Ошибка веб-сайта налоговой службы штата Флорида выявила данные файловой системы
Нарушение безопасности на веб-сайте Департамента доходов Флориды выявило как минимум сотни номеров социального страхования и банковских счетов налогоплательщиков, как обнаружил исследователь безопасности.
Камран Мохсин сказал, что уязвимость в системе безопасности (теперь исправленная) позволяла ему или кому-либо еще, вошедшему на веб-сайт государственной налоговой службы, получать доступ, редактировать и удалять личные данные владельцев бизнеса, чья информация хранится в государственном налоговом органе, путем изменения часть веб-адреса, содержащая номер заявления налогоплательщика.
Мохсин сказал, что номера приложений являются последовательными, что позволяет любому перечислить информацию о налогоплательщике, увеличив номер приложения на одну цифру. Мохсин сказал, что в системе зарегистрировано более 713 000 заявок, которые департамент не оспаривал, когда к ним обращались за комментариями.
Эта уязвимость известна как Insecure Direct Object Reference, или IDOR, класс уязвимости, которая делает доступными файлы или данные, хранящиеся на сервере, из-за слабых или отсутствующих средств безопасности. Это как иметь ключ, чтобы открыть свой почтовый ящик, но этот ключ также может открыть все другие почтовые ящики во всем вашем районе. Преимущество IDOR перед другими ошибками в том, что их часто можно быстро исправить на уровне сервера.
Мохсин предоставил TechCrunch скриншоты дефекта веб-сайта, которые включали примеры имен, домашних и рабочих адресов, банковских счетов и маршрутных номеров, номеров социального страхования и других уникальных налоговых идентификаторов, используемых для подачи документов в правительство штата и федеральное правительство.
Налоговые идентификаторы, как и номера социального страхования, часто используются мошенниками и киберпреступниками для подачи мошеннических налоговых деклараций с целью кражи налоговых возмещений, что ежегодно обходится налогоплательщикам в миллиарды долларов.
27 октября Мохсин связался с Департаментом доходов Флориды и получил адрес электронной почты, чтобы сообщить об уязвимости. Он это сделал, и вскоре после этого ошибка была исправлена, но он сказал, что с тех пор не получал никаких известий от отдела.
В Департаменте доходов Флориды для получения комментариев сообщили TechCrunch, что уязвимость была устранена в течение четырех дней после сообщения Мохсина и что две охранные компании, не названные департаментом, заявили, что веб-сайт теперь защищен.
«Уязвимость позволяла внешнему лицу просматривать регистрационные данные, представленные налогоплательщиками, в том числе 417 регистраций, содержащих конфиденциальную информацию», — сообщила в электронном письме пресс-секретарь Бетани Вестер. «В течение двух дней Департамент попытался связаться с каждым пострадавшим предприятием по телефону и связался со всеми пострадавшими налогоплательщиками по телефону или в письменной форме в течение четырех дней. Департамент также предложил один год бесплатного кредитного мониторинга каждому пострадавшему налогоплательщику. »
Отвечая на вопрос, департамент заявил, что не обнаружил «никаких признаков эксплуатации до этого нарушения», но не сообщил, есть ли у него технические средства, такие как журналы , для определения наличия каких-либо доказательств предыдущей эксплуатации или данных. . эксфильтрация.
Подробнее о TechCrunch:
Нарушение безопасности на веб-сайте Департамента доходов Флориды выявило как минимум сотни номеров социального страхования и банковских счетов налогоплательщиков, как обнаружил исследователь безопасности.
Камран Мохсин сказал, что уязвимость в системе безопасности (теперь исправленная) позволяла ему или кому-либо еще, вошедшему на веб-сайт государственной налоговой службы, получать доступ, редактировать и удалять личные данные владельцев бизнеса, чья информация хранится в государственном налоговом органе, путем изменения часть веб-адреса, содержащая номер заявления налогоплательщика.
Мохсин сказал, что номера приложений являются последовательными, что позволяет любому перечислить информацию о налогоплательщике, увеличив номер приложения на одну цифру. Мохсин сказал, что в системе зарегистрировано более 713 000 заявок, которые департамент не оспаривал, когда к ним обращались за комментариями.
Эта уязвимость известна как Insecure Direct Object Reference, или IDOR, класс уязвимости, которая делает доступными файлы или данные, хранящиеся на сервере, из-за слабых или отсутствующих средств безопасности. Это как иметь ключ, чтобы открыть свой почтовый ящик, но этот ключ также может открыть все другие почтовые ящики во всем вашем районе. Преимущество IDOR перед другими ошибками в том, что их часто можно быстро исправить на уровне сервера.
Мохсин предоставил TechCrunch скриншоты дефекта веб-сайта, которые включали примеры имен, домашних и рабочих адресов, банковских счетов и маршрутных номеров, номеров социального страхования и других уникальных налоговых идентификаторов, используемых для подачи документов в правительство штата и федеральное правительство.
Налоговые идентификаторы, как и номера социального страхования, часто используются мошенниками и киберпреступниками для подачи мошеннических налоговых деклараций с целью кражи налоговых возмещений, что ежегодно обходится налогоплательщикам в миллиарды долларов.
27 октября Мохсин связался с Департаментом доходов Флориды и получил адрес электронной почты, чтобы сообщить об уязвимости. Он это сделал, и вскоре после этого ошибка была исправлена, но он сказал, что с тех пор не получал никаких известий от отдела.
В Департаменте доходов Флориды для получения комментариев сообщили TechCrunch, что уязвимость была устранена в течение четырех дней после сообщения Мохсина и что две охранные компании, не названные департаментом, заявили, что веб-сайт теперь защищен.
«Уязвимость позволяла внешнему лицу просматривать регистрационные данные, представленные налогоплательщиками, в том числе 417 регистраций, содержащих конфиденциальную информацию», — сообщила в электронном письме пресс-секретарь Бетани Вестер. «В течение двух дней Департамент попытался связаться с каждым пострадавшим предприятием по телефону и связался со всеми пострадавшими налогоплательщиками по телефону или в письменной форме в течение четырех дней. Департамент также предложил один год бесплатного кредитного мониторинга каждому пострадавшему налогоплательщику. »
Отвечая на вопрос, департамент заявил, что не обнаружил «никаких признаков эксплуатации до этого нарушения», но не сообщил, есть ли у него технические средства, такие как журналы , для определения наличия каких-либо доказательств предыдущей эксплуатации или данных. . эксфильтрация.
Подробнее о TechCrunch:
What's Your Reaction?
