Man förväntar sig att IRS ska säkra sin närvaro på nätet minst lika bra som en bank, men en nyligen automatiserad attack på IRS-webbplatsen visar hur sårbar IRS-e-filing-PIN-koden (personligt identifieringsnummer) systemet kan vara. Den 9 februari 2016 rapporterade IRS en automatiserad attack där cirka 101 000 Social Security Numbers (SSN) användes för att framgångsrikt få tillgång till e-fil-PIN-koder. Obehöriga försök gjordes på cirka 464 000 unika SSN.

IRS meddelar de som berörs av överträdelsen och lägger till ytterligare skydd mot de berörda kontona för att skydda mot identifierad stöld. (För mer om ämnet, se Hur man skyddar dina skatteåterbäringar från identitetsstöld och Identitetsstöld för inkomstskatt: Hur kämpar man tillbaka .)

Problemet är inte nytt för IRS. Faktum är att identitetsstöld år 2013 namngavs av IRS som nummer ett bluff det måste bekämpa. Att veta detta är ett problem, det är förvånande IRS har inte gjort mer för att säkra sin e-filwebbplats.

- Feb - Problemet

Den 18 februari skrev Joseph Henchman, vice vd för juridiska och statliga projekt för Skattestiftelsen, till IRS-kommissionär John Koskinen för att påpeka problem med "Get My Electronic Arkivering PIN "-sida på IRS-webbplatsen. Den här sidan "som gör det möjligt för skattebetalarna att få ett IRS-leverantörsnummer för att skicka sina skatter på nätet," skrev han, "kräver så liten information som någon datortjuva som värt sitt salt skulle ha. För närvarande kan alla som har någon personnummer, adress och födelsedatum stjäla någons identitet med denna IRS-sida. ”

Henchman noterade att funktioner som skulle göra sidan säkrare inkluderar:

En "CAPTCHA" -funktion som kräver att man visar att han eller hon är mänsklig.

• Obligatorisk information om att en hacker eller datatjuv inte skulle ha lätt tillgång till, till exempel uppgifter från föregående års avkastning för att verifiera identitet.
• Vidare, när Henchman försökte få en IRS-kod, utgav den Chrome-webbläsare han använde en varning om att IRS-sidan "använder en svag säkerhetskonfiguration" och att "anslutningen är krypterad med en föråldrad cypher-sic-svit . "Henkman skrev," Hela poängen att kräva en PIN-kod till en fil är att minimera identitetsstöld, så det är tyvärr ironiskt att processen för att erhålla en elektronisk PIN-kod är så lätt att det gör hela poängen att få en meningslös i bästa fall och göra identitetsstöld lättare i värsta fall. "

IRS-svaret

Som svar på brevet från Skattestiftelsen utfärdade IRS ett uttalande att" vi diskuterar inte våra underliggande protokoll eller system. "Speciellt när det gäller användningen av CAPTCHA-funktioner, tillade IRS," Det finns inte alltid enkla lösningar på problem i det snabbt utvecklade området som omfattar cybersäkerhet.Till exempel har många "CAPTCHA" -tekniker svagheter som smarta angripare kan övervinna. "Trots detta har IRS försäkrade skattebetalarna, det" fortsätter att noggrant övervaka e-fil-PIN-ansökan och våra andra system, och vi vidtar åtgärder som behövs för att skydda skattebetalarna. Skatteinstitutet lärde sig först om problemet med Luca Gattoni-Celli från skatteanalytiker, som publicerade varningen den 18 februari. Skatteanalytiker kontaktades av en tidigare IRS-inkomstagent, Kevin Johnson, som ansåg processen "något förvirrande eftersom det är för lätt att få PIN-koden. "

Bottom Line

E-arkiv-PIN-koden ska ge U.-medborgarna den försäkran om att deras register med IRS är säkra. Det är uppenbart att denna överträdelse ger upphov till frågor om vilken säkerhetsnivå som finns på plats. Titta på ditt brev för ett brev från IRS, om du har ett av de sociala säkerhetsnummer som kan ha hackats.

IRS utfärdade ett uttalande som visar att det är medvetet om problemet och att det har lagt till ytterligare skydd. IRS påpekade också att bearbetningssystemen är olika: "Bearbetningssystemen är separata och skiljer sig från e-fil-PIN-applikationen, och skattebetalarnas information har inte äventyras på denna kritiska plattform. "

Läs mer om att skydda dig själv i

Så skydda dig mot identitetsstöld