Một người sẽ mong đợi IRS để bảo đảm sự hiện diện web của mình ít nhất cũng như ngân hàng, nhưng một cuộc tấn công tự động gần đây trên trang web IRS cho thấy mức độ dễ bị tổn thương của IRS e-filing PIN (số nhận dạng cá nhân) hệ thống có thể được. Vào ngày 9 tháng 2 năm 2016, IRS đã báo cáo một cuộc tấn công tự động, trong đó đã sử dụng 101.000 Số An Sinh Xã Hội (SSN) để truy cập thành công các mã PIN điện tử. Những nỗ lực trái phép đã được thực hiện trên khoảng 464, 000 SSN duy nhất.

IRS thông báo cho những người bị ảnh hưởng bởi vi phạm và đưa vào bảo vệ bổ sung cho các tài khoản bị ảnh hưởng để bảo vệ chống lại xác định hành vi trộm cắp. (Để biết thêm về chủ đề, xem Làm thế nào để bảo vệ việc hoàn thuế của bạn từ hành vi trộm cắp danh tính và Identity Identity Theft: Làm thế nào để chống lại .)

Vấn đề không phải là mới IRS. Trên thực tế, trong năm 2013, hành vi trộm danh tính đã được IRS đặt tên là lừa đảo số một phải chiến đấu. Biết được đây là một vấn đề, đáng ngạc nhiên là IRS đã không làm gì nhiều hơn để đảm bảo trang web của nó e-file.

Vào ngày 18 tháng 2, ông Joseph Henchman, phó chủ tịch dự luật và các dự án của tiểu bang cho Tổ chức Thuế, đã viết thư cho Ủy viên IRS John Koskinen để chỉ ra các vấn đề với "Nhận điện tử của tôi Nộp mã PIN "trên trang web của IRS. Trang này cho phép những người đóng thuế có được số liệu của IRS để nộp thuế trực tuyến, "ông viết," đòi hỏi những thông tin tối thiểu mà bất kỳ kẻ trộm dữ liệu nào đáng giá muối của họ đã có. Hiện tại, bất kỳ ai có số an sinh xã hội, địa chỉ và ngày sinh có thể lấy cắp danh tính của một người sử dụng trang IRS này. "

Henchman lưu ý rằng các tính năng sẽ làm cho trang an toàn hơn bao gồm:

Tính năng "CAPTCHA" yêu cầu người dùng phải chứng minh mình là con người.

Thông tin bắt buộc rằng một kẻ trộm dữ liệu hoặc hacker sẽ không truy cập dễ dàng, chẳng hạn như các chi tiết từ bản khai thuế của năm trước để xác minh danh tính.

Hơn nữa, khi Henchman cố gắng lấy mã PIN IRS, trình duyệt web Chrome mà anh ta sử dụng đã đưa ra cảnh báo rằng trang IRS "sử dụng cấu hình bảo mật yếu" và "kết nối được mã hóa bằng bộ mã ảo lỗi thời . "

• Henchman đã viết:" Toàn bộ yêu cầu mã số PIN phải nộp bằng điện tử là để giảm thiểu hành vi trộm danh tính, vì vậy thật đáng buồn là quá trình lấy mã PIN điện tử rất dễ dàng đến nỗi nó làm cho toàn bộ vấn đề có được một điểm vô nghĩa tốt nhất và làm cho việc đánh cắp nhận dạng dễ dàng hơn ở mức tồi tệ nhất. "
• Phản hồi của IRS

Đáp lại thư của Tổ chức Thuế, IRS đã đưa ra tuyên bố rằng" chúng tôi không thảo luận các giao thức hoặc hệ thống cơ bản của chúng tôi. "Đặc biệt liên quan đến việc sử dụng các tính năng của CAPTCHA, IRS cho biết," Không phải lúc nào cũng có những giải pháp đơn giản cho các vấn đề trong lĩnh vực phát triển nhanh chóng này liên quan đến an ninh mạng.Ví dụ, nhiều kỹ thuật 'CAPTCHA' có những điểm yếu mà kẻ tấn công thông minh có thể vượt qua. "Mặc dù vậy, IRS đảm bảo rằng người đóng thuế," nó tiếp tục theo dõi chặt chẽ việc áp dụng mã PIN điện tử cũng như các hệ thống khác của chúng tôi và chúng tôi sẽ hành động nếu cần để bảo vệ người nộp thuế. "Quỹ thuế lần đầu tiên đã học về vấn đề từ Luca Gattoni-Celli của Nhà phân tích thuế, người đã công bố thông báo vào ngày 18 Tháng Hai. Các nhà phân tích thuế đã được liên lạc với một cựu đại lý thu thuế IRS, Kevin Johnson, người coi quá trình" phần nào lúng túng vì quá dễ dàng để có được mã PIN. "

Dòng dưới cùng

Mã PIN gửi điện tử được cho là cung cấp cho công dân Hoa Kỳ sự đảm bảo rằng hồ sơ của họ với IRS được đảm bảo. Rõ ràng, vi phạm này đặt ra những câu hỏi về mức độ an ninh hiện đang được áp dụng. Xem thư của bạn để nhận thư của IRS, trong trường hợp bạn có một trong những số An Sinh Xã Hội có thể đã bị tấn công.

IRS đã đưa ra một tuyên bố cho thấy nó nhận thức được vấn đề và nó đã đặt thêm sự bảo vệ tại chỗ. IRS cũng chỉ ra rằng các hệ thống xử lý là khác nhau: "Các hệ thống xử lý riêng biệt và khác biệt với ứng dụng mã PIN điện tử, và thông tin người nộp thuế đã không bị xâm nhập trên nền tảng quan trọng này. "

Tìm hiểu thêm về cách tự bảo vệ mình trong

Làm thế nào để tự bảo vệ chống lại hành vi trộm danh tính