Espera-se que o IRS assegure a sua presença na Web, pelo menos, bem como um banco, mas um recente ataque automatizado no site do IRS mostra quão vulnerável o PIN do e-filing do IRS (número de identificação pessoal) O sistema pode ser. Em 9 de fevereiro de 2016, o IRS reportou um ataque automatizado no qual cerca de 101.000 números de Segurança Social (SSNs) foram utilizados para acessar com sucesso os PINs do arquivo eletrônico. Foram feitas tentativas não autorizadas em cerca de 464 000 SSNs únicos.

O IRS está notificando os afetados pela violação e colocando proteções adicionais nas contas afetadas para proteger contra roubo de identificação. (Para obter mais informações sobre o tópico, consulte Como proteger seu imposto de roubo de roubo de identidade e Rique imposto roubo de identidade: Como lutar para trás .)

O problema não é novo para o IRS. Na verdade, em 2013, o IRS chamou o roubo de identidade como o número um que ele deve combater. Saber isso é um problema, é surpreendente que o IRS não tenha feito mais para proteger seu site de arquivo eletrônico.

O problema

Em 18 de fevereiro, Joseph Henchman, vice-presidente de projetos legais e estaduais para a Fundação Tributária, escreveu ao comissário do IRS, John Koskinen, para apontar problemas com o "Get My Electronic" Arquivando PIN "no site do IRS. Esta página ", que permite que os contribuintes obtenham um número do provedor do IRS para arquivar seus impostos on-line", ele escreveu ", requer informações tão mínimas que qualquer ladrão de dados que valesse o seu sal já teria. Atualmente, qualquer pessoa que tenha o número de Seguro Social, endereço e data de nascimento de alguém pode roubar a identidade de alguém usando esta página do IRS. "

Henchman observou que os recursos que tornariam a página mais segura incluem:

• Um recurso "CAPTCHA" que exige que se demonstre que ele ou ela é humano.
• Informações necessárias que um hacker ou ladrão de dados não teria acesso fácil, como detalhes da declaração de imposto do ano anterior para verificar a identidade.

Além disso, quando Henchman tentou obter um PIN do IRS, o navegador da Web do Chrome que ele usou emitiu um aviso de que a página do IRS "usa uma configuração de segurança fraca" e que a "conexão é criptografada usando um conjunto de criptografia obsoleta [sic] . "

Henchman escreveu:" Todo o ponto de exigir um PIN para arquivar eletronicamente é minimizar o roubo de identidade, por isso é tristemente irônico que o processo para obter um PIN eletrônico é tão fácil que faz todo o ponto de obter um sem sentido na melhor das hipóteses e tornando o roubo de identidade mais fácil no pior dos casos. "

Resposta do IRS

Em resposta à carta da Fundação de Impostos, o IRS emitiu uma declaração de que" não discutimos nossos protocolos ou sistemas subjacentes ". "Especificamente no que diz respeito ao uso de recursos CAPTCHA, o IRS acrescentou:" Não há sempre soluções simples para problemas nesta área em rápida evolução envolvendo a segurança cibernética.Por exemplo, muitas técnicas "CAPTCHA" têm fraquezas que os atacantes inteligentes podem superar. "Apesar disso, o IRS assegurou aos contribuintes," continua a acompanhar de perto o pedido de PIN do arquivo eletrônico, bem como nossos outros sistemas, e agiremos conforme necessário para proteger os contribuintes. "

A Fundação Tributária conheceu o problema de Luca Gattoni-Celli de Analistas Fiscais, que publicou o alerta em 18 de fevereiro. Os Analistas Fiscais foram contatados por um ex-agente de receita do IRS, Kevin Johnson, que considerou o processo" um pouco desconcertante porque é muito fácil obter os PINs. "

A linha inferior

O PIN de arquivo eletrônico é suposto para dar aos cidadãos da U. S. a garantia de que seus registros com o IRS são seguros. Claramente, essa violação levanta questões sobre o nível de segurança atualmente no lugar. Assista seu e-mail para uma carta do IRS, no caso de você ter um dos números da Segurança Social que poderia ter sido pirateado.

O IRS emitiu uma declaração que indica que está ciente do problema e que colocou proteções adicionais no lugar. O IRS também apontou que os sistemas de processamento são diferentes: "Os sistemas de processamento são separados e distintos do aplicativo de PIN do arquivo eletrônico e a informação do contribuinte não foi comprometida nesta plataforma crítica. "

Saiba mais sobre se proteger em Como se proteger contra o roubo de identidade .