Une faille de sécurité sur le site Web du Florida Department of Revenue a révélé au moins des centaines de numéros de sécurité sociale et de comptes bancaires des contribuables, a découvert un chercheur en sécurité.
Kamran Mohsin a déclaré que la faille de sécurité – maintenant corrigée – lui permettait, à lui ou à toute autre personne connectée au site Web d’enregistrement de la taxe professionnelle de l’État, d’accéder, de modifier et de supprimer les données personnelles des propriétaires d’entreprise dont les informations sont enregistrées auprès de l’administration fiscale de l’État en modifiant la partie de l’adresse Web qui contient le numéro de demande du contribuable.
Mohsin a déclaré que les numéros de demande sont séquentiels, permettant à quiconque d’énumérer les informations des contribuables en incrémentant le numéro de demande d’un seul chiffre. Mohsin a déclaré qu’il y avait plus de 713 000 candidatures dans le système, ce que le département n’a pas contesté lorsqu’il a été contacté pour commenter.
La faille est connue sous le nom de référence d’objet directe non sécurisée, ou IDOR, une classe de vulnérabilité qui expose des fichiers ou des données stockés sur un serveur en raison de la faiblesse ou de l’absence de contrôles de sécurité en place. C’est comme avoir une clé pour déverrouiller votre boîte aux lettres, mais cette clé peut également déverrouiller toutes les autres boîtes aux lettres de votre quartier. Les IDOR ont un avantage sur les autres bogues en ce sens qu’ils peuvent souvent être corrigés rapidement au niveau du serveur.
Mohsin a fourni à TechCrunch des captures d’écran de la faille du site Web, qui comprenaient des exemples de noms, d’adresses personnelles et professionnelles, de numéros de compte bancaire et d’acheminement, de numéros de sécurité sociale et d’autres identifiants fiscaux uniques utilisés pour déposer des documents auprès de l’État et du gouvernement fédéral.
Les identifiants fiscaux, comme les numéros de sécurité sociale, sont souvent ciblés par les escrocs et les cybercriminels pour produire des déclarations de revenus frauduleuses visant à voler des remboursements d’impôt, ce qui coûte aux contribuables des milliards de dollars chaque année.
Mohsin a contacté le Florida Department of Revenue le 27 octobre et a reçu une adresse e-mail pour signaler la vulnérabilité. Il l’a fait, et la faille a été corrigée peu de temps après, mais il a dit qu’il n’avait pas eu de nouvelles du département depuis.
Lorsqu’il a été contacté pour commenter, le Florida Department of Revenue a déclaré à TechCrunch que la faille avait été corrigée dans les quatre jours suivant le rapport de Mohsin et que deux sociétés de sécurité, que le département n’a pas nommées, ont déclaré que le site Web était désormais sécurisé.
« La vulnérabilité a permis à la personne externe de voir les données d’enregistrement soumises par les contribuables, y compris 417 enregistrements contenant des informations confidentielles », a déclaré la porte-parole Bethany Wester dans un e-mail. «Dans un délai de deux jours, le Département a tenté de contacter chaque entreprise concernée par téléphone et a contacté tous les contribuables concernés par téléphone ou par écrit dans les quatre jours. Le Département a également offert un an de surveillance gratuite du crédit à chaque contribuable concerné. »
Interrogé, le département a déclaré n’avoir identifié « aucun signe d’exploitation avant cette violation », mais n’a pas précisé s’il disposait des moyens techniques, tels que des journaux, pour déterminer s’il existait des preuves d’exploitation antérieure ou d’exfiltration de données.
En savoir plus sur TechCrunch :