Налоговое управление США взломали, данные 300.000 граждан украдены
Текущее лето явно запомнится государственным службам США, как черная полоса. Крупный взлом Службы управления персоналом, приведший к утечке данных 18 млн человек и отчеты о том, что безопасность в федеральных учреждениях страны в целом оставляет желать лучшего. А теперь стали известны подробности о взломе Федеральной налоговой службы США, который не замечали 4 месяца. Взлом привел к массовой утечке данных и закрытию онлайнового сервиса Get Transcript. Хотя речь идет больше не о взломе, а о банальном брутфорсе записей через сервис Get Transcript.
Впервые Федеральная налоговая служба заявила об атаке в конце мая 2015 года. Тогда же закрыли онлайновый сервис Get Transcript, позволявший пользователям просматривать подробную информацию о своих налогах и отчислениях. Дело в том, что веб-приложение позволяло создать аккаунт и просматривать исчерпывающую информацию о налогоплательщике, минуя сложный процесс аутентификации с контрольными вопросами и паролями. Чтобы воспользоваться Get Transcript, было достаточно знать: ФИО, дату рождения, адрес, номер социального страхования и статус налогоплательщика (женат, одинок, содержит на иждивении членов семьи). Такие данные о многих гражданах США можно оптом купить на черном рынке – это результаты различных утечек, корпоративных взломов и так далее.
В мае Налоговая служба сообщила, что в результате атаки пострадали немногим более 100,000 человек. Сейчас выясняется, что это были очень оптимистичные прогнозы. Как показало более детальное расследование инцидента, на самом деле, жертвами атакующих стали еще 220,000 налогоплательщиков (дополнительно к первым 100 тысячам). Еще 170,000 человек получат письма, предупреждающие, что их личные данные могли быть скомпрометированы, хотя Налоговая служба не до конца уверена, что эти попытки хакеров увенчались успехом.
Согласно обновленным данным, атакующие сделали более 600,000 запросов к системе Федеральной налоговой службы через Get Transcript, из которых более 300,000 обернулись успехом. Кроме того, расследование все еще продолжается и, по мере анализа логов, цифры, скорее всего, вырастут еще.