Una falla de seguridad en el sitio web del Departamento de Ingresos de Florida expuso al menos cientos de números de Seguro Social y números de cuentas bancarias de los contribuyentes, descubrió un investigador de seguridad.

Kamran Mohsin dijo que la falla de seguridad, ahora corregida, le permitió a él, o a cualquier otra persona que haya iniciado sesión en el sitio web de registro de impuestos comerciales del estado, acceder, modificar y eliminar los datos personales de los propietarios de negocios cuya información está archivada con la autoridad fiscal del estado modificando la parte de la dirección web que contiene el número de solicitud del contribuyente.

Mohsin dijo que los números de solicitud son secuenciales, lo que permite que cualquiera pueda enumerar la información de los contribuyentes incrementando el número de solicitud en un solo dígito. Mohsin dijo que había más de 713,000 solicitudes en el sistema, que el departamento no cuestionó cuando se le solicitó un comentario.

La falla se conoce como una referencia de objeto directo insegura, o IDOR, una clase de vulnerabilidad que expone archivos o datos almacenados en un servidor debido a controles de seguridad débiles o inexistentes. Es como tener una llave para abrir su buzón, pero esa llave también puede abrir cualquier otro buzón en todo su vecindario. Los IDOR tienen una ventaja sobre otros errores en el sentido de que a menudo se pueden corregir rápidamente a nivel del servidor.

Un error en el sitio web de impuestos del estado de Florida expuso los datos de los contribuyentes

Mohsin proporcionó a TechCrunch capturas de pantalla de la falla del sitio web, que incluía muestras de nombres, direcciones de casas y negocios, cuentas bancarias y números de ruta, números de Seguro Social y otros identificadores de impuestos únicos utilizados para presentar documentos con el gobierno estatal y federal.

Los identificadores de impuestos, como los números de Seguro Social, a menudo son el objetivo de los estafadores y los ciberdelincuentes por presentar declaraciones de impuestos fraudulentas destinadas a robar los reembolsos de impuestos, lo que les cuesta a los contribuyentes. billones de dolares todos los años.

Mohsin se comunicó con el Departamento de Ingresos de Florida el 27 de octubre y se le proporcionó una dirección de correo electrónico para informar la vulnerabilidad. Lo hizo, y la falla se solucionó poco después, pero dijo que no ha tenido noticias del departamento desde entonces.

Cuando se contactó para hacer comentarios, el Departamento de Ingresos de Florida le dijo a TechCrunch que la falla se solucionó dentro de los cuatro días posteriores al informe de Mohsin y que dos compañías de seguridad, que el departamento no nombró, dicen que el sitio web ahora es seguro.

“La vulnerabilidad permitió a la persona externa ver los datos de registro presentados por los contribuyentes, incluidos 417 registros que contenían información confidencial”, dijo la portavoz Bethany Wester en un correo electrónico. “Dentro de un plazo de dos días, el Departamento intentó comunicarse con cada negocio afectado por teléfono y se comunicó con todos los contribuyentes afectados por teléfono o por escrito dentro de los cuatro días. El Departamento también ha ofrecido un año de seguimiento crediticio complementario a cada contribuyente afectado”.

Cuando se le preguntó, el departamento dijo que no había identificado «ningún signo de explotación antes de esta violación», pero no dijo si tenía los medios técnicos, como registros, para determinar si había evidencia de explotación previa o exfiltración de datos.

Lea más sobre TechCrunch: