US-Steuerbehörde: Hunderttausend Konten kompromittiert

Unbekannte haben sich Zugang zu über 100.000 Konten von Steuerzahlern in den USA verschafft - mit zuvor gestohlenen Zugangsdaten. Die US-Steuerbehörde hat ihren Onlinedienst vorübergehend deaktiviert.

Artikel veröffentlicht am ,
Das Bürogebäude des IRS in New York
Das Bürogebäude des IRS in New York (Bild: Matthew G. Bisanz)

Zwischen Februar und Mai 2015 haben Unbekannte versucht, sich Zugang zu über 200.000 persönlichen Konten bei der US-Steuerbehörde Internal Revenue Service (IRS) zu verschaffen. Laut IRS waren die Datendiebe über 100.000-mal erfolgreich. Die internen Server der Steuerbehörde seien dabei aber nicht kompromittiert worden. Vielmehr hätten die Unbekannten zuvor erbeutete persönliche Daten genutzt, gab der IRS jetzt bekannt.

Stellenmarkt
  1. IT-Infrastruktur-Systembetre- uer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. PHP-Entwickler (w/m/d)
    Personalwerk Holding GmbH, Karben
Detailsuche

Über den von dem IRS bereitgestellten Onlinedienst Get Transcript können US-Steuerzahler unter anderem ihre Steuererklärung online einreichen. Für den Zugang müssen zunächst die Sozialversicherungsnummer und eine aktive E-Mail-Adresse eingegeben werden. Anschließend werden weitere persönliche Daten zur Legitimierung abgefragt, darunter das Geburtsdatum, die Adresse und der aktuelle Steuerstatus.

Zu einfache Zugangskriterien

Alle diese Informationen sind durch vorherige große Datendiebstähle inzwischen in einschlägigen Foren zu finden. Sie könnten beispielsweise von Einbrüchen bei großen US-Krankenversicherungen stammen, die in den vergangenen Monaten bekanntwurden.

In mindestens einem Fall wurde eine Steuerrückzahlung an ein fremdes Konto weitergeleitet. Eine Studentin hatte auf eine Annonce bei Craigslist geantwortet. Die Steuerrückzahlung wurde auf ihr Bankkonto überwiesen. Sie leitete einen Teil des Geldes über Western Union an einen Empfänger in Nigeria weiter und behielt eine zuvor ausgemachte Kommission für sich, wie der IT-Sicherheitsexperte Brian Krebs bereits im März 2015 berichtete. Krebs kritisierte schon damals die Zugangskriterien als viel zu lax.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Der IRS hat inzwischen den Get-Transcript-Dienst deaktiviert und will alle 200.000 Steuerzahler informieren, deren Konten von dem Vorfall betroffen sind. Von allen haben die Datendiebe zumindest die Sozialversicherungsnummer. Ihnen wird eine kostenlose Überwachung ihrer Geldtransfers angeboten. Allerdings werden sie auch in diesem und nächsten Jahr verstärkt von der Steuerbehörde auf Unregelmäßigkeiten beobachtet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

zoidborg 01. Jun 2015

noch kurz vor der Auflösung ihre Daseinsberechtigung legitimieren.

Bill Carson 27. Mai 2015

200¤ mit Western Union nach Nigeria (aus Deutschland) kosten 9,90¤ Gebühr, und obendrauf...

elgooG 27. Mai 2015

Du brauchst dann allerdings beides: Zugang zum Rechner des Bürgers UND seine persönlichen...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /