Aanvallen op Amerikaanse Belastingdienst groter dan gedacht
Tijdens aanvallen op een systeem van de Amerikaanse Belastingdienst IRS zijn veel meer gegevens van belastingbetalers door criminelen benaderd en gebruikt voor het plegen van fraude dan in eerste instantie werd aangenomen, zo heeft de IRS zelf in een verklaring naar buiten gebracht.
De aanvallers wisten toegang tot een systeem genaamd "Get Transcript" te krijgen waarmee belastingbetalers hun belastingteruggaven en opgaven van eerdere jaren kunnen inzien. Om toegang tot de gegevens te krijgen gebruikten de aanvallers informatie die ze bij een andere partij hadden buitgemaakt, zoals social security nummers, geboortedatum, status van de belastingaangifte en adresgegevens. Daarmee konden de aanvallers het authenticatieproces omzeilen, waaronder verschillende persoonlijke verificatievragen die alleen de belastingbetaler zou moeten weten.
Vorig jaar mei liet de IRS weten dat de gegevens van 114.000 mensen op deze manier waren buitgemaakt en benaderd. Een paar maanden later in augustus werd er een nieuwe verklaring gepubliceerd, waarin de Amerikaanse Belastingdienst meldde dat via Get Transcript de gegevens van nog eens 220.000 mensen waren benaderd, waardoor het totaal op 334.000 kwam.
Veel groter dan gedacht
Nu verklaart de IRS dat de gegevens van nog eens 390.000 belastingbetalers door criminelen zijn benaderd en gebruikt voor het aanvragen van frauduleuze belastingteruggaven, waardoor het totaal op 724.000 komt. Daarnaast probeerden de criminelen om op nog eens 295.000 Get Transcript-accounts te inloggen, maar die pogingen mislukten. Sinds de aanvallen in mei 2015 werden ontdekt besloot de IRS het systeem uit de lucht gehalen en werden alle getroffen personen gewaarschuwd. De nu ontdekte 390.000 personen die ook slachtoffer werden zullen vanaf volgende week een waarschuwing ontvangen. Verder stelt de IRS dat het een deel van de Get Transcript-dienst in de toekomst wil herstellen, alleen dan voorzien van betere authenticatieprotocollen.
En iedereen digitaal wel of geen idee waar je mee bezig bent, vind ik dan ook prima.
Ja ja het zit hier in Nederland wel goed ik hoef me gelukkig nergens zorgen over te maken.
Gelukkig wel ja, en de webside van de belastingdienst heeft geen certificaat nodig wat het allemaal gemakkelijker maakt, maar dat is ook het motto van de belastingdienst.
Als ze nou het IP address vast zouden zetten as terminal binding dan was het nog wat.
Gelukkig wel ja, en de webside van de belastingdienst heeft geen certificaat nodig wat het allemaal gemakkelijker maakt, maar dat is ook het motto van de belastingdienst.
Kijk eens naar het artikel en https://www.irs.gov/Individuals/Get-Transcript IAM zit achter de webbenadering, certificaten zijn een wassen neus als: geen user/password wat algemeen te achterhalen gegevens.
Als ze nou het IP address vast zouden zetten as terminal binding dan was het nog wat.
Ik mag toch een bepaalde zekerheid hebben dat ik op de goede site zit, zeker een site waar ik moet in loggen met digid.
Ik kan dan tenminste nog het certificaat controleren
Ik mag toch een bepaalde zekerheid hebben dat ik op de goede site zit, zeker een site waar ik moet in loggen met digid.
Ik kan dan tenminste nog het certificaat controleren
Laat ik eens met je meedenken. Ik zie wat je bedoeld, het is de eerste informatieve opening zoals bij de btw aangifte ondernemers. waar geen https gebruikt wordt. http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/btw_aangifte_doen_en_betalen/hoe_doet_u_aangifte/hoe_btw_aangifte_invullen_en_versturen
Daar staat een link naar de beveiligde omgeving voor je aangifte. Die zou ik apart vastzetten het is de echte ingang.
Voor de "digikoppeling"moet je zijn bij https://www.logius.nl/diensten/digikoppeling/ voor je geruststelling overal certificaten. De digid site https://www.digid.nl/ is het hart van de indentificatie / autenticatie . Je kunt je aanlogpogingen volgen (herkennning misbruik). Op met moment van aanloggen kom je bij de digid-site uit, (https certiciaten). Elke transfer heeft de informatie van waar het vandaan komt. Het hele verkeer met je ip-adres als start is traceerbaar. Nu weet ik niet of ze die controles doen, maar als ze dat doen lijkt me dat goed dichtgetimmerd.
Digid accepteert alleen requests van bekende services. Andere diensten alleen die van digid bij identificatie/autenticatie.
Nu de risico analyse.
Als jij naar een verkeerde site gestuurd wordt, weet ik niet hoe dat dan verder zou moeten lopen naar de beveiligde delen. Krijg je verkeerde informatie, zoals een foutief btw tarief voor ondernemers voorgeschoteld, dan is dat een duidelijk signaal.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
