美国税局再遭攻击:原是偷来的社会安全号码作祟

日期:2016-2-19作者:Michael Heller翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

美国国税局(IRS)宣布再次遭到攻击,这次该机构表示已经“发现并阻止了对其IRS.gov网站Electronic Filing PIN应用的攻击”。

根据该机构发布的新闻稿显示,攻击者利用从“IRS外部”偷来的社会安全号码(Social Security Number,SSN)来入侵IRS,然后,攻击者使用自动僵尸网络来生成电子文件PIN,在使用的464000个独特的SSN中有101000取得成功。

美国国税局声称“IRS系统中纳税个人数据并没有被泄露”,他们还表示正在采取措施通过邮件形式通知受影响纳税人关于此次攻击的信息,并将保护受影响账户,标记这些账户来抵御税收相关的身份盗用。

截至发稿时, IRS并没有回应他们将提供怎样的保护。

该新闻稿还明确表示,这次攻击与上周IRS税务处理系统中断没有关系。

而在该新闻稿发布不久前,奥巴马总统刚刚宣布了提高联邦网络安全预算的计划以及网络安全国家行动计划。该计划包括建议政府“保护公民与政府之间网上事务处理中的个人数据,包括通过新的行动计划,推动联邦政府部署和使用有效的身份证明和强大的多因素身份验证方法,以及系统地审核在哪些地方联邦政府可不必使用社会安全号码作为公民的标识符。”

虽然这是IRS首次证实的攻击,但此前该机构也遭遇过数据泄露事故。在去年五月,攻击者使用名为Get Transcript的互联网纳税申报表和申报服务来从IRS窃取未加密的个人信息和纳税记录。在这次攻击中,初步估计10万账户收到影响,但最终统计数量约为33万。

尽管在最近的这次攻击中,目前尚不清楚窃取的社会安全号码来自何处,但Privacy Professor首席执行官Rebecca Herold表示,这些号码可能来自任何地方。

“在过去15年里,通过对很多不同类型的企业的大量攻击中,攻击者已经获取了很多SSN,”Herold表示,“银行业、零售业、公用事业、汽车业、地产业等都在收集SSN,甚至有些应用和社交媒体网站都在收集SSN,并且,没有充分的理由,他们只是说用于身份验证。”

“现在,SSN正比以往任何时候都更广泛地用于身份验证和其他目的,然而,这些数据也可用于很多犯罪活动中,例如使用其他人的个人信息来提交报税表。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Heller
Michael Heller

SearchSecurity高级记者。

身份窃取/数据泄露>更多

技术手册>更多

  • 拒绝服务攻击宝典

    “拒绝服务”是如何攻击的?有什么方法和措施可以防范此类攻击?在新时代云趋势的环境下,拒绝服务攻击又会如何发展?有什么新的趋势?本技术手册将从三个方面为您提供详细的安全策略,包括:拒绝服务攻击的原理,拒绝服务攻击的防范和拒绝攻击与云。

  • 虚拟化安全综述

    虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用最大化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的最大优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。

  • IDS入侵检测技术

    入侵检测系统自从上个世纪80年代后期90年代早期就出现了,它是入侵检测系统是历时最久并最普及的技术。作为网络安全的入侵警报器,IDS可以分为基于特征(Signature-based)的和基于异常(anomaly-based)的。基于特征的IDS的工作原理类似杀毒,查询和已知的恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统(核心)调用中的异常行为。

  • 清除间谍软件

    本文将帮助理解间谍软件、它的来源、行为方式和引起的问题,并提供一些清除间谍软件的技术,以及如何防御将来的入侵。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算