Открыть сервис

Утечка данных IRS 2015 года

Утечка данных IRS 2015 года — это инцидент в сфере информационной безопасности, произошедший в мае 2015 года, в результате которого злоумышленники получили несанкционированный доступ к налоговым декларациям и личным данным более 700 000 налогоплательщиков США. Событие считается одной из крупнейших и наиболее целенаправленных атак на государственные налоговые органы в истории.

Предпосылки и контекст

Служба внутренних доходов США (IRS) является федеральным органом, ответственным за сбор налогов и администрирование налогового законодательства. С начала 2010-х годов IRS активно внедряла онлайн-сервисы для налогоплательщиков, включая инструмент «Get Transcript» (получить выписку из налоговой декларации), который позволял гражданам в электронном виде запрашивать копии своих прошлых налоговых деклараций. Этот сервис был частью стратегии по цифровизации государственных услуг и повышению удобства для налогоплательщиков.

К 2015 году IRS обрабатывала миллионы онлайн-запросов ежегодно. Система аутентификации на портале основывалась на проверке личной информации, такой как номер социального страхования (SSN), дата рождения, адрес и ответы на контрольные вопросы (например, данные о предыдущем кредите или автомобиле). Эта информация часто была доступна из других источников, включая утечки данных из частных компаний и социальные сети.

Ход атаки

Механизм и масштаб

Атака началась в феврале 2015 года и продолжалась до мая того же года. Злоумышленники использовали автоматизированные скрипты для массового заполнения формы запроса выписки на сайте IRS. Для обхода капчи и других защитных механизмов применялись ботнеты и распределенные сети. Основным источником данных для атакующих стали утечки из сторонних организаций, таких как банки, кредитные бюро и медицинские учреждения, где хранилась личная информация налогоплательщиков.

По оценкам IRS, злоумышленники предприняли более 200 000 попыток получить доступ к сервису «Get Transcript». Из них успешными оказались около 114 000 запросов. В результате было скомпрометировано более 700 000 налоговых деклараций и личных записей (включая номера социального страхования, доходы, адреса и данные о работодателях).

Используемые уязвимости

Ключевой уязвимостью системы стала слабая многофакторная аутентификация. Вместо использования аппаратных токенов или одноразовых паролей, отправляемых по SMS, IRS полагалась на статичные вопросы, ответы на которые можно было найти в открытых базах данных или купить на черном рынке. Кроме того, система не имела эффективных механизмов обнаружения аномальной активности, такой как массовые запросы с одного IP-адреса или нехарактерное время доступа.

Последствия

Финансовый ущерб и кража личности

Основной целью атаки было получение данных для подачи мошеннических налоговых деклараций и кражи налоговых возвратов (refund fraud). Злоумышленники использовали украденные данные для создания фиктивных деклараций от имени реальных граждан, запрашивая возврат налога на подставные банковские счета. По данным IRS, в результате атаки было выплачено мошеннических возвратов на сумму более 50 миллионов долларов. Дополнительно, скомпрометированные данные (SSN, адреса, доходы) были проданы на теневых форумах, что привело к волне других преступлений, включая открытие кредитных линий и получение медицинских услуг под чужим именем.

Реакция IRS и правительства США

После обнаружения атаки в мае 2015 года IRS немедленно отключила онлайн-сервис «Get Transcript». Ведомство начало массовую рассылку уведомлений пострадавшим налогоплательщикам, предлагая бесплатный мониторинг кредитной истории и защиту от кражи личности. В течение нескольких месяцев IRS внедрила дополнительные меры безопасности:

В 2016 году IRS запустила обновленную версию сервиса с более строгими требованиями к проверке личности, включая использование биометрических данных (голосовая идентификация) и проверку через сторонние базы данных.

Судебные разбирательства

В 2017 году несколько пострадавших налогоплательщиков подали коллективный иск против IRS, обвиняя ведомство в халатности и недостаточных мерах безопасности. В 2018 году федеральный суд отклонил иск, сославшись на доктрину суверенного иммунитета (правительство США не может быть привлечено к ответственности за ущерб, причиненный в результате утечки данных, если не было прямого нарушения закона). Однако в 2020 году Верховный суд США отказался пересматривать это решение, оставив пострадавших без компенсации.

Расследование и установление виновных

ФБР и Секретная служба США провели масштабное расследование. В 2016 году было объявлено о задержании нескольких лиц, подозреваемых в причастности к атаке. Большинство из них оказались гражданами США, работавшими в составе организованных преступных групп. В 2017 году был арестован гражданин Нигерии, обвиняемый в организации схемы. Однако полный список всех участников и точная структура группы так и не были установлены. По данным следствия, атака могла быть частью более крупной международной сети по краже налоговых возвратов.

Значение и уроки

Влияние на кибербезопасность государственных органов

Утечка данных IRS 2015 года стала катализатором для пересмотра подходов к безопасности государственных онлайн-сервисов в США и других странах. Инцидент продемонстрировал, что даже простые, но массовые атаки, основанные на социальной инженерии и автоматизации, могут нанести огромный ущерб, если система аутентификации не соответствует современным угрозам. В результате:

Правовые и этические аспекты

Инцидент поднял вопросы об ответственности государства за защиту личных данных граждан. Отсутствие компенсации для пострадавших (из-за доктрины суверенного иммунитета) вызвало общественную дискуссию о необходимости изменения законодательства. В 2019 году в Конгресс США был внесен законопроект, предусматривающий возможность подачи исков против правительства за утечки данных, но он не был принят.

Технические уроки

С точки зрения информационной безопасности, атака на IRS показала, что:

Критика и последующие инциденты

Действия IRS после утечки подверглись критике за медлительность: сервис был отключен только через несколько месяцев после начала атаки. Кроме того, ведомство не смогло оперативно уведомить всех пострадавших — многие узнали о краже данных только после попыток подать собственные налоговые декларации. В 2016 году произошла еще одна, менее масштабная утечка, связанная с использованием аналогичных методов, что подтвердило сохраняющиеся уязвимости.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →