Gaia Bottà

USA, attacco ai contribuenti

Ignoti truffatori hanno ottenuto i dati di migliaia di cittadini statunitensi, semplicemente richiedendoli al Fisco. Disponevano delle informazioni necessarie ad accedere alla piattaforma online a nome dei contribuenti

Roma - I dati sono quelli relativi a 100mila contribuenti statunitensi, ma la natura delle informazioni è sensibile: riguardano redditi e tasse, ottenuti direttamente dai servizi messi a disposizione dall'Internal Revenue Service statunitense. Il movente? Appropriarsi dei rimborsi richiesti al Fisco a nome dei contribuenti.

Ad annunciare la breccia è la stessa istituzione: il veicolo dell'attacco è stato l'applicazione Get Transcript, che consente al cittadino di ottenere i resoconti di tutte le sue interazioni col Fisco, utili a richiedere i rimborsi, e la chiave per accedervi sono stati gli stessi dati dei cittadini coinvolti, rastrellati dai cracker altrove. Le violazioni, spiega l'IRS, sono state perpetrate tra il mese di febbraio e la metà di maggio, quando sono state rilevate attività sospette sul servizio: le indagini hanno contribuito a dare una dimensione alla breccia.

Le autorità, forse per allentare il peso delle responsabilità, calcano la mano sul metodo presumibilmente adottato dai cracker: sono riusciti ad ottenere i dati accedendo attraverso "il processo di autenticazione in più fasi che richiede una pregressa conoscenza delle informazioni personali del contribuente, tra cui il Social Security Number, la data di nascita, lo stato civile e l'indirizzo di residenza". Per accedere al servizio di IRS sono poi necessarie anche informazioni che dovrebbero essere note solo all'individuo, o al suo commercialista. Si tratta di informazioni che potrebbero essere sgorgate dai recenti attacchi sferrati ai danni di compagnie assicurative statunitensi, ottenute attraverso servizi di assistenza fiscale di terze parti o sfilate ai cittadini con campagne di phishing.
L'ipotesi della violazione di servizi terzi sembra particolarmente fondata: già nei mesi scorsi l'esperto di sicurezza Brian Krebs riferiva della disavventura di un contribuente statunitense, impossibilitato a registrarsi ai servizi online dell'IRS perché ignoti lo avevano preceduto. La ricostruzione di Krebs punta il dito contro certi servizi di assistenza fiscale, incapaci di offrire garanzie al cittadino che paghi per i loro servizi.

Gaia Bottà
Notizie collegate
  • SicurezzaFBI, un anno di cybercrimeGli utenti dei social media rimangono tra le vittime preferite, per le leggerezze a cui si prestano e per la miniera di dati che vi affidano. Auto e criptomonete, poi, sono fra le esche migliori per trarre in inganno
  • SicurezzaCracking e salute, altro prelievo di datiLa vittima è la compagnia assicurativa CareFirst, insieme a 1,1 milioni di utenti. La breccia è stata scoperta a seguito di un'indagine condotta sull'onda di sempre più frequenti intrusioni ai danni dei sistemi che gestiscono dati sanitari
  • SicurezzaCracking, il valore dei dati in fugaLa mole dei dati personali sottratti a mezzo cracking è immensa: non mancano i dati sensibili, trafugati da aziende che gestiscono servizi dedicati alla salute. Come risarcire gli utenti colpiti?