IRS skylden i massiv South Carolina data brudd

South Carolinas guvernør krenket en utdatert Internal Revenue Service-standard som en medvirkende faktor til et omfattende data brudd som utgjorde sosial sikkerhetstall på 3,8 millioner skattebetalere pluss kredittkort og bankkonto data.

Gov. Nikki Haleys kommentarer tirsdag kom etter en rapport i bruddet viste at 74,7 GB ble stjålet fra datamaskiner som tilhørte South Carolina's Department of Revenue (DOR) etter at en ansatt ble offer for en phishing-e-post.

Personer som sendte innmeldinger elektronisk fra 1998 ble påvirket, selv om de fleste dataene ser ut til å være etter 2002, sa Haley under en pressekonferanse.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

South Carolina er i samsvar med IRS-regler, men IRS krever ikke at SSN-er krypteres, sa hun. Staten vil nå kryptere SSN-er og er i ferd med å revolere sine skattesystemer med sterkere sikkerhetskontroller. Hun sa at hun har sendt et brev til IRS for å oppmuntre byrået til å oppdatere sine standarder for å kreve kryptering av SSN.

Mangelen på kryptering og sterke brukertilgangskontroller pluss datert utstyr fra 1970-tallet gjorde DOR-systemer modne for et angrep, hun sa. "Dette er en ny epoke i tid hvor du ikke kan jobbe med 1970-utstyr," sa Haley. "Du kan ikke gå med samsvarsstandarder fra den føderale regjeringen."

Rapporten, skrevet av sikkerhetsselskapet Mandiant, fant at en ansattes datamaskin ble smittet med skadelig programvare etter at brukeren åpnet en phishing-e-post. Hackeren fanget personens brukernavn og passord, som tillot tilgang til agenturets Citrix-fjerntilgangstjeneste.

Derfra installerte hackeren ulike verktøy som fanget passord for brukerkonto på seks servere. Hackeren fikk til slutt tilgang til tre dusin andre systemer. Mandiant skrev at hackeren brukte minst 33 unike verktøy og malware, inkludert passorddumpingverktøy, administrative verktøy, batchskript og generiske databasekommandoer.

Hackeren brukte et verktøy som heter 7-Zip for å komprimere informasjon, og skaper 15 kryptert arkivert filer som, hvis de ikke er komprimert, inneholdt 74,7 GB data. Dataene ble flyttet til en annen server i DOR før den til slutt ble flyttet til et annet system på Internett, rapporterte rapporten.

De 23 stjålne databasefilene inneholdt en blanding av krypterte og ukrypterte data, sier rapporten. Hackeren ser ut til å ha kun oppnådd en kryptert nøkkel for krypterte data, som ikke kunne nås. Men det var mange andre plain-text data.

Dataene inkluderte SSN for 3,8 millioner skattefiler og informasjon om 1,9 millioner avhengige, Haley sa. Informasjon som tilhørte 699 900 bedrifter ble kompromittert, sammen med 3,3 millioner bankkontoer og 5000 kredittkortnumre, sa hun.

South Carolina har identifisert alle ofrene, som vil bli varslet ved brev. Staten jobber også med Experian, som overvåker kredittinformasjon for ofre.

Som et resultat av bruddet vil DOR-direktøren Jim Etter trekke seg tilbake 31. desember. Han vil bli erstattet av Bill Blume, som for tiden er administrerende direktør av South Carolina Statens tjenestemenn, forteller Haley.