Je zou verwachten dat de IRS zijn aanwezigheid op het web minstens zo goed beveiligt als een bank, maar een recente geautomatiseerde aanval op de IRS-website laat zien hoe kwetsbaar de IRS e-filing PIN (persoonlijk identificatienummer) is systeem kan zijn. Op 9 februari 2016 meldde de IRS een geautomatiseerde aanval waarbij ongeveer 101.000 socialezekerheidsnummers (SSN's) werden gebruikt om met succes toegang te krijgen tot e-file PIN's. Ongeautoriseerde pogingen werden gedaan op ongeveer 464.000 unieke SSN's.

De IRS brengt degenen die het slachtoffer zijn van de inbreuk op de hoogte en biedt extra bescherming aan de getroffen accounts om zich te beschermen tegen identiteitsdiefstal. (Zie voor meer informatie over dit onderwerp Hoe u uw belastingaangifte beveiligt tegen identiteitsdiefstal en Inkomstenbelasting identiteitsdiefstal: hoe u terug kunt vechten .)

Het probleem is niet nieuw van hen. Sterker nog, in 2013 werd identiteitsdiefstal door de IRS benoemd als de nummer één oplichting die het moet bestrijden. Wetende dat dit een probleem is, is het verrassend dat de IRS niet meer heeft gedaan om zijn e-bestandswebsite te beveiligen.

Het probleem

Op 18 februari schreef Joseph Henchman, vice-president van juridische en staatsprojecten voor de Tax Foundation, aan IRS-commissaris John Koskinen om problemen aan te wijzen met de "Get My Electronic Piling PIN "-pagina op de IRS-website. Deze pagina, "die belastingbetalers in staat stelt een IRS-providernummer te bemachtigen om hun belasting online in te dienen", schreef hij, "vereist zulke minimale informatie dat elke gegevensdief die zijn zout waard is, al zou hebben. Momenteel kan iedereen die iemands sofinummer, adres en geboortedatum heeft iemands identiteit stelen met behulp van deze IRS-pagina. “

Henchman merkte op dat functies die de pagina veiliger zouden maken, onder meer zijn:

• Een "CAPTCHA" -functie die vereist dat iemand kan aantonen dat hij of zij een mens is.
• Vereiste informatie waar een hacker of gegevensdief geen gemakkelijke toegang tot zou hebben, zoals details van de belastingaangifte van het vorige jaar om de identiteit te verifiëren.

Wat meer is, toen Henchman een IRS-pincode probeerde te krijgen, gaf de Chrome-webbrowser die hij gebruikte een waarschuwing dat de IRS-pagina "een zwakke beveiligingsconfiguratie gebruikt" en dat de "verbinding is gecodeerd met een verouderde cypher [sic] -suite . "

Henchman schreef:" Het hele punt van het elektronisch indienen van een pincode is het minimaliseren van identiteitsdiefstal, dus het is droevig ironisch dat het proces om een ​​elektronische pincode te verkrijgen zo gemakkelijk is dat het het hele punt van het verkrijgen van één doelloos wordt op zijn best en identiteitsdiefstal in het slechtste geval gemakkelijker maken. "

De IRS-reactie

In reactie op de brief van de belastingstichting, heeft de IRS een verklaring afgegeven dat" wij onze onderliggende protocollen of systemen niet bespreken. "Specifiek met betrekking tot het gebruik van CAPTCHA-functies voegde de IRS eraan toe:" Er zijn niet altijd eenvoudige oplossingen voor problemen in dit snel evoluerende gebied met cyberbeveiliging.Veel 'CAPTCHA'-technieken hebben bijvoorbeeld zwakke punten die slimme aanvallers kunnen overwinnen. "Ondanks dit verzekerde de IRS de belastingbetaler," blijft hij de e-file PIN-applicatie en onze andere systemen nauwlettend volgen en zullen we actie ondernemen om de belastingbetalers te beschermen. "

De Belastingstichting heeft voor het eerst het probleem vernomen van Luca Gattoni-Celli van Tax Analysts, die de waarschuwing publiceerde op 18 februari. Tax Analysts werden benaderd door een voormalige IRS-omzetagent, Kevin Johnson, die het proces" enigszins beschouwde " verontrustend omdat het te gemakkelijk is om de pincodes te verkrijgen. "

De ondergrens

De e-filing-pincode moet U.-burgers de zekerheid geven dat hun gegevens bij de IRS veilig zijn. Het is duidelijk dat deze schending vragen oproept over het huidige beveiligingsniveau. Bekijk uw e-mail voor een brief van de IRS, voor het geval u een van de burgerservicenummers heeft die mogelijk zijn gehackt.

De IRS heeft een verklaring uitgegeven waarin wordt aangegeven dat hij op de hoogte is van het probleem en dat aanvullende beveiligingsmaatregelen zijn getroffen. De IRS wees er ook op dat de verwerkingssystemen verschillend zijn: "De verwerkingssystemen zijn gescheiden en verschillend van de e-file PIN-toepassing, en de belastingbetaler-informatie is niet aangetast op dit kritieke platform. "

Meer informatie over uzelf beschermen in Hoe u uzelf kunt beschermen tegen identiteitsdiefstal .