IRS-skylden i massiv South Carolina-databrud

South Carolina's guvernør fejrede en forældet Internal Revenue Service-standard som en medvirkende faktor til en massiv overtrædelse af oplysningerne, som udsatte sociale sikringsnumre på 3,8 millioner skattepligtige plus kreditkort og bankkontooplysninger.

Gov. Nikki Haleys bemærkninger tirsdag kom efter en rapport i overtrædelsen viste, at 74,7 GB blev stjålet fra computere, der tilhørte South Carolina's Department of Revenue (DOR), efter at en medarbejder blev offer for en phishing-email.

Personer, der indgav elektroniske afkastopgørelser 1998 blev påvirkede, selvom de fleste data ser ud til at være efter 2002, sagde Haley under en pressekonference.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

South Carolina er i overensstemmelse med IRS-reglerne, men IRS kræver ikke, at SSN'er krypteres, sagde hun. Staten vil nu kryptere SSN'er og er i færd med at genopbygge sine skattesystemer med stærkere sikkerhedskontrol. Hun sagde, at hun har sendt et brev til IRS for at opfordre agenturet til at opdatere sine standarder for at mandat kryptering af SSN'er.

Manglen på kryptering og stærke brugeradgangskontroller plus dateret udstyr fra 1970'erne gjorde DOR-systemer modne for et angreb, hun sagde. "Dette er en ny æra i tiden, hvor du ikke kan arbejde med 1970-udstyr," sagde Haley. "Du kan ikke overholde de føderale regerings overholdelsesstandarder."

Rapporten, skrevet af sikkerhedsfirmaet Mandiant, viste, at en medarbejders computer blev inficeret med malware, efter at brugeren har åbnet en phishing-email. Hackeren fangede personens brugernavn og adgangskode, hvilket gav adgang til agenturets Citrix-fjernadgangstjeneste.

Derfra installerede hackeren forskellige værktøjer, der fangede brugerkontoadgangskoder på seks servere. Hackeren fik til sidst adgang til tre dusin andre systemer. Mandiant skrev, at hackeren brugte mindst 33 unikke værktøjer og malware, herunder adgangskode dumpingværktøjer, administrative værktøjer, batch scripts og generiske database kommandoen hjælpeprogrammer.

Hackeren brugte et værktøj kaldet 7-Zip for at komprimere oplysninger, hvilket skaber 15 krypterede arkiverede filer, der, hvis de ikke er komprimeret, indeholdt 74,7 GB data. Dataene blev flyttet til en anden server inden for DOR, før den til sidst blev flyttet til et andet system på internettet, sagde rapporten.

De 23 stjålne databasefiler indeholdt en blanding af krypterede og ukrypterede data, siger rapporten. Hackeren synes at have kun fået en krypteret nøgle til de krypterede data, som ikke kunne nås. Men der var masser af andre plain-text data.

Data indeholdt SSN for 3.800.000 skat filers og oplysninger om 1,9 millioner afhængige, Haley sagde. Oplysninger, der tilhørte 699.900 virksomheder, blev kompromitteret sammen med 3,3 millioner bankkonti og 5.000 kreditkortnumre, sagde hun.

South Carolina har identificeret alle ofrene, som vil blive notificeret ved brev. Staten arbejder også med Experian, som overvåger kreditoplysninger for ofre.

Som følge af overtrædelsen vil DOR-direktøren Jim Etter opsige den 31. december. Han vil blive erstattet af Bill Blume, som for tiden er administrerende direktør af South Carolina's offentligt ansatteydelsesmyndighed, sagde Haley.