US Internal Revenue Service (IRS) zgłosił incydent związany z bezpieczeństwem. Niezidentyfikowani intruzi widzieli rejestry podatkowe około 100 000 Amerykanów. Według AP mogli również zobaczyć inne dane osobowe osób poszkodowanych, które nie zostały wyraźnie wymienione.

Napastnicy byli aktywni od lutego do połowy maja. Wykorzystali system o nazwie „Get Transcript”, który służy do zapewniania podatnikom szczegółowego przeglądu ich transakcji w danym roku. Wydaje się to szczególnie ważne w przypadku wniosków kredytowych i obliczania opłat za studia.

Według IRS, "Get Transcript" wymaga identyfikacji z numerem ubezpieczenia społecznego, datą urodzenia, statusem podatkowym i adresem pocztowym. Sposób, w jaki atakujący zdołali uzyskać dane osób trzecich, nie został szczegółowo upubliczniony. Jednak IRS informuje, że otrzymano 200 000 fałszywych zapytań, z których tylko 100 000 wspomnianych zakończyło się sukcesem. Jednocześnie w okresie składania danych podatkowych legalnie pobrano 23 miliony transkrypcji.

System został na razie wyłączony. Podatnicy, którzy potrzebują danych z poprzedniego roku, muszą teraz złożyć wniosek pocztą.

Jak dotąd nie ma informacji o tożsamości napastnika. Jednak najwyraźniej „nie byli amatorami”, powiedział IRS. Według własnych informacji 80 proc. agencji zajmuje się przestępczością zorganizowaną.

Według IRS, liczba nieautoryzowanych spłat dokonanych z wykorzystaniem danych to mniej niż 50 milionów dolarów. Według agencji, w 2013 roku złodziejom tożsamości wypłacono około 5,8 miliarda dolarów.

Na przykład w marcu system IRS został skrytykowany przez badacza bezpieczeństwa Briana Krebsa. Zgodnie z tym, każdy mógł utworzyć konto dla dowolnej tożsamości, jeśli miał określone dane. Każdy, kto nie zarejestrował się w „Get Transcript”, narażał się na to, że osoby trzecie zrobią to w ich imieniu.

[z materiałem od Zacka Whittakera, ZDNet.com]

Wskazówka: Co zapisałeś o bazach danych? Sprawdź swoją wiedzę - z 15 pytaniami na silicon.de.