IRS hack: Otázky "len vy viete" ľahko odpovedať

Anonim

SAN FRANCISCO - Hackeri, ktorí získali prístup k viac ako 100 000 osobným záznamom prostredníctvom stránky Interpretačnej služby spoločnosti GetRescript, nepotrebovali všetko toľko informácií, ktoré by sa mohli prelomiť, hovoria experti.

IRS v utorok uviedol, že kybernetickí kriminálnici použili osobné údaje získané odkiaľkoľvek, aby sa dostali do služby prepisov, ktorá umožňuje používateľom sledovať transakcie daňových účtov, informácie o daňových priznaniach line-by-line a mzdy a príjmy hlásené do IRS.

IRS tvrdí, že zlodeji ukradli daňové informácie od 100 000

Na prístup k týmto informáciám si oprávnený používateľ - alebo zlodej - vyžiadal meno, číslo sociálneho poistenia, dátum narodenia, stav podania (jediný, ženatý atď.) A adresu.

Ďalej je potrebné odpovedať na niekoľko osobných otázok overenia totožnosti, "ktoré len vy môžete odpovedať", podľa slov IRS stránky.

Tieto sú známe ako autentifikácia založená na vedomostiach alebo výzvy KBA. Pochádzali zo služby, ktorú ponúkla úverová kancelária Equifax, podľa bezpečnostného spisovateľa Briana Krebsa.

Patria sem informácie, ako napríklad predchádzajúca adresa alebo telefónne číslo alebo informácie o vozidle alebo úvere. Používatelia museli poskytnúť správnu odpoveď na štyri takéto otázky.

Problém je v tom, že tento typ údajov je ľahko zakúpený na internete v podzemí, kde rozsiahle databázy obsahujúce plne vybudované portfóliá na desiatkach tisíc ľudí môžu ísť len o rekordný dolár.

Či už nie sú otázky, "že len vy môžete odpovedať", overovacie otázky používané IRS boli dosť ľahké, že sa hackeri snažili preniknúť do 200 000 účtov a získať informácie zo 100 000.

"Je to dosť prekvapujúce, je to 50% úspešnosť, " povedal Morey Haber, viceprezident pre technológiu BeyondTrust, počítačová bezpečnostná spoločnosť založená vo Phoenixe.

Rovnako by nebolo ťažké automatizovať, povedal Robert Hansen, viceprezident spoločnosti WhiteHat Security, bezpečnostnej firmy v štáte Santa Clara, Kalifornia.

"Robotické podania sú veľmi jednoduché, " povedal.

Doslova sú k dispozícii desiatky nástrojov, ktoré často používajú spameri, ktoré mapujú premenné ako meno, číslo sociálneho poistenia atď. A vložia ich jeden po druhom v správnom poradí, povedal Hansen.

Útok IRS poukazuje na problém, ktorému sa výskumník v oblasti bezpečnosti už dlho obáva - keď už máte nejaké informácie o niekom, tým ľahšie sa zhromažďuje viac.

S webovými lokalitami, ktoré čoraz viac používajú informácie ako meno a heslo ako spôsob, ako potvrdiť totožnosť, to otvorilo potenciálne dvere pre šikovných hackerov.

Nie sú také bezpečné bezpečnostné otázky online

"Útok na webovú aplikáciu IRS si vyžiadal serióznu prognózu a odbornosť, " povedal manažér pre komunikáciu Trend Micro Global Christopher Budd.