- Регистрация
- 11 Июл 2020
- Сообщения
- 87
- Реакции
- 5
Эпизод 21: Для чего хакеры крадут записи о пациентах?
Вступить в наш чат
Ведущий: 2015 год был полон утечек данных. В начале года было два крупных нарушения со стороны поставщиков медицинских услуг. В феврале Anthem объявил, что было украдено восемьдесят миллионов записей о пациентах. Примерно в то же время был обнаружен Premera Blue Cross, и они обнаружили, что, возможно, одни и те же актеры были в их сети и признали взлом одиннадцати миллионов записей пациентов. Таким образом, только в первом квартале 2015 года хакеры украли почти сто миллионов записей о пациентах. На самом деле они не воровали медицинские записи; вместо этого они захватили такие вещи, как имена, дни рождения, медицинские удостоверения, номера социального страхования, уличные адреса, адреса электронной почты, информацию о сотрудниках и данные о доходах. Люди не были уверены, для чего это может быть использовано, кто это делает и зачем.
Его просто продали на темном рынке за быстрый биткойн? Была ли эта информация собрана в рамках многоэтапной атаки? Каким образом эта информация может быть ценной для хакеров? Как вы можете зарабатывать деньги, если знаете чье-то имя, адрес, номер социального страхования и тому подобное? Я позволю вам подумать об этом на минуту. Давайте поговорим о налоговой. Для моих неамериканских слушателей Служба внутренних доходов — это правительственное агентство США, которое собирает налоги. Большинство граждан и предприятий США должны каждый год отчитываться о своих доходах в IRS и платить налоги в зависимости от того, сколько денег они заработали. IRS приходится обрабатывать сотни миллионов налоговых форм в год. Это архаичная и слишком сложная система. По сути, мы, американцы, платим процент от денег, которые мы зарабатываем, правительству, чтобы они могли погасить государственный долг за армию, социальное обеспечение, медицинское обслуживание пожилых людей и тому подобное.
Правительству США нужно много наших денег. В среднем они забирают около 14% нашей зарплаты. Если вы зарабатываете 67 000 долларов в год, они хотят из них 9 000 долларов. Но вот в чем дело; Американцы не копят 9000 долларов, чтобы отдавать их им каждый год. Мы просто просим наших работодателей вычесть эти деньги из нашей зарплаты еще до того, как мы их получим. Таким образом, все оплачено и прочее. Но мы не всегда знаем, сколько платить, и иногда мы недоплачиваем, и когда приходит время уплаты налогов, нам приходится платить немного больше. Но что на самом деле делают многие люди, так это переплачивают, а затем IRS возвращает нам деньги, которые нам не нужно было платить. Иногда это может быть налоговая декларация хорошего размера, тысячи долларов. Этот процесс подачи налоговых деклараций очень сложен, и традиционно IRS обрабатывает все это с помощью бумажных форм. Если вы хотели увидеть свои старые налоговые отчеты, вам нужно было заполнить форму IRS 4506 и заплатить 50 долларов, и вы можете получить свою старую налоговую отчетность, отправленную вам по почте.
Но в последнее десятилетие они перешли к электронной подаче документов, где вы можете сделать все это через веб-сайт irs.gov. В январе 2014 года они добавили на веб-сайт irs.gov новую функцию под названием «Получить стенограмму». Это позволит вам увидеть свои налоговые отчеты за прошлый год на случай, если вы захотите использовать их при подаче документов за этот год. Это была фантастическая функция, и сразу же миллионы американцев использовали ее для поиска своих налоговых форм за прошлый год. Обычно, когда вы подписываетесь на банковский счет или у поставщика медицинских услуг, вы проходите процесс регистрации, который часто включает в себя настройку пароля, а затем некоторые вопросы по восстановлению учетной записи, например, где вы познакомились со своим супругом или в какую среднюю школу вы ходили. Сайт irs.gov отличается. Они используют то, что называется мгновенным KBA или аутентификацией на основе знаний.
Они задают ряд вопросов, на которые только вы знаете ответ, например, какой у вас платеж по ипотеке и где вы купили машину. Это называется мгновенным KBA, потому что у них уже есть ответы на их стороне. Это немного отличается от банковского счета, где, когда они задают вам вопрос, они не знают ответа, и вы ставите ответ, а затем они сохраняют его для следующего раза. Благодаря Instant KBA они уже знают, в какую среднюю школу вы ходили, из вашей кредитной истории. IRS сотрудничает с одной из крупных компаний, предоставляющих кредитные отчеты, такой как EquiFax, чтобы узнать о вас больше. Благодаря этому IRS знает, на каких улицах вы раньше жили, какие кредитные карты у вас есть в настоящее время и тому подобное. Когда вы хотите использовать функцию «Получить выписку» на веб-сайте irs.gov, вам задают ряд подобных вопросов, ответы на которые знаете только вы, и они доказывают, кто вы, а затем вам показывают ваши старые налоговые отчеты.
Но можете ли вы догадаться, какие есть проблемы с этим мгновенным KBA? Ну, во-первых, IRS говорит, что 22% людей не могут сами правильно ответить на вопросы. Вы помните свой номер телефона, который у вас был десять лет назад, или адрес, который у вас был в колледже? Может быть, но когда тебе будет семьдесят? Вот еще одна проблема с мгновенным KBA; вы не можете отказаться от этого. IRS и EquiFax собрали и сохранили эту информацию о вас, на сохранение которой вы не давали им разрешения. Это может стать проблемой конфиденциальности. На самом деле NIST, правительственный совет по стандартам, специально комментирует это, говоря: «Неуместно непреднамеренно раскрывать конфиденциальность неизвестных граждан схемы мгновенной аутентификации KBA, если риск не близок к нулю». Еще одна большая проблема с этой аутентификацией, основанной на знаниях, связана с знанием секретной информации о вас.
По мере того, как наши данные становятся все более открытыми для всего мира из-за утечек, эта секретная информация больше не является секретной. Давайте вернемся в 2014 год, когда эта услуга «Получить стенограмму» впервые была представлена на веб-сайте irs.gov. Допустим, мы хотели получить наши старые стенограммы. Прежде всего, сайт запрашивает следующее: имя, номер социального страхования, адрес. Исторически сложилось так, что ваш номер социального страхования является приватным, и лишь немногие люди могут его знать, но по мере того, как происходят утечки данных, он становится не таким уж приватным. Имя и адрес не так уж сложно выяснить, поэтому эти первые вопросы можно легко победить, если кто-то знает это о вас. На этом этапе они заставляют вас зарегистрироваться с адресом электронной почты и отправляют вам электронное письмо для дальнейших шагов. Затем вам будут представлены четыре мгновенных вопроса KBA с несколькими вариантами ответов. Вот несколько образцов.
"Пожалуйста, выберите округ указанного вами адреса". Ну, очевидно, вы можете посмотреть это на любой карте, так что это легко. Следующий вопрос. "Согласно нашим записям, вы раньше жили в… вставьте город. Выберите улицу, на которой вы проживали в этом городе". Что ж, это вопрос с несколькими вариантами ответов, поэтому вы можете просмотреть ответы и исключить любые улицы, которых нет в этом городе, и тогда у вас будет довольно высокий шанс получить правильный ответ. "Пожалуйста, выберите город, в котором вы ранее проживали". Что ж, если у хакера были какие-либо данные о вас из предыдущих взломов, они, вероятно, включены. Или, черт возьми, ответ может быть даже в предыдущем вопросе. "Согласно нашим записям, какую из следующих средних школ вы окончили?" Ну, ты был на Facebook в последнее время? Почти все там есть, и все они любят писать, в какую среднюю школу они ходили, поэтому обычно это довольно легко найти. Вот и все.
Если вы правильно ответите на эти вопросы, вы получите абсолютно всю историю налоговых записей для этого человека. Если вы действительно посмотрите на это, потому что это вопросы с несколькими вариантами ответов, у нас есть шанс ответить на все вопросы правильно, даже не взломав данные, просто погуглив человека, где он жил и все такое. Эта опция «Получить расшифровку» на веб-сайте irs.gov использовалась миллионами людей в 2014 году, а затем снова в 2015 году. Это была отличная функция, но вы, возможно, уже заметили, что метод аутентификации, возможно, не был таким уж безопасным. Давайте перенесемся в февраль 2015 года, в тот же месяц, когда была обнаружена брешь в Anthem. Парень по имени Майкл Каспер идет заполнять налоговую декларацию. Он заполняет все формы в электронном виде и нажимает «Отправить», но что-то не так. Веб-сайт IRS сообщает ему, что он уже представил свои налоги, но это невозможно. Он еще не представил его. Он звонит в службу поддержки, и знаете что? Я позволю ему рассказать историю.
МАЙКЛ: В понедельник утром я позвонил в IRS, и они подтвердили мою личность, задав вопросы, связанные с налоговой историей, и показали мне, что депозит был внесен в тот же день, когда я звонил на чей-то счет, но было слишком поздно, чтобы остановить это. в таком случае.
Ведущий: Налоговое управление только что сообщило ему, что кто-то подал налоговую декларацию от его имени, и этому человеку был отправлен чек. Он уже был депонирован. Налоговое управление не смогло сообщить ему ничего другого, например, сколько стоил чек, в каком банке он был депонирован или что-то в этом роде. IRS не может раскрыть это из соображений конфиденциальности.
МАЙКЛ: Меня это расстроило. Именно тогда я попробовал функцию «Получить стенограмму» на веб-сайте IRS, чтобы узнать, могу ли я получить стенограмму, и обнаружил, что кто-то еще уже зарегистрировал свой адрес электронной почты с моим номером социального страхования.
Ведущий: Похоже, кто-то уже прошел этапы получения выписки из налоговой документации Майкла и зарегистрировался от его имени. В этот момент Майкл не знал, что и думать. Он задавался вопросом, взломали ли его, или кто-то украл его бумажник или личность, или что случилось. Это его вина, что это происходит? Снова и снова Майкл запрашивал дополнительную информацию о том, кто заполнил его налоги, но IRS отказывалась предоставить какую-либо информацию. В законе четко указано, что IRS не может никому передавать налоговую информацию, и он не смог войти на веб-сайт IRS и воспользоваться функцией «Получить выписку», потому что кто-то другой уже зарегистрировался под его именем. Он чувствовал себя застрявшим, но придумал новый план. Он выяснил, что если вы заполните форму IRS 4506 и включите 50 долларов, они отправят вам бумажную копию вашей налоговой декларации.
МАЙКЛ: Я узнал, что могу получить ксерокопию за 50 долларов. Они говорили мне, что я не могу получить информацию, но если я заплачу 50 долларов, я смогу ее получить. Итак, 17 марта я получил ксерокопию декларации, и именно тогда я узнал, что тот, кто подавал, видел мою декларацию за 2013 год, потому что информация была почти идентичной.
Какие данные заполучили злоумышленники и чем это обернулось для Майкла читай в следующем выпуске ровно через неделю.
Вступить в наш чат
Ведущий: 2015 год был полон утечек данных. В начале года было два крупных нарушения со стороны поставщиков медицинских услуг. В феврале Anthem объявил, что было украдено восемьдесят миллионов записей о пациентах. Примерно в то же время был обнаружен Premera Blue Cross, и они обнаружили, что, возможно, одни и те же актеры были в их сети и признали взлом одиннадцати миллионов записей пациентов. Таким образом, только в первом квартале 2015 года хакеры украли почти сто миллионов записей о пациентах. На самом деле они не воровали медицинские записи; вместо этого они захватили такие вещи, как имена, дни рождения, медицинские удостоверения, номера социального страхования, уличные адреса, адреса электронной почты, информацию о сотрудниках и данные о доходах. Люди не были уверены, для чего это может быть использовано, кто это делает и зачем.
Его просто продали на темном рынке за быстрый биткойн? Была ли эта информация собрана в рамках многоэтапной атаки? Каким образом эта информация может быть ценной для хакеров? Как вы можете зарабатывать деньги, если знаете чье-то имя, адрес, номер социального страхования и тому подобное? Я позволю вам подумать об этом на минуту. Давайте поговорим о налоговой. Для моих неамериканских слушателей Служба внутренних доходов — это правительственное агентство США, которое собирает налоги. Большинство граждан и предприятий США должны каждый год отчитываться о своих доходах в IRS и платить налоги в зависимости от того, сколько денег они заработали. IRS приходится обрабатывать сотни миллионов налоговых форм в год. Это архаичная и слишком сложная система. По сути, мы, американцы, платим процент от денег, которые мы зарабатываем, правительству, чтобы они могли погасить государственный долг за армию, социальное обеспечение, медицинское обслуживание пожилых людей и тому подобное.
Правительству США нужно много наших денег. В среднем они забирают около 14% нашей зарплаты. Если вы зарабатываете 67 000 долларов в год, они хотят из них 9 000 долларов. Но вот в чем дело; Американцы не копят 9000 долларов, чтобы отдавать их им каждый год. Мы просто просим наших работодателей вычесть эти деньги из нашей зарплаты еще до того, как мы их получим. Таким образом, все оплачено и прочее. Но мы не всегда знаем, сколько платить, и иногда мы недоплачиваем, и когда приходит время уплаты налогов, нам приходится платить немного больше. Но что на самом деле делают многие люди, так это переплачивают, а затем IRS возвращает нам деньги, которые нам не нужно было платить. Иногда это может быть налоговая декларация хорошего размера, тысячи долларов. Этот процесс подачи налоговых деклараций очень сложен, и традиционно IRS обрабатывает все это с помощью бумажных форм. Если вы хотели увидеть свои старые налоговые отчеты, вам нужно было заполнить форму IRS 4506 и заплатить 50 долларов, и вы можете получить свою старую налоговую отчетность, отправленную вам по почте.
Но в последнее десятилетие они перешли к электронной подаче документов, где вы можете сделать все это через веб-сайт irs.gov. В январе 2014 года они добавили на веб-сайт irs.gov новую функцию под названием «Получить стенограмму». Это позволит вам увидеть свои налоговые отчеты за прошлый год на случай, если вы захотите использовать их при подаче документов за этот год. Это была фантастическая функция, и сразу же миллионы американцев использовали ее для поиска своих налоговых форм за прошлый год. Обычно, когда вы подписываетесь на банковский счет или у поставщика медицинских услуг, вы проходите процесс регистрации, который часто включает в себя настройку пароля, а затем некоторые вопросы по восстановлению учетной записи, например, где вы познакомились со своим супругом или в какую среднюю школу вы ходили. Сайт irs.gov отличается. Они используют то, что называется мгновенным KBA или аутентификацией на основе знаний.
Они задают ряд вопросов, на которые только вы знаете ответ, например, какой у вас платеж по ипотеке и где вы купили машину. Это называется мгновенным KBA, потому что у них уже есть ответы на их стороне. Это немного отличается от банковского счета, где, когда они задают вам вопрос, они не знают ответа, и вы ставите ответ, а затем они сохраняют его для следующего раза. Благодаря Instant KBA они уже знают, в какую среднюю школу вы ходили, из вашей кредитной истории. IRS сотрудничает с одной из крупных компаний, предоставляющих кредитные отчеты, такой как EquiFax, чтобы узнать о вас больше. Благодаря этому IRS знает, на каких улицах вы раньше жили, какие кредитные карты у вас есть в настоящее время и тому подобное. Когда вы хотите использовать функцию «Получить выписку» на веб-сайте irs.gov, вам задают ряд подобных вопросов, ответы на которые знаете только вы, и они доказывают, кто вы, а затем вам показывают ваши старые налоговые отчеты.
Но можете ли вы догадаться, какие есть проблемы с этим мгновенным KBA? Ну, во-первых, IRS говорит, что 22% людей не могут сами правильно ответить на вопросы. Вы помните свой номер телефона, который у вас был десять лет назад, или адрес, который у вас был в колледже? Может быть, но когда тебе будет семьдесят? Вот еще одна проблема с мгновенным KBA; вы не можете отказаться от этого. IRS и EquiFax собрали и сохранили эту информацию о вас, на сохранение которой вы не давали им разрешения. Это может стать проблемой конфиденциальности. На самом деле NIST, правительственный совет по стандартам, специально комментирует это, говоря: «Неуместно непреднамеренно раскрывать конфиденциальность неизвестных граждан схемы мгновенной аутентификации KBA, если риск не близок к нулю». Еще одна большая проблема с этой аутентификацией, основанной на знаниях, связана с знанием секретной информации о вас.
По мере того, как наши данные становятся все более открытыми для всего мира из-за утечек, эта секретная информация больше не является секретной. Давайте вернемся в 2014 год, когда эта услуга «Получить стенограмму» впервые была представлена на веб-сайте irs.gov. Допустим, мы хотели получить наши старые стенограммы. Прежде всего, сайт запрашивает следующее: имя, номер социального страхования, адрес. Исторически сложилось так, что ваш номер социального страхования является приватным, и лишь немногие люди могут его знать, но по мере того, как происходят утечки данных, он становится не таким уж приватным. Имя и адрес не так уж сложно выяснить, поэтому эти первые вопросы можно легко победить, если кто-то знает это о вас. На этом этапе они заставляют вас зарегистрироваться с адресом электронной почты и отправляют вам электронное письмо для дальнейших шагов. Затем вам будут представлены четыре мгновенных вопроса KBA с несколькими вариантами ответов. Вот несколько образцов.
"Пожалуйста, выберите округ указанного вами адреса". Ну, очевидно, вы можете посмотреть это на любой карте, так что это легко. Следующий вопрос. "Согласно нашим записям, вы раньше жили в… вставьте город. Выберите улицу, на которой вы проживали в этом городе". Что ж, это вопрос с несколькими вариантами ответов, поэтому вы можете просмотреть ответы и исключить любые улицы, которых нет в этом городе, и тогда у вас будет довольно высокий шанс получить правильный ответ. "Пожалуйста, выберите город, в котором вы ранее проживали". Что ж, если у хакера были какие-либо данные о вас из предыдущих взломов, они, вероятно, включены. Или, черт возьми, ответ может быть даже в предыдущем вопросе. "Согласно нашим записям, какую из следующих средних школ вы окончили?" Ну, ты был на Facebook в последнее время? Почти все там есть, и все они любят писать, в какую среднюю школу они ходили, поэтому обычно это довольно легко найти. Вот и все.
Если вы правильно ответите на эти вопросы, вы получите абсолютно всю историю налоговых записей для этого человека. Если вы действительно посмотрите на это, потому что это вопросы с несколькими вариантами ответов, у нас есть шанс ответить на все вопросы правильно, даже не взломав данные, просто погуглив человека, где он жил и все такое. Эта опция «Получить расшифровку» на веб-сайте irs.gov использовалась миллионами людей в 2014 году, а затем снова в 2015 году. Это была отличная функция, но вы, возможно, уже заметили, что метод аутентификации, возможно, не был таким уж безопасным. Давайте перенесемся в февраль 2015 года, в тот же месяц, когда была обнаружена брешь в Anthem. Парень по имени Майкл Каспер идет заполнять налоговую декларацию. Он заполняет все формы в электронном виде и нажимает «Отправить», но что-то не так. Веб-сайт IRS сообщает ему, что он уже представил свои налоги, но это невозможно. Он еще не представил его. Он звонит в службу поддержки, и знаете что? Я позволю ему рассказать историю.
МАЙКЛ: В понедельник утром я позвонил в IRS, и они подтвердили мою личность, задав вопросы, связанные с налоговой историей, и показали мне, что депозит был внесен в тот же день, когда я звонил на чей-то счет, но было слишком поздно, чтобы остановить это. в таком случае.
Ведущий: Налоговое управление только что сообщило ему, что кто-то подал налоговую декларацию от его имени, и этому человеку был отправлен чек. Он уже был депонирован. Налоговое управление не смогло сообщить ему ничего другого, например, сколько стоил чек, в каком банке он был депонирован или что-то в этом роде. IRS не может раскрыть это из соображений конфиденциальности.
МАЙКЛ: Меня это расстроило. Именно тогда я попробовал функцию «Получить стенограмму» на веб-сайте IRS, чтобы узнать, могу ли я получить стенограмму, и обнаружил, что кто-то еще уже зарегистрировал свой адрес электронной почты с моим номером социального страхования.
Ведущий: Похоже, кто-то уже прошел этапы получения выписки из налоговой документации Майкла и зарегистрировался от его имени. В этот момент Майкл не знал, что и думать. Он задавался вопросом, взломали ли его, или кто-то украл его бумажник или личность, или что случилось. Это его вина, что это происходит? Снова и снова Майкл запрашивал дополнительную информацию о том, кто заполнил его налоги, но IRS отказывалась предоставить какую-либо информацию. В законе четко указано, что IRS не может никому передавать налоговую информацию, и он не смог войти на веб-сайт IRS и воспользоваться функцией «Получить выписку», потому что кто-то другой уже зарегистрировался под его именем. Он чувствовал себя застрявшим, но придумал новый план. Он выяснил, что если вы заполните форму IRS 4506 и включите 50 долларов, они отправят вам бумажную копию вашей налоговой декларации.
МАЙКЛ: Я узнал, что могу получить ксерокопию за 50 долларов. Они говорили мне, что я не могу получить информацию, но если я заплачу 50 долларов, я смогу ее получить. Итак, 17 марта я получил ксерокопию декларации, и именно тогда я узнал, что тот, кто подавал, видел мою декларацию за 2013 год, потому что информация была почти идентичной.
Какие данные заполучили злоумышленники и чем это обернулось для Майкла читай в следующем выпуске ровно через неделю.
