คาดว่า IRS จะรักษาความปลอดภัยให้กับเว็บไซต์อย่างน้อยเช่นเดียวกับธนาคาร แต่การโจมตีโดยอัตโนมัติเมื่อเร็ว ๆ นี้บนเว็บไซต์ของ IRS แสดงให้เห็นว่า IRS e-filing PIN (หมายเลขประจำตัวส่วนบุคคล) ระบบสามารถ เมื่อวันที่ 9 กุมภาพันธ์ 2016 กรมสรรพากรรายงานว่ามีการโจมตีโดยอัตโนมัติซึ่งมีการใช้หมายเลข PIN เพื่อความปลอดภัยทางสังคมจำนวน 101,000 หมายเลข (SSNs) เพื่อเข้าถึง PIN ของ e-file ได้สำเร็จ ความพยายามที่ไม่ได้รับอนุญาตถูกสร้างขึ้นในประมาณ 464, 000 SSNs ที่ไม่ซ้ำกัน

กรมสรรพากรแจ้งผู้ที่ได้รับผลกระทบจากการละเมิดและวางมาตรการคุ้มครองเพิ่มเติมให้กับบัญชีที่ได้รับผลกระทบเพื่อป้องกันการโจรกรรม (สำหรับข้อมูลเพิ่มเติมในหัวข้อดู วิธีการปกป้องคืนภาษีของคุณจากการโจรกรรมข้อมูลประจำตัว และ การโจรกรรมข้อมูลประจำตัวของภาษีเงินได้: วิธีต่อสู้กลับ .)

ปัญหาไม่ใช่เรื่องใหม่ IRS ในความเป็นจริงในปี 2013 การขโมยข้อมูลประจำตัวถูกตั้งชื่อโดย IRS เป็นหมายเลขหนึ่งที่หลอกลวงจะต้องต่อสู้ การรู้ว่านี่เป็นปัญหาน่าแปลกใจที่ IRS ไม่ได้ทำอะไรเพื่อรักษาความปลอดภัยให้กับเว็บไซต์ e-file

ในวันที่ 18 กุมภาพันธ์ Joseph Henchman รองประธานฝ่ายโครงการกฎหมายและรัฐของมูลนิธิภาษีได้เขียนจดหมายถึง IRS Commissioner John Koskinen เพื่อชี้ประเด็นปัญหาเกี่ยวกับ "Get My Electronic" การยื่น PIN "ในเว็บไซต์ IRS หน้านี้ "ซึ่งช่วยให้ผู้เสียภาษีสามารถขอหมายเลขผู้ให้บริการ IRS เพื่อเก็บภาษีทางออนไลน์ได้" เขากล่าว "ต้องมีข้อมูลที่น้อยที่สุดที่ข้อมูลใด ๆ ที่ขโมยมาจากแหล่งเกลือของเขาจะมีอยู่ ขณะนี้ทุกคนที่มีหมายเลขประกันสังคมที่อยู่และวันเกิดของใครบางคนสามารถขโมยข้อมูลประจำตัวของใครบางคนโดยใช้หน้า IRS นี้ “

Henchman กล่าวว่าคุณลักษณะที่จะทำให้หน้าปลอดภัยยิ่งขึ้น ได้แก่

คุณลักษณะ "CAPTCHA" ที่ต้องใช้เพื่อแสดงให้เห็นว่าเขาเป็นมนุษย์

ข้อมูลที่จำเป็นที่แฮ็กเกอร์หรือขโมยข้อมูลจะไม่สามารถเข้าถึงได้ง่ายเช่นรายละเอียดจากการคืนภาษีของปีก่อนหน้าเพื่อยืนยันตัวตน

ยิ่งไปกว่านั้นเมื่อ Henchman พยายามขอรับ PIN ของ IRS เว็บเบราเซอร์ Chrome ที่เขาใช้จะออกคำเตือนว่าหน้า IRS "ใช้การกำหนดค่าความปลอดภัยที่อ่อนแอ" และ "การเชื่อมต่อถูกเข้ารหัสโดยใช้ชุด cypher ที่ล้าสมัย [sic] .

• Henchman เขียนว่า "ประเด็นสำคัญที่ต้องใช้ PIN ในการส่งทางอิเล็กทรอนิกส์คือการลดการโจรกรรมข้อมูลดังนั้นจึงเป็นเรื่องน่าเศร้าที่กระบวนการที่จะได้รับ PIN อิเล็กทรอนิกส์นั้นง่ายมากที่จะทำให้จุดรวมของการได้รับหนึ่งจุด ที่ดีที่สุดและทำให้การโจรกรรมข้อมูลได้ง่ายขึ้นในเวลาที่เลวร้ายที่สุด "
• การตอบสนองของ IRS

ในการตอบสนองต่อจดหมายจากมูลนิธิภาษี IRS ได้ออกแถลงการณ์ว่า" เราไม่ได้พูดคุยเกี่ยวกับโปรโตคอลหรือระบบที่ใช้อยู่ "โดยเฉพาะอย่างยิ่งเกี่ยวกับการใช้คุณลักษณะของ CAPTCHA IRS ได้กล่าวเพิ่มเติมว่า" การแก้ไขปัญหาในพื้นที่ที่มีการพัฒนาอย่างรวดเร็วนี้เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ไม่ใช่เรื่องง่ายเสมอไปตัวอย่างเช่นเทคนิค 'CAPTCHA' จำนวนมากมีจุดอ่อนที่ผู้โจมตีสมาร์ทสามารถเอาชนะได้ "อย่างไรก็ตามเรื่องนี้กรมสรรพากรมั่นใจว่าผู้เสียภาษีนั้น" ยังคงติดตามตรวจสอบใบสมัคร PIN ของไฟล์อิเล็กทรอนิกส์ตลอดจนระบบอื่น ๆ ของเราอย่างใกล้ชิดและเราจะดำเนินการตามความจำเป็นเพื่อปกป้องผู้เสียภาษี

มูลนิธิภาษีครั้งแรกได้เรียนรู้เกี่ยวกับปัญหาจาก Luca Gattoni-Celli จาก Tax Analysts ผู้เผยแพร่การแจ้งเตือนเมื่อวันที่ 18 กุมภาพันธ์นักวิเคราะห์ภาษีได้รับการติดต่อจากตัวแทนจำหน่ายรายได้ของ IRS จากเควินจอห์นสันซึ่งถือว่ากระบวนการ " อึกอักเพราะง่ายเกินไปที่จะขอรับ PIN "

บรรทัดด้านล่าง

PIN สำหรับจัดส่งทางอิเล็กทรอนิกส์ควรให้พลเมืองของสหประชาชาติในการประกันว่าบันทึกของพวกเขากับ IRS มีความปลอดภัย เห็นได้ชัดว่าการละเมิดนี้ก่อให้เกิดคำถามเกี่ยวกับระดับความปลอดภัยที่ใช้อยู่ในปัจจุบัน ดูอีเมลของคุณสำหรับจดหมายจาก IRS ในกรณีที่คุณมีหมายเลขประกันสังคมที่อาจถูกแฮ็ก

กรมสรรพากรออกแถลงการณ์ระบุว่าทราบปัญหาแล้วและมีการป้องกันเพิ่มเติมในสถานที่ กรมสรรพากรยังชี้ให้เห็นว่าระบบการประมวลผลต่างกัน: "ระบบการประมวลผลแยกจากกันและแตกต่างไปจากแอพพลิเคชัน PIN ของไฟล์อิเล็กทรอนิกส์และข้อมูลผู้เสียภาษีอากรไม่ได้รับการบุกรุกในแพลตฟอร์มที่สำคัญนี้ "

เรียนรู้เพิ่มเติมเกี่ยวกับการปกป้องตนเองใน

วิธีการป้องกันตัวเองด้วยการขโมยข้อมูลประจำตัว