Man vil forvente, at IRS skal sikre sin webtilstedeværelse mindst lige så godt som en bank, men et nylig automatiseret angreb på IRS-webstedet viser, hvor sårbar IRS e-filing PIN (personlig identifikationsnummer) systemet kan være. Den 9. februar 2016 rapporterede IRS et automatiseret angreb, hvor omkring 101.000 Social Security Numbers (SSN'er) blev brugt til at få adgang til e-fil-pinkoder. Uautoriserede forsøg blev lavet på omkring 464.000 unikke SSN'er.

IRS meddeler dem, der er berørt af overtrædelsen, og indsætter yderligere beskyttelser på de berørte konti for at beskytte mod identifikationstyveri. (Se mere om emnet, se Sådan beskytter du dine skatteafkast fra identitetstyveri og Identitetstyveri til indkomstskat: Sådan bekæmpes .)

Problemet er ikke nyt for IRS. Faktisk, i 2013 blev identitetstyveri navngivet af IRS som nummer et fupnummer, det skal bekæmpe. At vide dette er et problem, det er overraskende, at IRS ikke har gjort mere for at sikre sit e-fil-websted.

Problemet

Den 18. februar skrev Joseph Henchman, vicepræsident for juridiske og statslige projekter for Skattefonden, til IRS-kommissær John Koskinen for at påpege problemer med "Get My Electronic Filing PIN "side på IRS hjemmeside. Denne side ", som gør det muligt for skatteyderne at få et IRS-udbydernummer til at indgive deres skatter online," skrev han ", kræver så minimal information, at enhver datiedief, der er værd for sit salt, allerede ville have. I øjeblikket kan enhver, der har en persons socialsikringsnummer, adresse og fødselsdato stjæle en persons identitet ved hjælp af denne IRS-side. ”

Henchman bemærkede, at funktioner, der ville gøre siden mere sikker, omfatter:

• En "CAPTCHA" -funktion, der kræver en til at demonstrere, at han eller hun er menneskelig.
• Nødvendig information om, at en hacker eller datatyv ikke ville have let adgang til, f.eks. Detaljer fra det foregående års selvangivelse for at bekræfte identiteten.

Når Henchman forsøgte at få en IRS-pinkode, udstedte den Chrome-webbrowser, han brugte, en advarsel om, at IRS-siden "bruger en svag sikkerhedskonfiguration", og at "forbindelsen krypteres ved hjælp af en forældet cypher-suite . "Henkman skrev:" Hele punktet med at kræve en PIN-kode til fil elektronisk er at minimere identitetstyveri, så det er desværre ironisk, at processen med at opnå en elektronisk PIN-kode er så let, at det hele gør det muligt at opnå en meningsløs i bedste fald og gøre identitetstyveri lettere i værste fald. "

IRS Response

Som svar på brev fra Skattefonden udstedte IRS en erklæring om, at" vi diskuterer ikke vores underliggende protokoller eller systemer. "Specielt hvad angår brugen af ​​CAPTCHA-funktioner, tilføjede IRS," Der er ikke altid enkle løsninger på problemer i dette hurtigt udviklede område med cybersikkerhed.For eksempel har mange 'CAPTCHA' -teknikker svagheder, som smarte angribere kan overvinde. "På trods af dette forsikrede IRS, at skatteyderne, det" fortsat overvåger e-mail-pinkodeapplikationen såvel som vores andre systemer, og vi vil tage skridt til at beskytte skatteyderne. Skattefonden lærte først om problemet fra Luca Gattoni-Celli fra skatteanalytikere, der offentliggjorde varslingen den 18. februar. Skatteanalytikere blev kontaktet af en tidligere IRS-omsætningsagent, Kevin Johnson, der vurderede processen "noget foruroligende fordi det er for nemt at få PIN-koden. "

Bundlinjen

E-arkiverings-PIN'en skal give os borgere den sikkerhed for, at deres optegnelser hos IRS er sikre. Det er klart, at denne overtrædelse rejser spørgsmål om, hvor meget sikkerhed der er på plads. Se din mail for et brev fra IRS, hvis du har et af de sociale sikkerhedsnumre, der kunne have været hacket.

IRS udstedte en erklæring om, at den er opmærksom på problemet, og at den har lagt yderligere beskyttelser på plads. IRS påpegede også, at behandlingssystemerne er forskellige: "Behandlingssystemerne er separate og adskiller sig fra e-fil-PIN-applikationen, og skatteydernes information er ikke blevet kompromitteret på denne kritiske platform. "

Få mere at vide om at beskytte dig selv i

Sådan beskytter du dig mod identitetstyveri

.