IRS-Hack: Fragen, die nur Sie kennen, sind leicht zu beantworten

Anonim

SAN FRANCISCO - Die Hacker, die über die Get Transcript-Website des Internal Revenue Service Zugriff auf über 100.000 persönliche Datensätze erhielten, brauchten nicht so viele Informationen, um einbrechen zu können, sagen Experten.

Der IRS gab am Dienstag bekannt, dass Cyberkriminelle personenbezogene Daten aus anderen Ländern verwendet hätten, um in den Transkriptionsdienst zu gelangen, der es den Benutzern ermöglicht, Steuerkonto-Transaktionen, zeilenweise Informationen zur Steuererklärung sowie Löhne und Einkommen, die dem IRS gemeldet wurden, einzusehen.

IRS sagt, dass Diebe 100.000 Steuerinformationen gestohlen haben

Um auf diese Informationen zugreifen zu können, benötigte ein legitimer Benutzer - oder ein Dieb - einen Namen, die Sozialversicherungsnummer, das Geburtsdatum, den Anmeldestatus (alleinstehend, verheiratet, usw.) und eine Straße.

Als Nächstes mussten sie einige persönliche Fragen zur Identitätsprüfung mit den Worten der IRS-Site beantworten, "die nur Sie beantworten können".

Diese Herausforderungen werden als wissensbasierte Authentifizierung (KBA) bezeichnet. Sie stammten aus einem Service, den das Kreditbüro Equifax nach Angaben des Sicherheitsautors Brian Krebs angeboten hatte.

Darunter fallen Informationen wie eine vorherige Adresse oder Telefonnummer oder Informationen zum Auto- oder Wohnungsbaudarlehen. Auf vier solcher Fragen mussten die Benutzer die richtige Antwort geben.

Das Problem ist, dass diese Art von Daten schnell im Internet-Underground gekauft werden kann, wo riesige Datenbanken, die vollständig aufgebaute Portfolios für Zehntausende enthalten, für einen Dollar-Rekord stehen können.

Die von der IRS verwendeten Überprüfungsabfragen waren alles andere als "Fragen, auf die nur Sie antworten können", so einfach, dass die Hacker versuchten, 200.000 Konten aufzubrechen und Informationen von 100.000 zu erhalten.

"Das ist ziemlich umwerfend, es ist eine Erfolgsquote von 50%", sagte Morey Haber, Vice President Technology bei BeyondTrust, einem Unternehmen für Computersicherheit in Phoenix.

Es wäre auch nicht schwer zu automatisieren gewesen, sagte Robert Hansen, Vizepräsident von WhiteHat Security, einem Sicherheitsunternehmen mit Sitz in Santa Clara, Kalifornien.

"Roboter-Einreichungen sind extrem einfach", sagte er.

Es gibt buchstäblich Dutzende von Werkzeugen, die häufig von Spammern verwendet werden, um Variablen wie Name, Sozialversicherungsnummer usw. abzubilden und nacheinander in der richtigen Reihenfolge einzufügen, sagte Hansen.

Der IRS-Angriff weist auf ein Problem hin, um das sich Sicherheitsforscher seit langem Sorgen machen: Wenn Sie einige Informationen über jemanden haben, desto einfacher ist es, weitere Informationen zu sammeln.

Durch die zunehmende Verwendung von Informationen, die über den Namen und das Kennwort hinausgehen, um die Identität zu bestätigen, haben Sites die Möglichkeit für clevere Hacker geöffnet.

Nicht so sichere Online-Sicherheitsfragen

"Der Angriff auf die IRS-Webanwendung erforderte viel Voraussicht und Fachwissen", sagte Christopher Budd, Manager für Bedrohungskommunikation bei Trend Micro Global.