vergilerini çevrimiçi olarak doldurmak için bir IRS sağlayıcısı numarası elde etmesini sağlayan bu sayfa," tuzağına düşen herhangi bir bilgi hırsızının zaten sahip olacağı çok az bilgi gerektiriyor. Şu anda, kimsenin Sosyal Güvenlik numarasına, adresine ve doğum tarihine sahip olan herkes bu IRS sayfasını kullanarak birinin kimliğini çalabilir. “

Henchman, sayfayı daha güvenli hale getirecek özelliklerin şunları söyledi:

• İnsan olduğunu kanıtlamak için bir tane gerektiren "CAPTCHA" özelliği.
• Bir korsan veya veri hırsızının kolay erişemeyeceği, örneğin kimliği doğrulamak için önceki yılın vergisinin ayrıntıları gibi gerekli bilgiler.

Ayrıca, Henchman IRS PIN'i almaya çalıştığında, kullandığı Chrome web tarayıcısı, IRS sayfasının "zayıf bir güvenlik yapılandırması kullandığını" ve "bağlantıyı eski bir cypher [sic] paketiyle şifrelediğini" bildiren bir uyarı yayınladı. . "

Henchman," Elektronik olarak dosyalama için PIN gerektiren nokta, kimlik hırsızlığını en aza indirmektir, bu nedenle elektronik bir PIN elde etme işleminin o kadar kolay olduğunu ironiktir ki, tek bir anlamsız en iyi ihtimalle en kötü ihtimalle kimlik hırsızlığını kolaylaştırır. "

IRS Tepkisi

IRS, Vergi Vakfı mektubuna yanıt olarak" temel protokollerimizi veya sistemlerimizi tartışmıyoruz "ifadesine yer verdi. "Özellikle CAPTCHA özelliklerinin kullanımı ile ilgili olarak, IRS," Siber güvenlikle ilgili bu hızlı gelişen alanda sorunlara her zaman basit çözümler bulunmamaktadır.Örneğin, birçok "CAPTCHA" tekniği, akıllı saldırganların üstesinden gelebileceği zayıf yönlere sahiptir. "Buna rağmen, IRS vergi mükelleflerine güvence verdi," e-dosya PIN uygulamasını ve diğer sistemlerimizi yakından takip etmeye devam ediyor ve mükellefleri korumak için gerektiği gibi harekete geçeceğiz. "

Vergi Dairesi, ilk olarak 18 Şubat'ta uyarı yayınlayan Vergi Analistleri Luca Gattoni-Celli'nin problemini öğrendi. Vergi Analistleri, süreci" biraz "kabul eden eski bir IRS gelir ajanı Kevin Johnson'la temasa geçti. çünkü PIN'lerin alınması çok kolaydır. "

Bottom Line

E-dosyalama PIN'inin ABD vatandaşlarına IRS ile kayıtlarının güvenli olduğunu güvence vermesi bekleniyor. Açıkçası, bu ihlal mevcut güvenlik düzeyiyle ilgili soruları gündeme getirmektedir. Saldırıya uğramış olabilecek Sosyal Güvenlik numaralarından birine sahip olmanız için IRS'den bir mektup gönderdiğiniz postayı izleyin.

IRS, sorunun farkında olduğunu ve ek korumalar koyduğunu belirten bir bildiri yayınladı. IRS ayrıca, işlem sistemlerinin farklı olduğunu belirtti: "İşlem sistemleri, e-dosya PIN uygulamasından ayrı ve farklı ve bu kritik platformda vergi mükellefi bilgilerinin ele geçirilmedi. "

Kendinizi Kimlik Hırsızlığına Karşı Nasıl Koruyacaksınız 'da koruma hakkında daha fazla bilgi edinin.