Налоговое управление США взломали, данные 300,000 налогоплательщиков украдены
Текущее лето явно запомнится государственным службам США, как черная полоса. Крупный взлом Службы управления персоналом, приведший к утечке данных 18 млн человек и отчеты о том, что безопасность в федеральных учреждениях страны в целом оставляет желать лучшего. А теперь стали известны подробности о взломе Федеральной налоговой службы США, который не замечали четыре месяца. Взлом привел к массовой утечке данных и закрытию онлайнового сервиса Get Transcript.
Впервые Федеральная налоговая служба заявила об атаке в конце мая 2015 года. Тогда же закрыли онлайновый сервис Get Transcript, позволявший пользователям просматривать подробную информацию о своих налогах и отчислениях. Дело в том, что веб-приложение позволяло создать аккаунт и просматривать исчерпывающую информацию о налогоплательщике, минуя сложный процесс аутентификации с контрольными вопросами и паролями. Чтобы воспользоваться Get Transcript, было достаточно знать: ФИО, дату рождения, адрес, номер социального страхования и статус налогоплательщика (женат, одинок, содержит на иждивении членов семьи). Такие данные о многих гражданах США можно оптом купить на черном рынке – это результаты различных утечек, корпоративных взломов и так далее.
О том, что подобная система, которой пользуются более 23 млн человек, небезопасна, писал ранее Брайан Кребс, получивший информацию из первых рук – от ставшего жертвой мошенников читателя. Кребс призывал людей самостоятельно создавать аккаунты в Get Transcript, пока это за них не сделали хакеры, но Кребса не услышали.
В мае Налоговая служба сообщила, что в результате атаки пострадали немногим более 100,000 человек. Сейчас выясняется, что это были очень оптимистичные прогнозы. Как показало более детальное расследование инцидента, на самом деле, жертвами атакующих стали еще 220,000 налогоплательщиков (дополнительно к первым ста тысячам). Еще 170,000 человек получат письма, предупреждающие, что их личные данные могли быть скомпрометированы, хотя Налоговая служба не до конца уверена, что эти попытки хакеров увенчались успехом.
Согласно обновленным данным (.pdf), атакующие сделали более 600,000 запросов к системе Федеральной налоговой службы через Get Transcript, из которых более 300,000 обернулись успехом. Кроме того, расследование все еще продолжается и, по мере анализа логов, цифры, скорее всего, вырастут еще.
Все пострадавшие теперь могут стать жертвами самых разных видов мошенничества с возвратом налогов, кредитного мошенничества и так далее. Налоговая служба США обещает пострадавшим бесплатные кредитные гарантии и уверяет, что «работает над тем, чтобы защитить пострадавших и укрепить свои системы безопасности».
Источник