Der Fehler auf der Steuerwebsite des Bundesstaates Florida hat die Daten der Anmelder offengelegt • Tech

Soul Hackers 2 Erscheinungsdatum Ankuendigungstrailer enthuellt

Eine Sicherheitslücke auf der Website des Finanzministeriums von Florida hat die Sozialversicherungsnummern und Bankkontonummern von mindestens Hunderten von Steuerzahlern offengelegt, wie ein Sicherheitsforscher herausfand.

Kamran Mohsin sagte, die Sicherheitslücke – jetzt behoben – erlaube ihm oder jedem anderen, der auf der Website der staatlichen Gewerbesteuerregistrierung eingeloggt war, durch Änderung auf die personenbezogenen Daten von Geschäftsinhabern zuzugreifen, diese zu ändern und zu löschen, deren Informationen bei der staatlichen Steuerbehörde gespeichert sind der Teil der Webadresse, der die Antragsnummer des Steuerpflichtigen enthält.

Mohsin sagte, dass die Antragsnummern fortlaufend sind, sodass jeder die Informationen der Steuerzahler aufzählen kann, indem er die Antragsnummer um eine einzelne Ziffer erhöht. Mohsin sagte, es gebe mehr als 713.000 Anträge im System, die die Abteilung nicht bestritt, als sie um eine Stellungnahme gebeten wurden.

Der Fehler ist als unsichere direkte Objektreferenz oder IDOR bekannt, eine Sicherheitsklasse, die auf einem Server gespeicherte Dateien oder Daten aufgrund schwacher oder fehlender Sicherheitskontrollen offenlegt. Es ist, als hätten Sie einen Schlüssel zum Entsperren Ihres Postfachs, aber dieser Schlüssel kann auch jedes andere Postfach in Ihrer gesamten Nachbarschaft entsperren. IDORs haben gegenüber anderen Fehlern den Vorteil, dass sie oft schnell auf Serverebene behoben werden können.

Mohsin stellte Tech Screenshots des Website-Fehlers zur Verfügung, die Proben von Namen, Privat- und Geschäftsadressen, Bankkonto- und Bankleitzahlen, Sozialversicherungsnummern und andere eindeutige Steuerkennzeichen enthielten, die für die Einreichung von Unterlagen bei der Landes- und Bundesregierung verwendet wurden.

Steueridentifikatoren, wie Sozialversicherungsnummern, werden häufig von Betrügern und Cyberkriminellen ins Visier genommen, um betrügerische Steuererklärungen einzureichen, die darauf abzielen, Steuerrückerstattungen zu stehlen und den Steuerzahler zu belasten Milliarden Dollar jedes Jahr.

Mohsin kontaktierte am 27. Oktober das Finanzministerium von Florida und erhielt eine E-Mail-Adresse, um die Schwachstelle zu melden. Das tat er, und der Fehler wurde kurz darauf behoben, aber er sagte, er habe seitdem nichts mehr von der Abteilung gehört.

Als das Florida Department of Revenue um einen Kommentar gebeten wurde, teilte es Tech mit, dass der Fehler innerhalb von vier Tagen nach Mohsins Bericht behoben wurde und dass zwei Sicherheitsunternehmen, die das Ministerium nicht nannte, sagen, dass die Website jetzt sicher ist.

„Die Schwachstelle ermöglichte es der externen Person, von Steuerzahlern übermittelte Registrierungsdaten einzusehen, darunter 417 Registrierungen, die vertrauliche Informationen enthielten“, sagte Sprecherin Bethany Wester in einer E-Mail. „Innerhalb von zwei Tagen versuchte das Ministerium, jedes betroffene Unternehmen telefonisch zu kontaktieren, und hatte innerhalb von vier Tagen alle betroffenen Steuerzahler telefonisch oder schriftlich kontaktiert. Das Ministerium hat außerdem jedem betroffenen Steuerzahler ein Jahr kostenlose Kreditüberwachung angeboten.“

Auf Nachfrage sagte die Abteilung, dass sie „keine Anzeichen einer Ausbeutung vor diesem Verstoß“ festgestellt habe, sagte jedoch nicht, ob sie über die technischen Mittel wie Protokolle verfüge, um festzustellen, ob es Beweise für eine frühere Ausbeutung oder Datenexfiltration gab.

Lesen Sie mehr auf Tech:



tch-1-tech