USA: Cyberkriminelle stehlen 100.000 Steuerdaten
Die US-Steuerbehörde IRS registrierte rund 200.000 unberechtigte Datenzugriffe zwischen Februar und Mitte Mai. Die Angreifer konnten unter anderem unberechtigte Rückzahlungen entwenden. Die Behörde beziffert die Schadenssumme auf unter 50 Millionen Dollar. Das System hat sie vorübergehend abgeschaltet.
Cyberkriminelle konnten Steuerunterlagen von etwa 100.000 US-Amerikaner einsehen. Diesen Sicherheitsvorfall hat nun die US-Steuerbehörde Internal Revenue Service (IRS) gemeldet. Darüber hinaus konnten die Angreifer auf weitere nicht konkret genannte persönliche Daten der Betroffenen zugreifen, berichtet AP.
Die Angriffe erfolgten zwischen Februar und Mitte Mai. Für die Aktion setzten die Cyberkriminellen das System “Get Transcript” ein. Dieses ermöglicht es, Steuerzahlern eine zeilenweise Überprüfung ihrer Transaktionen in einem bestimmten Jahr einzusehen. Vor allem für Kreditanträge und College-Gebührenberechnungen sind diese von Bedeutung.
Für die Verwendung von “Get Transcript” wird der IRS zufolge eine Identifikation mit Sozialversicherungsnummer, Geburtsdatum, Steuerstatus und Postadresse benötigt. Einzelheiten, wie die Angreifer an die fremden Daten gelangen konnten, nannte die Behörde nicht. Die IRS registrierte allerdings 200.000 betrügerische Anfragen. Von denen waren jedoch nur die genannten 100.000 erfolgreich. Zugleich seien im Zeitraum fürs Einreichen der Steuerdaten 23 Millionen Transkripte legitim heruntergeladen worden.
Das System hat die Steuerbehörde vorübergehend deaktiviert. Um ihre Vorjahresdaten zu erhalten, müssen Steuerzahler einen Antrag per Briefpost beantragen.
Bislang gibt es keine Informationen zur Identität der Angreifer. Es soll sich IRS zufolge aber um “keine Amateure” handeln. Nach eigenen Angaben hat es die Behörde zu 80 Prozent mit organisiertem Verbrechen zu tun.
Die Zahl der mit den Daten laut IRS ergaunerten unberechtigten Rückzahlungen liegt unter 50 Millionen Dollar. 2013 wurden laut der Behörde geschätzte 5,8 Milliarden Dollar an Identitätsdiebe ausgezahlt.
Sicherheitsforscher Brian Krebs hatte das IRS-System bereits im März bemängelt. Es bestand nach seiner Aussage die Möglichkeit, dass jeder ein Konto für eine beliebige Identität anlegen konnte, wenn er bestimmte Daten hatte. Wer sich nicht selbst für “Get Transcript” anmeldete, lief daher Gefahr, dass dies Dritte in seinem Namen tun würden.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.