IRS culpou o governador da Carolina do Sul por um padrão desatualizado do Internal Revenue Service como um fator contribuinte para uma enorme violação de dados que expôs Números da Previdência Social de 3,8 milhões de contribuintes mais dados de cartão de crédito e conta bancária. O governador da Carolina do Sul culpou um padrão desatualizado do Internal Revenue Service como um fator contribuinte para uma enorme violação de dados que expôs números da Previdência Social de 3,8 milhões de contribu

[Leia mais: Como remover malware do seu PC Windows]

Carolina do Sul está em conformidade com as regras do IRS, mas o IRS não exige que os SSNs sejam criptografados, disse ela. O estado vai agora criptografar SSNs e está em processo de renovar seus sistemas fiscais com controles de segurança mais fortes. Ela disse que enviou uma carta ao IRS para encorajar a agência a atualizar seus padrões para impor a criptografia dos SSNs.

A falta de criptografia e controles de acesso de usuário fortes, além de equipamentos datados da década de 1970, tornaram os sistemas DOR prontos para um ataque. disse.

"Esta é uma nova era no tempo em que você não pode trabalhar com equipamentos de 1970", disse Haley. "Você não pode seguir os padrões de conformidade do governo federal."

O relatório, escrito pela empresa de segurança Mandiant, descobriu que o computador de um funcionário foi infectado por malware depois que o usuário abriu um e-mail de phishing. O hacker capturou o nome de usuário e a senha da pessoa, o que permitiu o acesso ao serviço de acesso remoto da Citrix da agência.

A partir daí, o hacker instalou várias ferramentas que capturavam senhas de contas de usuários em seis servidores. O hacker acabou ganhando acesso a três dúzias de outros sistemas. A Mandiant escreveu que o hacker usou pelo menos 33 utilitários e malware exclusivos, incluindo ferramentas de despejo de senha, utilitários administrativos, scripts em lote e utilitários genéricos de comando de banco de dados. O hacker usou um utilitário chamado 7-Zip para compactar informações, criando 15 arquivos criptografados. arquivos que, se descompactados, continham 74,7 GB de dados. Os dados foram transferidos para outro servidor dentro do DOR antes de ser transferido para outro sistema na Internet, segundo o relatório. Os 23 arquivos de banco de dados roubados continham uma mistura de dados criptografados e não criptografados, segundo o relatório. O hacker parece ter obtido apenas uma chave criptografada para os dados criptografados, que não puderam ser acessados. Mas havia muitos outros dados em texto simples.

Os dados incluíam SSNs para 3,8 milhões de usuários e informações sobre 1,9 milhão de dependentes, disse Haley. As informações pertencentes a 699.900 empresas foram comprometidas, junto com 3,3 milhões de contas bancárias e 5.000 números de cartão de crédito, disse ela.

A Carolina do Sul identificou todas as vítimas, que serão notificadas por carta. O estado também está trabalhando com a Experian, que está monitorando informações de crédito para vítimas.

Como resultado da violação, o diretor do DOR, Jim Etter, renunciará em 31 de dezembro. Ele será substituído por Bill Blume, que atualmente é diretor executivo. da Autoridade de Benefício de Empregados Públicos da Carolina do Sul, disse Haley.