מס הכנסה חשף בטעות אלפי מספרי ביטוח לאומי

עוד יום, עוד תקלה של מס הכנסה.

האירוע כרוך בחשיפה לא מכוונת של עד 2,319 מספרי ביטוח לאומי, אולי יותר, לפיביקורת 1 ביוליעל ידי קבוצת השקיפות העצמאית והרשות הציבור Public.Resource.org. המספרים המזהים היו ברשת פחות מ-24 שעות, אך הנזק נגרם. ולמרבה הצער, הפרת הנתונים נוגעת לכמה מסוגי העסקאות הרגישים ביותר: אלה שנעשו על ידי קבוצות פוליטיות ללא מטרות רווח הידועות בשם 527s.

מדי כמה זמן, 527 צריכים להגיש טפסי מס למס הכנסה, ולאחר מכן מתווספים למסד נתונים. המאגר עצמו אינו סוד; מס הכנסה שלח רשומות מעודכנות באופן שגרתי ל-Public.Resource.org, וזה מועדף בקרב כתבים פוליטיים. אבל כשמס הכנסה אמר למייסד הקבוצה, קרל מלמוד, להתעלם מטופס 990-T הכלולים בפרסום של הסוכנות בינואר, הוא בחן מקרוב את התיקים המדוברים.

מתוך יותר מ-3,000 החזרי מס הכלולים בעדכון ינואר, 319 הכילו נתונים רגישים שהסוכנות הייתה צריכה לקרצף, כתב מלמוד בדו"ח שהגיש ללשכת המפקח הכללי.

כדי לקבוע את היקף החשיפה, ניתחנו את היומנים שלנו וגם ניתחנו את הנתונים שהתקבלו מ-IRS. אנו מנהלים רישום פרטיות המבוסס על כל קליק שנעשה על גיליון הכיסוי הפרטיות בראש כל החזרה. הרישום הזה מציין ששמונה קליקים בוצעו מארבע כתובות IP ייחודיות. עם זאת, אף אחד מאלה לא הביא לתלונות על פרטיות ויכול היה להיעשות על ידי תהליך אוטומטי.

בנוסף, בדקנו את יומני ה-FTP וה-HTTP שלנו. אנו שומרים רק על חלון של שבעה ימים עבור יומני HTTP ולא ראינו שום גישה מבוססת HTTP שלא הייתה מסורק מנוע חיפוש. עבור יומני ה-FTP (מה שמצביע על פעילות הורדה בכמות גדולה), לא ראינו פעילות נרחבת עבור ספריית ינואר, אבל היה ברור שלפחות עותק אחד של תמונת ה-DVD ISO (התמונה של ה-DVD המקורי) הועבר.

למרות ש-Public.Resource.org הסירה את התיקים הפוגעים באופן מיידי והחליפה אותם בגרסה נקייה, עבר יום נוסף לפני ש"בכירי הבית הלבן" הסירו את הקבצים מעיני הציבור, ב-3 ביולי.

Public.Resource.org מכנה את המאמצים של מס הכנסה לאבטחת נתונים "לא מקצועיים וחובבניים".מבקשש-IRS סגר את כל מסד הנתונים של 527 כדי למנוע פגימות נוספות.