IRS schuldig aan massale gegevensverlies in South Carolina

South Carolina's gouverneur beschuldigde een verouderde Internal Revenue Service-standaard als een bijdragende factor aan een massale datalink die blootstelde aan de cijfers van de sociale zekerheid van 3,8 miljoen belastingbetalers plus creditcard en bankrekeninggegevens.

Gov. Nikki Haley's opmerkingen op dinsdag kwamen nadat een rapport in de bres openbaarde dat 74,7 GB werd gestolen van computers van het Department of Revenue (DOR) van South Carolina nadat een werknemer het slachtoffer was geworden van een phishing-e-mail.

Mensen die belastingaangiften elektronisch hebben ingediend van 1998 werden beïnvloed, hoewel de meeste gegevens na 2002 lijken te zijn, zei Haley tijdens een persconferentie.

[Meer lezen: Hoe u malware van uw Windows-pc verwijdert]

South Carolina voldoet aan de IRS-regels, maar de IRS vereist niet dat SSN's worden gecodeerd, zei ze. De staat zal nu SSN's versleutelen en bezig zijn belastingstelsels te vernieuwen met sterkere beveiligingscontroles. Ze zei dat ze een brief naar IRS heeft gestuurd om het bureau aan te moedigen zijn normen bij te werken om de codering van SSN's te verplichten.

Het gebrek aan encryptie en krachtige toegangscontroles voor gebruikers plus gedateerde uitrusting uit de jaren 1970 maakte DOR-systemen rijp voor een aanval, zei.

"Dit is een nieuw tijdperk in de tijd waarin je niet met apparatuur uit 1970 kunt werken," zei Haley. "U kunt niet meegaan met nalevingsnormen van de federale overheid."

Het rapport, geschreven door het beveiligingsbedrijf Mandiant, ontdekte dat de computer van een medewerker geïnfecteerd werd met malware nadat de gebruiker een phishing-e-mail had geopend. De hacker nam de gebruikersnaam en het wachtwoord van de persoon op, waardoor toegang kon worden verkregen tot de Citrix-service voor externe toegang van het bureau.

Van daaruit installeerde de hacker verschillende hulpprogramma's waarmee gebruikerswachtwoorden werden vastgelegd op zes servers. De hacker kreeg uiteindelijk toegang tot drie dozijn andere systemen. Mandiant schreef dat de hacker ten minste 33 unieke hulpprogramma's en malware gebruikte, waaronder hulpprogramma's voor het dumpen van wachtwoorden, beheerdershulpprogramma's, batchtypen en algemene hulpprogramma's voor databaseopdrachten.

De hacker gebruikte een hulpprogramma met de naam 7-Zip om informatie te comprimeren, waarbij 15 versleutelde gearchiveerde gegevens werden gemaakt bestanden die, indien niet gecomprimeerd, 74,7 GB aan gegevens bevatten. De gegevens zijn verplaatst naar een andere server binnen DOR voordat deze uiteindelijk werd verplaatst naar een ander systeem op internet, aldus het rapport.

De 23 gestolen databasebestanden bevatten een mix van gecodeerde en niet-versleutelde gegevens, aldus het rapport. De hacker lijkt alleen een gecodeerde sleutel te hebben verkregen voor de gecodeerde gegevens, waartoe geen toegang kon worden verkregen. Maar er waren nog veel meer gewone tekstgegevens.

De gegevens bevatten SSN's voor 3,8 miljoen belastingdossiers en informatie over 1,9 miljoen personen ten laste, zei Haley. Informatie van 699.900 bedrijven kwam in het gedrang, samen met 3.3 miljoen bankrekeningen en 5.000 creditcardaantallen, zei zij.

South Carolina heeft alle slachtoffers geïdentificeerd, die per brief zullen worden op de hoogte gebracht. De staat werkt ook samen met Experian, die kredietinformatie bijhoudt voor slachtoffers.

Als gevolg van de overtreding zal DOR-directeur Jim Etter op 31 december ontslag nemen. Hij zal worden vervangen door Bill Blume, die momenteel uitvoerend directeur is van de Public Employee Benefit Authority van South Carolina, zei Haley.