[ad_1]

Cabinet de gestion de paie en ligne Greenshades.com est une leçon de choses sur la façon de ne pas faire d’authentification. Jusqu’à très récemment, l’entreprise permettait aux administrateurs de la paie d’entreprise d’accéder aux données de paie des employés en ligne en utilisant rien de plus que la date de naissance et le numéro de sécurité sociale d’un employé. C’est-à-dire jusqu’à ce que les criminels découvrent cela et commencent à déposer en masse des demandes de remboursement d’impôt frauduleuses auprès de l’IRS sur de larges pans d’employés d’entreprises qui utilisent les services de l’entreprise.

Un avis sur le site Web de Greenshades.

Un avis sur le site Web de Greenshades.

Greenshades, basé à Jacksonville, en Floride, a publié une alerte sur sa page d’accueil indiquant que l’entreprise « a constaté une augmentation anormale du nombre de voleurs d’identité utilisant des informations personnelles pour se connecter frauduleusement au système de l’entreprise afin d’accéder à des informations fiscales personnelles ».

De nombreux services en ligne attribuent ce type d’attaques aux clients qui réutilisent le même mot de passe sur plusieurs sites, mais Greenshades a configuré les clients pour cela en permettant l’accès aux registres de paie simplement en fournissant le numéro de sécurité sociale et la date de naissance de l’employé.

Comme cet auteur a cherché à le démontrer à plusieurs reprises, les informations SSN/DOB sont extrêmement faciles et peu coûteuses à obtenir via plusieurs sites Web gérés par des criminels : NSS/DDN les données sont disponibles à l’achat de manière fiable dans des magasins de crime en ligne souterrains pour moins de 4 $ par personne (payable en Bitcoin uniquement).

La flambée de la fraude fiscale contre les employés des entreprises qui utilisent Greenshades a été révélée plus tôt ce mois-ci dans divers reportages médiatiques. Un certain nombre d’employés des lycées publics de Chicago découvert que les escrocs les ont battus au poinçon sur le dépôt des déclarations de revenus. Une enquête sur cet incident a suggéré que les faiblesses de sécurité de Greenshades étaient à blâmer.

Sentinelle du Milwaukee Journal écrit le mois dernier sur la fraude fiscale perpétrée contre les employés du comté local, fraude qui était également liée à des comptes Greenshades compromis. Au Nebraska, le District des ressources naturelles de Lower Platte North et Santé Frémont l’hôpital comptait un certain nombre d’employés victimes de fraude fiscale liée à des comptes Greenshades compromis, selon un rapport dans le Frémont Tribun.

Co-PDG de Greenshades Matthieu Kane a déclaré que la société autorisait les administrateurs de la paie à accéder aux informations W2 avec rien de plus que SSN et DOB pour une raison simple : de nombreux clients l’exigeaient.

« Tvoici une raison valable d’avoir ce que j’appelle des identifiants de connexion faibles », a déclaré Kane à BreachTrace. « Certains de nos clients réclament des identifiants de connexion plus faibles, comme les entreprises qui ont un grand nombre d’employés temporaires. »

Kane a déclaré que les clients disposent d’un « large éventail d’options » pour choisir comment ils s’authentifieront auprès de Greenshades.com, mais que l’option la plus sécurisée actuellement proposée est un simple nom d’utilisateur et mot de passe.

Lorsqu’on lui a demandé si l’entreprise proposait une sorte d’authentification en deux étapes ou à deux facteurs, Kane a fait valoir que les adresses e-mail d’entreprise attribuées aux employés de l’entreprise servaient en quelque sorte de deuxième facteur.

« Dans ce cas, le deuxième facteur serait d’avoir accès à cette boîte de réception d’entreprise », a expliqué Kane. Il a ajouté que Greenshades travaillait sur le déploiement d’une fonctionnalité d’authentification à 2 facteurs qui pourrait ne pas être facultative à l’avenir.

Kane a déclaré que bien que Greenshades ait entendu parler d’un « nombre important » de ses clients au sujet d’un accès non autorisé aux dossiers des employés, la société estime que le pourcentage global d’employés concernés dans les organisations clientes individuelles était faible.

Cependant, dans au moins certains des incidents signalés liés à ce gâchis à Greenshades, le pourcentage global a été assez élevé. Dans le cas de la Lower Platt North NRD, par exemple, 90 % des employés ont vu leurs impôts déposés frauduleusement cette année.

Il est remarquable qu’une entreprise spécialisée dans l’aide aux entreprises pour gérer les données fiscales et de paie sensibles puisse être si laxiste en matière d’authentification. Malheureusement, l’authentification de mauvaise qualité est encore assez courante, même parmi les banques. En février, à Pittsburgh, en Pennsylvanie, Première Banque Nationale clients alertés acquis grâce à une récente fusion avec Métro Banque qu’ils pouvaient accéder au portail de paiement de factures et de banque électronique de l’entreprise en fournissant leur nom d’utilisateur Metro Bank et les quatre derniers chiffres de leur numéro de sécurité sociale.

Une lettre de la First National Bank à ses clients.

Une lettre de la First National Bank à ses clients.

S’appuyer sur des éléments de données statiques tels que les SSN et les anniversaires pour l’authentification est une idée horrible. Ces points de données ne sont plus secrets car ils sont largement disponibles à la vente sur la plupart des Américains, et les entreprises n’ont aucune raison de les utiliser pour l’authentification.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *