Un investigador detectó un error en el sitio web de ingresos del estado de Florida, que permitía a cualquier persona con acceso de inicio de sesión ver, modificar e incluso eliminar los registros de otros.
Aunque el departamento arregló este error después de ser informado, de alguna manera expuso todos los números de cuenta bancaria y seguro social de más de 713,000 solicitudes. Al informar a todos los contribuyentes sobre el incidente, el departamento les ofrece un año de monitoreo de crédito gratuito.
Exposición de datos de los contribuyentes
Como TechCrunch informó un investigador llamado Kamran Mohsin había visto un error en el sitio web del Departamento de Ingresos de Florida que expuso los datos confidenciales de cientos de miles de contribuyentes.
Al momento de escribir, el sitio web tiene más de 713,000 solicitudes presentadas por contribuyentes, con detalles como números y datos bancarios como datos expuestos. Se dice que la falla son referencias a objetos directos inseguros y es relativamente fácil de arreglar.
Y fue parcheado por el Departamento de Ingresos de Florida cuatro días después de que Mohsin lo informara el 27 de octubre. Mientras se encuentra, llevó a cualquier persona con acceso de inicio de sesión a ver, modificar e incluso eliminar los datos personales de otros contribuyentes simplemente modificando la dirección web, apuntando al número de solicitud de un contribuyente.
Aunque la falla es fácil de arreglar, tuvo un gran impacto, considerando lo fácil que es jugar con ella. Todo lo que el autor de la amenaza debe hacer es cambiar los dígitos de la URL por los del número de solicitud del objetivo. Bueno, tal incidente ilegal no ha ocurrido hasta ahora, dice la representante del Departamento, Bethany Wester.
Además, dijo que dos firmas no identificadas consideraron que el sitio es seguro y se comunicaron con todos los contribuyentes afectados por teléfono o por escrito dentro de los cuatro días posteriores al reconocimiento del incidente. Aunque están seguros de que no ha habido abuso de fallas, aún ofrecen un año de monitoreo de crédito gratuito para todos los contribuyentes.
