Wenn Sie in Florida Bankgeschäfte tätigen, sollten Sie diese vielleicht lesen. Durch eine Sicherheitslücke auf der Website des Finanzministeriums von Florida wurden die Sozialversicherungsnummern und Bankkontonummern von Hunderten von Steuerzahlern offengelegt.
Laut Sicherheitsforscher Kamran Mohsin(Öffnet in einem neuen Fenster) der den jetzt behobenen Fehler fand, konnte jeder, der sich auf der Website der staatlichen Gewerbesteuerregistrierung anmeldete, auf die personenbezogenen Daten von Geschäftsinhabern zugreifen, diese ändern und löschen, deren Informationen bei der staatlichen Steuerbehörde gespeichert sind, indem er die Webadresse änderte, die die Daten des Steuerzahlers enthält. Anmeldenummer.
Zum Zeitpunkt der Entdeckung gab es über 713.000 Anträge in der Pipeline des Ministeriums, sagte Mohsin. Der Sicherheitsforscher alarmierte das Finanzministerium von Florida am 27. Oktober über den Fehler, und der Fehler wurde innerhalb von vier Tagen behoben. Laut TechCrunch, der mit Mohsin sprach, hat er seitdem nichts mehr von der Abteilung gehört.
In einer E-Mail an TechCrunch sagte Sprecherin Bethany Wester: „Die Schwachstelle ermöglichte es der externen Person, von Steuerzahlern übermittelte Registrierungsdaten einzusehen, darunter 417 Registrierungen, die vertrauliche Informationen enthielten. Innerhalb von zwei Tagen versuchte das Ministerium, jedes betroffene Unternehmen telefonisch zu kontaktieren, und hatte innerhalb von vier Tagen alle betroffenen Steuerzahler telefonisch oder schriftlich kontaktiert. Das Ministerium hat außerdem jedem betroffenen Steuerzahler ein Jahr kostenlose Kreditüberwachung angeboten.“
Die Abteilung teilte TechCrunch auch mit, dass sie „keine Anzeichen einer Ausbeutung vor diesem Verstoß“ festgestellt habe, sagte jedoch nicht, ob sie über die technischen Mittel wie Protokolle verfüge, um festzustellen, ob es Beweise für eine frühere Ausbeutung oder Datenexfiltration gab.
Von unseren Redakteuren empfohlen
2018 war eine ähnliche Sicherheitslücke betroffen 75.000 Nutzer von Healthcare.gov(Öffnet in einem neuen Fenster). Laut Engadget wurde eine beträchtliche Menge an persönlichen Informationen, einschließlich teilweiser Sozialversicherungsnummern, Steuerinformationen und Einwanderungsstatus, kompromittiert, aber es wurden keine Finanzinformationen gestohlen.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.