一名安全研究人员发现,佛罗里达州税务局网站的一个安全漏洞暴露了至少数百个纳税人的社会安全号码和银行帐号。
Kamran Mohsin说,这个安全漏洞——现在已经修复——允许他或登录该州商业税务登记网站的任何其他人访问、修改和删除在该州税务机关备案的企业主的个人数据通过修改网址中包含纳税人申请号的部分。
Mohsin 表示,申请编号是连续的,任何人都可以通过将申请编号递增一位数来列举纳税人的信息。 Mohsin 说系统中有超过 713,000 份申请,当联系到该部门征求意见时,该部门没有异议。
该缺陷被称为不安全的直接对象引用或IDOR ,这是一类漏洞,由于安全控制薄弱或没有安全控制,它会暴露存储在服务器上的文件或数据。这就像有一把钥匙可以打开你的邮箱,但那把钥匙也可以打开你整个社区的所有其他邮箱。 IDOR 优于其他错误,因为它们通常可以在服务器级别快速修复。
Mohsin 向 TechCrunch 提供了网站漏洞的屏幕截图,其中包括姓名样本、家庭和公司地址、银行账户和路由号码、社会安全号码以及其他用于向州和联邦政府提交文件的唯一税务标识符。
税务标识符,如社会安全号码,经常成为诈骗者和网络犯罪分子的目标,因为他们提交旨在窃取退税的欺诈性纳税申报表,每年使纳税人损失数十亿美元。
Mohsin 于 10 月 27 日联系了佛罗里达州税务局,并获得了一个电子邮件地址来报告该漏洞。他做到了,漏洞很快就被修复了,但他说自那以后他就没有收到该部门的回音。
当联系到佛罗里达州税务局征求意见时,佛罗里达州税务局告诉 TechCrunch,该漏洞在 Mohsin 的报告发布后四天内得到修复,并且该部门未透露姓名的两家安全公司表示该网站现在是安全的。
“该漏洞允许外部个人查看纳税人提交的注册数据,包括 417 个包含机密信息的注册,”发言人 Bethany Wester 在一封电子邮件中说。 “在两天的时间内,该部门试图通过电话联系每家受影响的企业,并在四天内通过电话或书面形式联系了所有受影响的纳税人。该部门还为每个受影响的纳税人提供了一年的免费信用监控。”
当被问及时,该部门表示,它已经发现“在这次违规之前没有利用的迹象”,但没有说它是否有技术手段,比如日志,来确定是否有先前利用或数据泄露的证据。
在 TechCrunch 上阅读更多内容:
- LastPass 说它又被攻破了
- 亚马逊旗下的 Wickr 正在关闭其免费的加密消息应用程序
- 一个简单的 Android 锁屏绕过漏洞让研究人员获得了 70,000 美元
- 间谍软件供应商 Variston 利用 Chrome、Firefox 和 Windows 零日漏洞
佛罗里达州税务网站漏洞暴露了Zack Whittaker最初发布在TechCrunch上的申报者数据
原文: https://techcrunch.com/2022/12/02/florida-tax-bug-data-exposed/