Cyberkriminelle konnten Steuerunterlagen von etwa 100.000 US-Amerikaner einsehen. Diesen Sicherheitsvorfall hat nun die US-Steuerbehörde Internal Revenue Service (IRS) gemeldet. Darüber hinaus konnten die Angreifer auf weitere nicht konkret genannte persönliche Daten der Betroffenen zugreifen, berichtet AP.
Die Angriffe erfolgten zwischen Februar und Mitte Mai. Für die Aktion setzten die Cyberkriminellen das System “Get Transcript” ein. Dieses ermöglicht es, Steuerzahlern eine zeilenweise Überprüfung ihrer Transaktionen in einem bestimmten Jahr einzusehen. Vor allem für Kreditanträge und College-Gebührenberechnungen sind diese von Bedeutung.
Für die Verwendung von “Get Transcript” wird der IRS zufolge eine Identifikation mit Sozialversicherungsnummer, Geburtsdatum, Steuerstatus und Postadresse benötigt. Einzelheiten, wie die Angreifer an die fremden Daten gelangen konnten, nannte die Behörde nicht. Die IRS registrierte allerdings 200.000 betrügerische Anfragen. Von denen waren jedoch nur die genannten 100.000 erfolgreich. Zugleich seien im Zeitraum fürs Einreichen der Steuerdaten 23 Millionen Transkripte legitim heruntergeladen worden.
Das System hat die Steuerbehörde vorübergehend deaktiviert. Um ihre Vorjahresdaten zu erhalten, müssen Steuerzahler einen Antrag per Briefpost beantragen.
Bislang gibt es keine Informationen zur Identität der Angreifer. Es soll sich IRS zufolge aber um “keine Amateure” handeln. Nach eigenen Angaben hat es die Behörde zu 80 Prozent mit organisiertem Verbrechen zu tun.
Die Zahl der mit den Daten laut IRS ergaunerten unberechtigten Rückzahlungen liegt unter 50 Millionen Dollar. 2013 wurden laut der Behörde geschätzte 5,8 Milliarden Dollar an Identitätsdiebe ausgezahlt.
Sicherheitsforscher Brian Krebs hatte das IRS-System bereits im März bemängelt. Es bestand nach seiner Aussage die Möglichkeit, dass jeder ein Konto für eine beliebige Identität anlegen konnte, wenn er bestimmte Daten hatte. Wer sich nicht selbst für “Get Transcript” anmeldete, lief daher Gefahr, dass dies Dritte in seinem Namen tun würden.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.