发生安全事件后,一些佛罗里达州居民可能会密切关注自己的财务状况。研究员 Kamran Mohsin告诉TechCrunch ,佛罗里达州税务局网站存在一个漏洞,该漏洞暴露了数百名申报者的银行账户和社会安全号码。任何登录州营业税登记网站的人都可以查看、修改甚至删除个人数据,只需修改指向纳税人申请号的网址——您只需更改链接中的数字即可。
Mohsin 说,在发现时,该部门的管道中有超过 713,000 份申请。 Mohsin 于 10 月 27 日就该缺陷向该部门发出了警告。
该部门代表 Bethany Wester 在一份声明中表示,政府在收到报告后的四天内修复了该漏洞,并且两家未具名的公司认为该网站是安全的。她补充说,“没有迹象表明”攻击者滥用了这个漏洞,但没有说明官员们是如何发现任何滥用行为的。该机构在得知该问题后的四天内通过电话或书面形式联系了每一位受影响的纳税人,并提供了一年的免费信用监控。
像这样的错误,称为不安全的直接对象引用,相对容易修复。与其他与税收相关的违规行为相比,损害可能也有限,例如Healthcare.gov 入侵在 2018 年损害了约 75,000 人。然而,该事件突显了安全薄弱的潜在危害——即使是像这样的小规模暴露也可能被用来进行税务欺诈和窃取退款。
原文: https://www.engadget.com/florida-tax-website-security-flaw-data-exposed-215737949.html?src=rss