Man würde erwarten, dass der IRS seine Internetpräsenz mindestens so gut absichert wie eine Bank, aber ein kürzlich erfolgter automatisierter Angriff auf die IRS-Website zeigt, wie verwundbar die IRS e-filing PIN (persönliche Identifikationsnummer) ist. System kann sein. Am 9. Februar 2016 meldete der IRS einen automatisierten Angriff, bei dem etwa 101.000 Sozialversicherungsnummern (SSNs) für den erfolgreichen Zugriff auf E-File-PINs verwendet wurden. Nicht autorisierte Versuche wurden an ungefähr 464.000 einzigartigen SSNs durchgeführt.

Der IRS informiert die Betroffenen und fügt den betroffenen Accounts zusätzlichen Schutz zum Schutz vor Identitätsdiebstahl hinzu. (Weitere Informationen zum Thema finden Sie unter So schützen Sie Ihre Steuererklärungen vor Identitätsdiebstahl und Einkommenssteueridentitätsdiebstahl: Wie Sie sich wehren können .)

Das Problem ist nicht neu für die IRS. In der Tat, im Jahr 2013 wurde Identitätsdiebstahl von der IRS als die Nummer eins Betrug genannt, den es bekämpfen muss. Zu wissen, dass dies ein Problem ist, ist es überraschend, dass die IRS nicht mehr getan hat, um ihre E-File-Website zu sichern.

Das Problem

Am 18. Februar schrieb Joseph Henchman, Vizepräsident von Rechts- und Staatsprojekten für die Steuerstiftung, an IRS-Kommissar John Koskinen, um auf Probleme mit der "Get My Electronic" hinzuweisen. Ablage der PIN-Seite auf der IRS-Website. Diese Seite, "die Steuerzahlern ermöglicht, eine IRS-Anbieter-Nummer zu erhalten, um ihre Steuern online zu hinterlegen", schrieb er, "erfordert so minimale Informationen, dass jeder Daten-Dieb sein Geld wert wäre. Gegenwärtig kann jeder, der die Sozialversicherungsnummer, die Adresse und das Geburtsdatum von jemandem hat, mit dieser IRS-Seite die Identität eines anderen stehlen. "

Henchman merkte an, dass Features, die die Seite sicherer machen würden, umfassen:

• Eine "CAPTCHA" -Funktion, die erfordert, dass jemand demonstriert, dass er oder sie ein Mensch ist.
• Erforderliche Informationen, auf die ein Hacker oder Datendieb keinen einfachen Zugriff hat, wie z. B. Angaben aus der Steuererklärung des Vorjahres zur Überprüfung der Identität.

Als Henchman versuchte, eine IRS-PIN zu erhalten, gab der von ihm verwendete Chrome-Webbrowser eine Warnung aus, dass die IRS-Seite "eine schwache Sicherheitskonfiguration verwendet" und dass die "Verbindung mit einer veralteten Cypher-Suite verschlüsselt ist". .. "

Henchman schrieb:" Der einzige Punkt, der eine elektronische PIN-Eingabe erfordert, ist die Minimierung des Identitätsdiebstahls. Daher ist es leider ironisch, dass der Prozess zum Erhalt einer elektronischen PIN so einfach ist, dass im besten Fall und im schlimmsten Fall Identitätsdiebstahl erleichtern. "

Die IRS-Antwort

Als Antwort auf den Brief von der Steuerstiftung gab die IRS eine Erklärung heraus, dass" wir unsere zugrunde liegenden Protokolle oder Systeme nicht diskutieren. "Speziell in Bezug auf die Verwendung von CAPTCHA-Funktionen, fügte der IRS hinzu:" Es gibt nicht immer einfache Lösungen für Probleme in diesem sich schnell entwickelnden Bereich der Cybersicherheit.Zum Beispiel haben viele CAPTCHA-Techniken Schwächen, die intelligente Angreifer überwinden können. "Trotzdem hat die IRS den Steuerzahlern versichert, dass sie die PIN-Anwendung für e-Dateien sowie unsere anderen Systeme weiterhin genau überwachen und wir werden Maßnahmen ergreifen, um die Steuerzahler zu schützen. "

Die Steuerstiftung erfuhr das Problem zum ersten Mal von Luca Gattoni-Celli von Steuer-Analysten, die die Warnung am 18. Februar veröffentlichten. Steuer-Analysten wurden von einem ehemaligen IRS-Einnahme-Agenten, Kevin Johnson, kontaktiert, der den Prozess als" etwas beunruhigend, weil es zu einfach ist, die PINs zu erhalten. "

The Bottom Line

Die E-Filing-PIN soll US-Bürgern die Sicherheit geben, dass ihre Aufzeichnungen beim IRS sicher sind. Dieser Bruch wirft eindeutig Fragen über das derzeitige Sicherheitsniveau auf. Beobachten Sie Ihre Post nach einem Brief von der IRS, falls Sie eine der Sozialversicherungsnummern haben, die möglicherweise gehackt wurden.

Der IRS gab eine Erklärung heraus, aus der hervorgeht, dass er sich des Problems bewusst ist und zusätzliche Schutzmaßnahmen eingeführt hat. Die IRS wies auch darauf hin, dass die Verarbeitungssysteme unterschiedlich sind: "Die Verarbeitungssysteme sind getrennt und unterscheiden sich von der E-Datei-PIN-Anwendung, und Steuerinformationen wurden auf dieser kritischen Plattform nicht kompromittiert. "

Erfahren Sie mehr über sich selbst schützen in Wie Sie sich vor Identitätsdiebstahl schützen können .