Wenn die IRS kümmert sich eigentlich um nicht gehackt, hat es eine lustige Art zu zeigen es
Hacker stahlen vertrauliche Datensätze von über 700.000 Menschen durch die Verletzung des Internal Revenue Service im Jahr 2015. Du denkst, dass Art von schrecklichen Sicherheitsverletzung einige Gewissenserforschung auffordern würde, aber [Witz über seelenlosen Fiskus hier einfügen] NÖ. Die IRS weiterhin eine eindrucksvoll schlechte PIN-Authentifizierung verwenden, um Menschen vor Betrug zu schützen.
Menschen, die letztes Jahr wurden gehackt wurden sicherte zu, dass sie diesmal sicher werden, und die IRS hat "IP-PINS" verschickt – "Internet-Schutz" PINs bedeutete eine zusätzliche Sicherheit gegen Hacker hinzufügen. Die IP-Stifte waren im Grunde Geheimcodes, dass Steuerzahler erforderlich waren, um auf ihre Taxforms verwenden, um Betrug in der Zukunft zu verhindern. Das Problem ist, wie Sicherheitsexperte Brian Krebs in dieser Woche berichtet diese IP-PINs sind mit der gleichen dummen Prozess, der Hacker letztes Jahr brach authentifiziert:
Die IRS getötet erhalten Transcript-Funktion im Mai 2015, nachdem bekannt wurde (erste auf diesem Blog), dass Gauner um Verbraucher Identitäten und Erstattungen entführen missbraucht wurden. Aber hier das Problem ist: die Agentur erfordert IP-PIN Inhaber sucht eine Kopie ihrer PIN durch den exakt gleichen fehlerhaften Authentifizierungsprozess zu springen, die jetzt-verstorbene bekommen Transkript Service befallen.
Die Hacker stahlen alle diese Dateien, weil sie herausgefunden, wie man den Authentifizierungsprozess zu betrügen, die Menschen Zugang zu ihren PINs. In diesem Jahr können sie verdammt dasselbe tun können.
Quarz sprach mit dem IRS über dieses Problem. Die Antwort war nicht beruhigend:
Die IRS sagte in einer Erklärung gegeben, Quarz obwohl es den Authentifizierungsprozess für IP-PIN Abfrage überprüft hat, "die meisten Steuerzahler erhalten ihre IP-PIN per e-Mail und verwenden Sie das Werkzeug niemals." Es wies auch darauf hin, dass "im Gegensatz zu Get Abschrift, ist die IP-PIN-Werkzeug zur Verfügung, um eine begrenzte Anzahl von Steuerpflichtigen, die spezielle Markierungen auf ihre Steuerkonten erfolgreich auf das Tool zugreifen müssen."
IT fügte hinzu: "das IRS hat eine Reihe von Schutzmaßnahmen für den Internetverkehr auf IRS.gov, und wir weiterhin die IP-PIN Situation beobachten."
Das ist irgendwie bekam wie wenn Sie beraubt, so eine Alarm Firma dir einen zusätzlichen Alarm gab, aber nicht die Mühe, das Codemuster zu ändern, die Diebe bereits vorher herausgefunden hatte.
[Brian Krebs über Quarz]
Kontaktieren Sie den Autor unter [email protected].
Öffentlichen PGP-Schlüssel
PGP-Fingerprint: E71A 198B C6A4 60CB CEEA 2635 4AA0 EE14 6579 0F38