Könnyű adatot lopni az amerikai APEH-tól

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Próbahívásokkal tesztelték az USA adóhivatalának alkalmazottait, akiknek többsége megbukott a vizsgán: könnyelműen kiadták a jelszavukat az ismeretlen telefonálónak.

Az IRS dolgozóit egy, magát a cég informatikai munkatársának kiadó hívó kereste meg telefonon, és arra kérte az áldozatot, adja meg hálózati belépési nevét, jelszavát, és ideiglenesen változtassa meg utóbbit arra, amit ő kér, hogy egy technikai hibát ki tudjon javítani. Az AP beszámolója szerint 102 megkeresett alkalmazottból 61 készségesen teljesítette a kérést anélkül, hogy meggyőződött volna róla, kivel is beszél.

Az adóhivatalt szerencsére nem hackerek, hanem az amerikai államkincstár illetékes ellenőrző szerve tette próbára – és tolta le a nagyon a hiba miatt. Az IRS-től megszerzett jelszavakkal ugyanis az amerikai adófizetők adataihoz is hozzá lehetett volna férni, ami nagy volumenű adatlopást vagy más visszaélést tette volna lehetővé.

A szervezetnél korábban is voltak hasonló problémák: 2001-ben és 2004-ben is ugyanilyen módszerrel tesztelték őket, és az eredmény akkor is hasonló volt. Emiatt az IRS sorozatos IT-biztonsági tréningekben részesítette alkalmazottait, de úgy tűnik, eredménytelenül. A mostani próba során 102 emberből mindössze nyolcan keresték meg felettesüket vagy a biztonsági szolgálatot, hogy ellenőrizzék a hívót.

Az IRS vezetőinek persze nincs könnyű dolguk: több mint százezer alkalmazottat és szerződéses partnert kell ismét kioktatniuk a hackerek trükkjeinek kivédésére, akik körülbelül 240 különböző számítógépes rendszerben 1500 adatbázist kezelnek.

Forrás: Origo

---