Bir güvenlik araştırmacısı, Florida Gelir Departmanı web sitesindeki bir güvenlik açığının en az yüzlerce vergi mükellefinin Sosyal Güvenlik numaralarını ve banka hesap numaralarını açığa çıkardığını buldu.
Kamran Muhsin güvenlik kusurunun – artık düzeltildi – kendisinin veya eyaletin ticari vergi kaydı web sitesinde oturum açmış herhangi birinin, bilgileri değiştirerek eyaletin vergi dairesinde kayıtlı olan işletme sahiplerinin kişisel verilerine erişmesine, bunları değiştirmesine ve silmesine izin verdiğini söyledi. web adresinin mükelleflerin başvuru numarasını içeren kısmı.
Mohsin, başvuru numaralarının sıralı olduğunu ve herkesin başvuru numarasını tek bir basamak artırarak vergi mükelleflerinin bilgilerini numaralandırmasına izin verdiğini söyledi. Mohsin, sistemde 713.000’den fazla başvuru olduğunu ve bakanlığın yorum için ulaşıldığında itiraz etmediğini söyledi.
Güvenlik açığı, güvenli olmayan doğrudan nesne başvurusu veya IDOR olarak biliniyor; güvenlik denetimlerinin zayıf olması veya hiç olmaması nedeniyle bir sunucuda depolanan dosyaları veya verileri açığa çıkaran bir güvenlik açığı sınıfı. Bu, posta kutunuzun kilidini açmak için bir anahtara sahip olmak gibidir, ancak bu anahtar aynı zamanda mahallenizdeki tüm diğer posta kutularının kilidini de açabilir. IDOR’ların, genellikle sunucu düzeyinde hızlı bir şekilde düzeltilebilmeleri nedeniyle diğer hatalara göre bir avantajı vardır.
Mohsin, TechCrunch’a ad örnekleri, ev ve iş adresleri, banka hesabı ve yönlendirme numaraları, Sosyal Güvenlik numaraları ve eyalet ve federal hükümetle evrakları dosyalamak için kullanılan diğer benzersiz vergi tanımlayıcıları içeren web sitesi kusurunun ekran görüntülerini sağladı.
Sosyal Güvenlik numaraları gibi vergi tanımlayıcıları, vergi iadelerini çalmayı ve vergi mükelleflerine maliyet yüklemeyi amaçlayan hileli vergi beyannameleri vermek için genellikle dolandırıcılar ve siber suçlular tarafından hedef alınır. milyonlarca dolar her yıl.
Mohsin, 27 Ekim’de Florida Gelir Departmanı ile temasa geçti ve kendisine güvenlik açığını bildirmesi için bir e-posta adresi verildi. Yaptı ve kusur kısa süre sonra düzeltildi, ancak o zamandan beri departmandan haber alamadığını söyledi.
Yorum için ulaşıldığında, Florida Gelir Departmanı TechCrunch’a kusurun Mohsin’in raporundan sonraki dört gün içinde düzeltildiğini ve departmanın adını vermediği iki güvenlik şirketinin web sitesinin artık güvenli olduğunu söylediğini söyledi.
Sözcü Bethany Wester bir e-postada, “Güvenlik açığı, harici bireyin, gizli bilgiler içeren 417 kayıt da dahil olmak üzere vergi mükellefleri tarafından sunulan kayıt verilerini görüntülemesine izin verdi” dedi. “İki günlük bir süre içinde Bakanlık, etkilenen her işletmeyle telefonla iletişime geçmeye çalıştı ve etkilenen tüm vergi mükellefleriyle dört gün içinde telefonla veya yazılı olarak iletişime geçti. Bakanlık ayrıca, etkilenen her vergi mükellefine bir yıllık ücretsiz kredi izleme teklifinde bulundu.”
Bakanlık sorulduğunda, “bu ihlalden önce herhangi bir istismar belirtisi tespit etmediğini” söyledi, ancak daha önce istismar veya veri sızdırma kanıtı olup olmadığını belirlemek için günlükler gibi teknik araçlara sahip olup olmadığını söylemedi.
TechCrunch’ta daha fazlasını okuyun: