フロリダ州歳入局の Web サイトにセキュリティ上の欠陥があり、少なくとも数百人の納税者の社会保障番号と銀行口座番号が公開されていることが、セキュリティ研究者によって発見されました。
カムラン・モーシン セキュリティ上の欠陥は現在修正されており、州の事業税登録 Web サイトにログインしている他の誰でも、州の税務当局にファイルされている事業主の個人データにアクセス、変更、および削除することができました。納税者の申請番号を含む Web アドレスの部分。
Mohsin 氏によると、申請番号は連続しており、申請番号を 1 桁ずつ増やすことで納税者の情報を列挙することができます。 Mohsin 氏によると、このシステムには 713,000 件以上の申請があり、同省はコメントを求められた際に異議を唱えなかった。
この脆弱性は、安全でない直接オブジェクト参照 (IDOR) として知られています。IDOR は、セキュリティ制御が脆弱であるか、まったくないために、サーバーに保存されているファイルまたはデータを公開する脆弱性のクラスです。 これは、メールボックスのロックを解除するためのキーを持っているようなものですが、そのキーは、近所全体の他のすべてのメールボックスのロックを解除することもできます. IDOR は、多くの場合、サーバー レベルで迅速に修正できるという点で、他のバグよりも優れています。
Mohsin は TechCrunch に Web サイトの欠陥のスクリーンショットを提供しました。これには、名前、自宅と会社の住所、銀行口座とルーティング番号、社会保障番号、および州および連邦政府に書類を提出するために使用されるその他の一意の税識別子のサンプルが含まれていました。
社会保障番号などの納税者番号は、詐欺師やサイバー犯罪者の標的となり、税金の還付金を盗み、納税者に損害を与えることを目的とした不正な納税申告書を提出することがよくあります。 数十億ドル 毎年。
Mohsin は 10 月 27 日にフロリダ州歳入局に連絡し、脆弱性を報告するための電子メール アドレスを提供されました。 彼はそうし、欠陥はすぐに修正されましたが、それ以来、部門から何の連絡もないと彼は言いました.
コメントを求めると、フロリダ州歳入局は TechCrunch に、この欠陥は Mohsin の報告から 4 日以内に修正され、同局が名前を挙げていない 2 つのセキュリティ会社が Web サイトは現在安全であると述べていると語った.
「この脆弱性により、外部の個人が、機密情報を含む 417 件の登録を含む、納税者から提出された登録データを閲覧することができました」と、広報担当者の Bethany Wester は電子メールで述べています。 「2 日以内に、国務省は影響を受けた各企業に電話で連絡を取ろうとし、影響を受けたすべての納税者に電話または書面で 4 日以内に連絡を取りました。 また、同局は、影響を受ける各納税者に 1 年間の無料の信用監視を提供しています。」
尋ねられたとき、部門は「この侵害の前に悪用の兆候はなかった」と特定したと述べたが、以前の悪用またはデータ流出の証拠があったかどうかを判断するためのログなどの技術的手段があったかどうかについては述べなかった.
TechCrunch で詳細を読む: