אחד היה מצפה למס הכנסה כדי להבטיח נוכחות האינטרנט שלה לפחות כמו גם בנק, אבל התקפה אוטומטית לאחרונה באתר IRS מראה כמה פגיע מס הכנסה ה- IRS דואר הזיהוי (מספר זיהוי אישי) המערכת יכולה להיות. ב 9 פבואר 2016, ה- IRS דיווח על התקפה אוטומטית שבה כ 101, 000 מספרי ביטוח לאומי (SSN) שימשו בהצלחה גישה e-file PINs. ניסיונות לא מורשים נעשו על 464, 000 SSN ייחודי.

-> ->

למס הכנסה הוא מודיע אלה מושפעים על ידי הפרת לשים הגנות נוספות על חשבונות מושפעים כדי להגן מפני גניבת זהות. (לפרטים נוספים על הנושא, ראה כיצד להגן על המס שלך מחזיר גניבת זהות ו מס הכנסה גניבת זהות: כיצד להילחם בחזרה .)

הבעיה אינה חדשה למס הכנסה. למעשה, בשנת 2013, גניבת זהות נקראה על ידי ה- IRS כמו הונאה מספר אחד הוא חייב להילחם. בידיעה זו בעיה, זה מפתיע למס הכנסה לא עשה יותר כדי לאבטח את הקובץ האלקטרוני באתר.

-> ->

הבעיה

ב 18 פבואר, יוסף Henchman, סגן נשיא של פרויקטים משפטיים המדינה עבור קרן מס, כתב הנציבות IRS קוסקין כדי להצביע על בעיות עם "קבל שלי אלקטרונית הגשת קוד PIN "באתר האינטרנט של מס הכנסה. דף זה, "המאפשר למשלם המסים לקבל מספר של מס הכנסה למסור את המסים שלהם באינטרנט", כתב, "דורש מידע מינימלי שכזה, שכל גנב נתונים שישווה לו את המלח, כבר היה קיים. נכון לעכשיו, כל מי שיש לו מספר תעודת זהות של מישהו, כתובת ותאריך הלידה יכול לגנוב זהות של מישהו באמצעות דף IRS זה. "

-> ->

Henchman ציין כי תכונות שיהפכו את הדף מאובטחת יותר כוללים:

• תכונה "CAPTCHA" הדורש אחד כדי להוכיח הוא או אנושי.
• מידע נדרש שלגנב האקר או לגנב נתונים לא תהיה גישה קלה אליו, כגון פרטים מהחזר המס של השנה הקודמת לאימות הזהות.

מה עוד, כשהנצ'מן ניסה להשיג קוד PIN של IRS, דפדפן האינטרנט של Chrome שהשתמש בו הוציא אזהרה כי דף ה- IRS "משתמש בתצורת אבטחה חלשה" ושהחיבור "מוצפן באמצעות חבילת cypher [sic] מיושנת . "" כל הנקודה של דרישת PIN כדי להגיש באופן אלקטרוני היא למזער את גניבת הזהות, ולכן למרבה האירוניה למרבה האירוניה כי התהליך כדי לקבל PIN אלקטרונית כל כך קל כי זה עושה את כל הנקודה של השגת אחד חסר טעם במקרה הטוב ולהפוך גניבת זהות קל במקרה הגרוע. "

תגובת מס הכנסה

בתגובה למכתב של קרן המס, ה- IRS הוציא הצהרה כי" איננו דנים בפרוטוקולים או במערכות שלנו. "במיוחד לגבי השימוש בתכונות CAPTCHA, הוסיף IRS," לא תמיד יש פתרונות פשוטים לנושאים באזור המתפתח במהירות זה, כולל אבטחה cybersecurity.לדוגמה, טכניקות "CAPTCHA" רבות יש חולשות כי התוקפים החכמים יכולים להתגבר. "למרות זאת, ה- IRS הבטיחו משלמי המסים, היא" ממשיכה לעקוב מקרוב אחר יישום ה- PIN של ה- e-mail, כמו גם למערכות האחרות שלנו, ואנו ננקוט פעולה לפי הצורך כדי להגן על משלמי המסים. "

קרן מס הראשונה למדה על הבעיה של לוקה Gattoni-Celli של אנליסטים מס, אשר פרסם את ההתראה ב 18 פבואר. 18 מס אנליסטים היה קשר עם סוכן הכנסות IRS לשעבר, קווין ג 'ונסון, אשר ראה את התהליך" במידה מסוימת מטריד כי זה קל מדי להשיג את מספרי ה- PIN. "

השורה התחתונה

ה- PIN של ה- e-filing אמור לספק לאזרחי U. את ההבטחה שהרשומות שלהם במס הכנסה יהיו בטוחות. ברור כי הפרה זו מעלה שאלות לגבי רמת הביטחון הקיימת כיום. צפה בדואר שלך עבור מכתב ממס הכנסה, במקרה שיש לך אחד ממספרי הביטוח הלאומי שאולי נפרצו.

IRS הוציא הצהרה המציינת שהוא מודע לבעיה וכי יש לשים הגנות נוספות במקום. מס הכנסה גם ציין כי מערכות העיבוד שונות: "מערכות העיבוד הן נפרדות ומובחנות מאפליקציית ה- PIN של קובץ הדואר האלקטרוני, ופרטי משלם המסים לא נפגעו על פלטפורמה קריטית זו. "

למידע נוסף על הגנה על עצמך

כיצד להגן על עצמך מפני גניבת זהות .