IRS hack: Spørsmål "bare du vet" lett å svare

Anonim

SAN FRANCISCO - Hackerne som fikk tilgang til over 100 000 personopplysninger via Internal Revenue Service's Get Transcript-nettsted, trengte ikke så mye informasjon å bryte inn, sier eksperter.

IRS sa tirsdag at cyberkriminelle brukte personlige data hentet fra andre steder for å komme inn i transkripsjonstjenesten, noe som gjør det mulig for brukere å se skattekontotransaksjoner, line-by-line selvangivelsesinformasjon og lønn og inntekt rapportert til IRS.

IRS sier tyver stjal skatteinformasjon fra 100.000

For å få tilgang til denne informasjonen, en legitim bruker - eller en tyv - krevde navn, personnummer, fødselsdato, arkivstatus (single, gift, etc) og en gateadresse.

Deretter behøvde de å svare på flere spørsmål om personlig identifikasjon "som bare du kan svare", i ordene på IRS-siden.

Disse er kjent som kunnskapsbasert autentisering, eller KBA, utfordringer. De kom fra en tjeneste som tilbys av kredittbyrået Equifax, ifølge sikkerhetsforfatteren Brian Krebs.

Disse inkluderte informasjon som for eksempel adresse eller telefonnummer eller informasjon om bil eller boliglån. Brukere måtte gi riktig svar på fire slike spørsmål.

Problemet er at den typen data er lett kjøpt på Internett under jorden, hvor store databaser som inneholder fullt utbygde porteføljer på titusenvis av mennesker kan gå for så lite som en dollar en rekord.

Langt fra å være spørsmål "som du bare kan svare", var verifiseringsspørsmålene brukt av IRS enkelt nok til at hackerne prøvde å bryte inn i 200.000 kontoer og fikk informasjon ut av 100.000.

"Det er ganske svimlende, det er en suksessrate på 50%, " sa Morey Haber, teknologidirektør i BeyondTrust, et Phoenix-basert datasikkerhetsselskap.

Det ville heller ikke vært vanskelig å automatisere, sa Robert Hansen, en visepresident hos WhiteHat Security, et Santa Clara, Calif-basert sikkerhetsfirma.

"Robotiske innleveringer er ekstremt enkelt å gjøre, " sa han.

Bokstavelig talt finnes dusinvis av verktøy, ofte brukt av spammere, som kartlegger variabler som navn, personnummer, etc. og legger dem etter hverandre i riktig rekkefølge, sa Hansen.

IRS-angrepet fremhever et problem som sikkerhetsforsker har lenge bekymret for - da du har litt informasjon om noen, jo lettere er det å samle mer.

Med nettsteder som i økende grad bruker informasjon utover navn og passord som en måte å bekrefte identitet på, har dette åpnet en potensiell dør for smarte hackere.

Ikke så sikker sikkerhetsspørsmål på nettet

"Angrepet på IRS webapplikasjonen tok alvorlig fremsyn og ekspertise, " sa Trend Micro Global, trusselkommunikasjonsleder Christopher Budd.