Pięć miesięcy po włamaniu do Equifax, Social Security nadal polega na zdyskredytowanej firmie

Author:
17 lutego 2021

Ubezpieczenie Społeczne nieustannie kręci się wokół tego, za co zapłacił Equifaxowi i dlaczego nie ustąpi

Akcje

Dave Lindorff8 stycznia 2018 09:58 (UTC)Prawie pięć miesięcy po bezprecedensowym naruszeniu bezpieczeństwa w firmie ratingowej Equifax ujawniło numery ubezpieczenia społecznego i inne dane, czyniąc około 147 milionów Amerykanów podatnymi na potencjalną kradzież tożsamości i ataki oszustwa, Social Security Administration nadal używa systemu bezpieczeństwa tożsamości opracowanego przez Equifax dla portalu internetowego MySocialSecurity.

Equifax otrzymał kontrakt o wartości 10 milionów dolarów bez oferty na początku 2016 roku, jak chwaliła się wówczas firma, „na pomoc SSA w zarządzaniu ryzykiem i ograniczaniu oszustw w systemie mySocialSecurity, spersonalizowanym portalu dla klientów, który zapewnia dostęp do niektórych usług SSA, takich jak jako oświadczenie online .

Dowiedziawszy się z dochodzenia przeprowadzonego 15 września w Salonie w sprawie dalszego korzystania przez SSA z systemu weryfikacji tożsamości Equifax, senator Sherrod Brown z D-Ohio i senator Orrin Hatch, R-Utah, napisali do Urzędu Ubezpieczeń Społecznych z prośbą o rozwiązanie umowy . Wezwali również rząd federalny do zakończenia wszystkich umów z Equifax, przynajmniej do czasu ustalenia, w jaki sposób gigantyczna firma kredytowa zdołała być podatna na tak kolosalny włamanie i dlaczego czekała kilka miesięcy, aby powiadomić dotkniętych Amerykanów, których dane kredytowe gromadzi i utrzymuje.

Ciągłe wykorzystywanie przez SSA skompromitowanej pracy wykonawcy Equifax kontrastuje z decyzją podjętą przez Internal Revenue Service. 13 października, najwyraźniej za namową Browna i Hatcha, IRS „tymczasowo zawiesił swój kontrakt o wartości 7,2 miliona dolarów na weryfikację bezpieczeństwa z Equifax dla podatników korzystających z dostępu online agencji.

W piśmie z wyjaśnieniem przekazanym Salonowi IRS napisał:

Podczas tego zawieszenia IRS będzie kontynuować przegląd systemów Equifax i zabezpieczeń. IRS podkreślił, że nadal nic nie wskazuje na kompromitację ograniczonych danych IRS udostępnionych w ramach umowy.

Zawieszenie kontraktu jest traktowane jako środek zapobiegawczy, ponieważ IRS kontynuuje przegląd.

Wstrzymanie prac związanych z weryfikacją tożsamości świadczonych w ramach umowy oznacza, że ​​IRS będzie czasowo nie mógł tworzyć nowych kont dla podatników za pomocą Bezpiecznego Dostępu, który obsługuje aplikacje, w tym konta internetowe i transkrypcje. Chociaż ludzie nie mogą tworzyć nowych kont, obecni użytkownicy Secure Access nie mają wpływu na zmianę umowy i nadal będą mieć dostęp do swoich kont. Inni podatnicy nadal mają możliwość uzyskania np. Odpisów, które można zamówić pocztą. IRS zauważa, że ​​ta zmiana nie ma wpływu na większość jego usług i narzędzi.

Może to brzmieć jak rozsądna decyzja organu podatkowego, ale rodzi się również pytanie, dlaczego IRS zdecydował się, zaledwie 10 dni przed zawieszeniem, oprzedłużeniuumowy Equifax bez oferty. W końcu historia o ogromnym wycieku danych Equifax była we wrześniu na pierwszych stronach gazet w całym kraju, zaledwie kilka tygodni przed tym wznowieniem. Według CNN w momencie odnowienia Equifax było już badane przez Departament Sprawiedliwości, FBI i Federalną Komisję Handlu.

Politico, które początkowo przerwało historię odnowienia kontraktu IRS Equifax, poinformowało wówczas, że IRS twierdziło, że utrzymuje stosunki „w celu zapobieżenia zerwaniu kontroli tożsamości użytkowników online.

Próby uzyskania odpowiedzi od IRS na inne pytania dotyczące umowy Equifax, takie jak to, co dokładnie firma kredytowa robiła dla agencji w zamian za 7,25 miliona dolarów, zakończyły się niepowodzeniem.

SSA było jeszcze mniej otwarte. Rzecznik prasowy Mark Hinkle powiedziałby jedynie Salonowi, że „Equifax nie jest i nigdy nie był odpowiedzialny za uwierzytelnianie użytkowników mySocialSecurity ani za tworzenie, utrzymywanie lub wspieranie żadnej z platform Social Security.

Ta odpowiedź sugeruje, że w rzeczywistości cała trudna finansowo SSA faktycznie otrzymana od Equifax za 10 milionów dolarów to zestaw pytań bezpieczeństwa, które należy zadać osobom próbującym udowodnić swoją tożsamość przed uzyskaniem dostępu do internetowego portalu klienta. (SSA redukuje liczbę pracowników zarówno w centrali, jak iw oddziałach, podejmując decyzje poprzedzające administrację Trumpa, przepychając coraz więcej transakcji i żądań informacji online.)

Na podstawie pytań faktycznie znalezionych na stronie wydaje się, że Equifax zaoferował zduplikowaną wersję pytań, których używa do własnego wadliwego i zhakowanego systemu bezpieczeństwa dostępu klienta do użytku przez portal MySocialSecurity Portal SSA i bez wątpienia portal internetowy IRS zbyt.

W rezultacie osoby starsze, które chcą dokonać zmian na swoim koncie Ubezpieczenia Społecznego – na przykład w celu przeniesienia depozytów do innego banku, gdy przenoszą się z domu do placówki pielęgniarskiej – napotykają całkowicie nieodpowiednie pytania, takie jak wnioski licencja, numer karty kredytowej lub dowód spłaty kredytu hipotecznego. Wielu starszych beneficjentów może równie dobrze nie mieć żadnego z tych dokumentów. (Właśnie z tym problemem natknąłem się, próbując pomóc mojemu 90-letniemu teśćowi uzyskać dostęp do swojego konta, aby mógł wykonać taki przelew. Po prostu nie mógł tego zrobić, ponieważ nie prowadzi, nie używa kart kredytowych i nie jest właścicielem domu. Jedyną widoczną opcją było przetransportowanie go – na wózku inwalidzkim z butlą tlenową – do najbliższego biura Ubezpieczeń Społecznych.)

Zarówno IRS, jak i SSA zasugerowały, że Salon musiałby złożyć wniosek o wolność informacji, aby dowiedzieć się, za co faktycznie płacą ich umowy z Equifax. Być może zaskakująco, Equifax był bardziej otwarty. Rzecznik Equifax powiedział Salonowi, że praca firmy dla obu agencji polegała na zapewnieniu im „na żądanie korzystania z usług danych i wsparcia analitycznego w celu weryfikacji tożsamości osób poszukujących dostępu do usług tych agencji [i]. . . także usługi weryfikacji dochodów i zatrudnienia , w przypadku SSA,„ w celu pomocy w określeniu kwalifikowalności kandydata do programu . Rzecznik dodał, że SSA „nie ma dostępu do mainframe Equifax, ani Equifax nie dotyka systemów SSA,Wyjaśniając, że„ Equifax zapewnia „usługi uwierzytelniania zaplecza w ramach procesu rejestracji / otwierania konta SSA.

Biuro senatora Browna, niezadowolone z braku działań SSA w tej sprawie, nadal wzywa agencję do zerwania stosunków z Equifax. Brown prosi również o wykluczenie Equifax ze wszystkich umów z rządem federalnym do odwołania.

We use cookies to provide you with the best possible experience. By continuing, we will assume that you agree to our cookie policy