Sicherheitslücke auf der Steuer-Website von Florida hat sensible Daten von Antragstellern offengelegt

Einige Einwohner Floridas behalten ihre Finanzen nach einem Sicherheitsvorfall möglicherweise genau im Auge. Forscher Kamran Mohsin erzählt TechCrunch dass die Website des Finanzministeriums von Florida einen Fehler aufwies, der die Bankkonten- und Sozialversicherungsnummern von Hunderten von Antragstellern offenlegte. Jeder, der sich auf der staatlichen Gewerbesteuer-Registrierungsseite anmeldete, konnte persönliche Daten sehen, ändern und sogar löschen, indem er einfach die Webadresse änderte, die auf die Antragsnummer eines Steuerzahlers verweist – Sie mussten nur die Ziffern im Link ändern.

Zum Zeitpunkt der Entdeckung gab es über 713.000 Anträge in der Pipeline des Ministeriums, sagte Mohsin. Mohsin warnte das Ministerium am 27. Oktober vor dem Fehler.

Die Vertreterin des Ministeriums, Bethany Wester, sagte in einer Erklärung, dass die Regierung den Fehler innerhalb von vier Tagen nach dem Bericht behoben habe und dass zwei namenlose Firmen den Standort als sicher angesehen hätten. Sie fügte hinzu, es gebe „keine Anzeichen“, dass Angreifer den Fehler missbraucht hätten, sagte aber nicht, wie Beamte einen Missbrauch entdeckt haben könnten. Die Agentur kontaktierte alle betroffenen Steuerzahler telefonisch oder schriftlich innerhalb von vier Tagen, nachdem sie von dem Problem erfahren hatte, und bot ein Jahr kostenlose Kreditüberwachung an.

Fehler wie diese, bekannt als unsichere direkte Objektreferenzen, sind relativ einfach zu beheben. Der Schaden könnte auch im Vergleich zu anderen steuerbezogenen Verstößen begrenzt sein, wie z. B. einem Eindringen von Healthcare.gov, bei dem im Jahr 2018 etwa 75.000 Menschen gefährdet wurden. Der Vorfall unterstreicht jedoch den potenziellen Schaden durch schwache Sicherheit – selbst eine kleine Gefährdung wie diese könnte es sein verwendet werden, um Steuerbetrug zu begehen und Rückerstattungen zu stehlen.