上个月底,美国国税局经历了数据泄露事件,约有10万名美国公民的个人信息在无意中被泄露。
这个有组织的犯罪团伙通过更改IRS网页上的一个名为Get Transcript的应用,获得了对纳税人账户的未授权访问权限。该应用的功能是帮助用户方便地访问历史税务申报记录以及税务报表。
像任何其它网站一样,只需要回答几个私人问题就可以访问用户账户,这也是很典型的验证模式。不过,网络罪犯得以利用从各种来源收集到的信息回答这些问题。
最近的几次知名数据泄露事件流出的信息,比如安腾(Anthem)和Premera这两家医疗保险公司泄露的数百万份医疗记录,使得如社保账号、出生日期这样的个人信息在黑客的地下圈子里广为人知。在这种情况下,网络罪犯可以集合收集到的信息,并采取自动化方式填写Get Transcript验证,最终目标是通过一般个人信息进一步获取税务信息。
“这些犯罪团伙确实将网络犯罪看成了一种商业行为。这已经不是黑客藏在地下室的时代了。这是一个非常有组织性和协作性的团伙。”
6月2日,IRS局长约翰·库什基宁(John Koskinen)参加了参议院财政委员会召开的听证会,他在会上表示,在今年二月中旬到五月中旬之间,国税局的网络安全人员发现了针对Get Transcript功能的约20万次“可疑的、复杂的”访问请求。IRS表示,在这20万次请求中,约半数成功通过认证。
IRS网站上的Get Application功能现在已经暂时关闭,以待修改并增强安全性。
上周四IRS宣布了一系列最新措施,旨在于明年的报税季中更好地防止身份欺诈行为。应急小组由报税部门和软件公司的代表、工资和国家税收管理员组成,他们发布了一些新的举措,以提高纳税申报过程中的安全性。
随着新系统和新流程开始部署,报税者在访问时将需要通过IP地址和计算机设备特征电子码的对照。填写报税表的所需时长也将被设为判断是否为机器自动填表的重要标尺。
