IRS klandras i massiv South Carolina dataöverträdelse

South Carolina: s guvernör har fel i en föråldrad standard för interntjänsten som en bidragande faktor till en omfattande överträdelse av uppgifter som exponerade socialförsäkringsnummer på 3,8 miljoner skattebetalare plus kreditkort och bankkontodata.

Gov. Nikki Haleys anmärkningar på tisdagen kom efter en rapport i brottet avslöjade att 74,7 GB stulits från datorer som tillhör South Carolina Department of Revenue (DOR) efter att en anställd blev offer för ett phishing-email.

Människor som lämnade avkastning elektroniskt från 1998 om påverkade, även om de flesta uppgifterna förefaller vara efter 2002, sade Haley under en presskonferens.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

South Carolina överensstämmer med IRS-regler, men IRS kräver inte att SSN: er krypteras, sa hon. Staten kommer nu att kryptera SSN och är på väg att omforma sina skattesystem med starkare säkerhetskontroller. Hon sa att hon har skickat ett brev till IRS för att uppmuntra byrån att uppdatera sina standarder för att kräva kryptering av SSN.

Bristen på kryptering och starka användaråtkomstkontroller plus daterad utrustning från 1970-talet gjorde DOR-system mogna för en attack, hon sade.

"Det här är en ny era i tid där du inte kan arbeta med 1970-utrustning," sade Haley. "Du kan inte följa de federala myndigheternas regler för överensstämmelse."

Rapporten, som skrevs av säkerhetsföretaget Mandiant, fann att en anställds dator blev smittad med skadlig kod efter att användaren öppnat ett phishing-e-postmeddelande. Hackern tagit personens användarnamn och lösenord, vilket gav åtkomst till byråns Citrix fjärråtkomsttjänst.

Härifrån installerade hackaren olika verktyg som tagit in användarnamnslösenord på sex servrar. Hackaren fick till slut tillgång till tre dussin andra system. Mandiant skrev att hackern använde åtminstone 33 unika verktyg och skadlig kod, inklusive lösenordsdumpningsverktyg, administrativa verktyg, batchskript och generiska databaskommandon.

Hackern använde ett verktyg som heter 7-Zip för att komprimera information, vilket skapar 15 krypterade arkiverade filer som, om de inte är komprimerade, innehöll 74,7 GB data. Datan flyttades till en annan server inom DOR innan den så småningom flyttades till ett annat system på Internet, berättade rapporten.

De 23 stulna databasfilerna innehöll en blandning av krypterad och okrypterad data, rapporterade rapporten. Hackaren verkar ha endast erhållit en krypterad nyckel för krypterad data, som inte kunde nås. Men det fanns massor av annan plain-text-data.

Uppgifterna innehöll SSN för 3,8 miljoner skattefiler och information om 1,9 miljoner beroendeberättigade, sade Haley. Information som tillhörde 699.900 företag komprometterades, tillsammans med 3,3 miljoner bankkonton och 5 000 kreditkortsnummer, sade hon.

South Carolina har identifierat alla offren, som kommer att bli underrättad genom brev. Staten arbetar också med Experian, som övervakar kreditinformation för offer.

Som ett resultat av överträdelsen kommer DOR-direktören Jim Etter att avgå den 31 december. Han kommer att ersättas av Bill Blume, som för närvarande är verkställande direktör av South Carolinas offentligt anställda förmånsmyndighet, sade Haley.