联邦助学网站为身份证窃贼提供一站式购物服务?[更新]

假期的到来预示着又一个即将到来的季节:纳税季节,随之而来的是退税欺诈季节。虽然国税局已经采取了一些措施来制止网络犯罪分子提交的虚假纳税申报表,但另一个政府机构可能正在为诈骗者的努力提供新的燃料:美国教育部。更新:教育部发言人断言情况并非如此,数据得到了适当保护——见下文更新。

11月24日,安全记者布莱恩·克雷布斯透露,联邦学生资助免费申请机构网站( FAFSA )不仅允许学生申请资助,还允许任何有学生姓名、社会保障号码和出生日期的人访问他们在申请中输入的所有信息,甚至有些人可能没有。该数据包括可用于提交欺诈性电子纳税申报表的纳税数据,包括前一纳税周期的调整后总收入( AGI )。

早在3月份,教育部和国税局就关闭了一个名为“数据检索工具”的系统,允许FAFSA申请人根据国税局的税务记录自动填写申请中的字段。原因:可能有10多万纳税人通过FAFSA应用系统进行了虚假信息检索。两年前,一个同样利用国税局数据的联邦学生贷款申请系统和一个旨在让纳税人保护电子档案的国税局PIN工具也引发了类似的担忧。

但是,当该工具关闭时,需要相同的信息来完成aid应用程序,因此,尽管在没有学生申请aid的情况下,它不能再用于获取信息,但它仍然可以用于瞄准系统中有应用程序的学生。2015 - 2016学年有2000多万学生申请资助。

诈骗犯[更新的为10万多条纳税人记录挖掘的进一步阅读系统] Krebs报道,FAFSA网站提示输入 FSA ID (用户创建的用户名和密码),网站用户也可以使用名字和姓氏、出生日期和SSN登录,而不管是否设置了FSA ID。这提供了对FAFSA应用程序中所有信息的访问——200多个信息域,其中包括比学生及其父母的许多个人信息的信用报告更详细的信息。这些字段包括永久地址、驾照号码、婚姻状况、移民数据、学生是否有毒品定罪、缴纳所得税、净资产、子女抚养费和退伍军人身份等。

Krebs建议,任何申请经济援助的人都可以免费获得他们的信用报告,并考虑冻结他们的信用报告的安全措施,以防范身份欺诈。

更新,11月28日:一名FSA发言人告诉Ars,Krebs story在使用学生身份信息提供的访问级别方面不准确,他不会正式发言,因为他们无权为教育部发言。据FSA发言人说,使用姓名、SSN和出生日期只能提供有限的访问权限。还有一个 save key,学生可以使用它将应用程序传递给准备FAFSA应用程序的父母或其他人,但这需要FSA ID来访问应用程序的所有字段。

IRS工具已重新激活,但有一些额外的保护。首先,申请人必须通过IRS网站进行认证,才能启动数据传输。当它被插入FAFSA应用程序时,它被屏蔽——数据不能通过FAFSA站点上的应用程序视图读取或提取。