Člověk by očekával, že IRS zajistí svoji přítomnost na internetu alespoň stejně jako banka, ale nedávný automatizovaný útok na internetovou stránku IRS ukazuje, jak zranitelný je IRS e-filing PIN (osobní identifikační číslo) systém může být. 9. února 2016 oznámila IRS automatizovaný útok, ve kterém bylo použito 101 000 čísel sociálního zabezpečení (SSN) pro úspěšný přístup k PINům elektronických souborů. Neoprávněnými pokusy byly učiněny asi 464 000 unikátních SSN.

IRS informuje osoby postižené porušením a přidává další ochranu příslušným účtům, aby se zabránilo odcizení krádeže. (Další informace o tématu najdete v části Jak ochránit vaše daňové přiznání od krádeže identity a Krádež identity daní z příjmů: Jak bojovat proti .)

Problém není nový IRS. Ve skutečnosti, v roce 2013, krádež totožnosti byla pojmenována IRS jako podvod číslo jedna to musí bojovat. Vědět, že to je problém, je překvapující, že IRS nedělá více, aby zajistila své internetové stránky pro e-soubory.

Problém

Dne ​​18. února Joseph Henchman, viceprezident pro právní a státní projekty pro daňovou nadaci, napsal komisaři IRS Johnovi Koskinenovi, že poukazuje na problémy s "Get My Electronic Podání PIN "na webových stránkách IRS. Tato stránka, "která umožňuje daňovým poplatníkům získat číslo poskytovatele IRS k podání daní online," napsal, "vyžaduje takové minimální informace, které by již nějaký datový zloděj, který stojí za jeho sůl. V současné době může kdokoli, kdo má číslo sociálního pojištění, adresu a datum narození, může tuto stránku IRS ukrást. "

Henchman poznamenal, že funkce, které by zajistily bezpečnější stránku, zahrnují:

Funkci "CAPTCHA", která vyžaduje, aby člověk demonstroval, že je člověk.

• Požadované informace, které by hacker nebo zloděj údajů neměli snadný přístup, například údaje z daňového přiznání z předchozího roku k ověření totožnosti.
• A co víc, když se Henchman pokusil získat kód IRS, prohlížeč prohlížeče Chrome, který použil, vydal varování, že stránka IRS "používá slabou konfiguraci zabezpečení" a že "připojení je šifrováno pomocí zastaralé šifry typu cypher . "

Henchman napsal:" Celý požadavek na to, aby byl PIN uložen elektronicky, je minimalizovat krádež identity, takže je smutně ironické, že proces získání elektronického PIN je tak snadný, že dělá celý bod získání zbytečného v nejlepším případě a krádeží identity jednodušší v nejhorším případě. "

Odpověď IRS

V reakci na dopis od Daňové nadace vydal IRS prohlášení, že" neprobíháme o našich základních protokolech nebo systémech. "Konkrétně pokud jde o používání vlastností CAPTCHA, IRS dodává:" V této rychle se vyvíjející oblasti zahrnující kyberneticko-bezpečnostní zabezpečení nejsou vždy problémy s řešením problémů.Například mnoho technik "CAPTCHA" má slabiny, které mohou inteligentní útočníci překonat. “Navzdory tomu, IRS ujistil daňové poplatníky, že„i nadále pozorně sledovat aplikace e-file PIN, stejně jako naše ostatní systémy, a budeme jednat podle potřeby chránit daňové poplatníky. „

The Foundation Tax poprvé dozvěděl o problému od Luca Gattoni-Celli daňových analytiků, který publikoval záznam na únor 18. daňových Analysts kontaktoval bývalý IRS výnosů agent, Kevin Johnson, který se považuje za proces„poněkud znepokojení, protože je příliš snadné získat PIN. "

Bottom Line

Podpůrný kód PIN by měl poskytnout občanům USA jistotu, že jejich záznamy s IRS jsou bezpečné. Je zřejmé, že toto narušení vyvolává otázky ohledně úrovně bezpečnosti, která je v současné době platná. Sledujte svou poštu o dopis od IRS, pokud máte jedno z čísel sociálního zabezpečení, které mohly být napadeny.

Úřad IRS vydal prohlášení, které naznačuje, že si je vědom tohoto problému a že zavedl další ochranu. IRS také poukázal na to, že systémy zpracování jsou různé: „Systémy zpracování jsou oddělené a odlišné od aplikace PIN e-souboru a informace poplatník nebyl ohrožen na tuto kritickou platformu. "

Další informace o ochraně v

Jak se chránit proti krádeži identity .