加拿大一男子CRA账户被黑,信用全毁还要被追债!专家:税务局网站有重大安全漏洞!

加拿大一男子CRA账户被黑,信用全毁还要被追债!专家:税务局网站有重大安全漏洞!

OOliviaZZ
OOliviaZZ
1685 浏览

自从三年前黑客从一个政府网站上获得了Justice Mounsey的个人信息后,有人用他的名字申请信用卡、贷款等等。Justice Mounsey正生活在一场财务噩梦中,与不断涌来的身份窃贼斗争。

加拿大税务局(CRA)和其他政府服务网站在2020年春季或夏季被黑客攻击后,成千上万的纳税人的个人和财务信息,包括他们的银行账户和社会保险号码最终落入坏人手中。

图片来自@Craig Chivers/CBC,版权属原作者

Mounsey第一次了解到网络攻击是在2020年夏天,通过他妻子的朋友,她发现她的CRA账户被黑了。

当他登录时,他发现自己的直接存款信息被改变了。他注册了一个信用监测和欺诈警报服务,并联系了Equifax、TransUnion、CRA和反欺诈中心,要求在他的账户上设置一个标志。

从那时起,欺诈者至少有18次试图用Mounsey的名字获取信贷和福利

他不得不处理欺诈性的信用卡和银行账户申请,向一家公用事业公司自动付款,以及四项EI索赔和一项CERB索赔,总额约为4万元。

他说,最令人沮丧的部分是处理政府要求他支付数千加元的税款和利息,与这些EI索赔有关。

"他们只是不断地要求越来越多的钱,"Mounsey告诉媒体,"我是这里的受害者。这是他们的安全协议失败了,但我却要收拾烂摊子。"

Mounsey是去年在联邦法院认证的集体诉讼的一部分,该诉讼声称政府的 "操作失误 "使黑客能够获得这些信息。

政府没有对该诉讼发表评论,但表示网络攻击依靠的是 "凭证填充",使用偷来的ID和密码访问其他网站和应用程序,并敦促加拿大人避免重复使用密码。一些人认为这是将泄漏事件归咎于受害者的企图。

根据法庭文件,黑客成功登录了至少48110个CRA账户。然后,他们改变了12700个纳税人账户的直接存款银行信息,并以欺诈方式申请CERB福利。Mounsey就是其中之一。

安全分析师和技术律师Ritesh Kotak说,"一个人不得不去,通过这么多不同的圈套,与这么多不同的机构打交道,并花费数百个小时来解决这种情况,这实在是不合适。"

CRA威胁要采取法律行动

过了两年半,CRA才正式通知Mounsey他可能是黑客攻击的受害者。到那时,他已经在处理大量的欺诈活动了。

CRA在2022年10月4日的信中说,"一个未经授权的人 "可能在2020年5月27日进入他的账户并改变了他的直接存款信息。信中提供了一个为期五年的环联公司在线信用预警系统的订阅。"Mounsey说,他试图注册,但链接不起作用,加上他几年前就自己建立了一个信用欺诈检测服务。

"当我收到那封信时,这就是承认了我的账户被泄露了。所以我当时的想法是,'终于有人明白了,我不会再收到他们在找钱的通知了。他们想支持我,"他说。

但是,信中并没有说不找Mounsey要钱,而且根据其网站上的条款和条件,CRA说它不对与 "违反数据安全 "有关的纳税人的损失负责

Mounsey对他最终会得到政府帮助的乐观情绪很快就消失了。

2023年3月,加拿大税务局又发来一封信,要求他支付6,018.97加元,否则可能面临与那些欺诈性EI申请有关的税收和利息费用的法律行动。

几个月来,他一直在努力解决这个问题,在加拿大税务局和加拿大服务局之间跳来跳去,努力把一个部门想要的文件资料送到另一个部门。

但是,Mounsey说,这两个部门非但没有与他合作,反而使事情变得更加困难。有一次,他说CRA关闭了他的文件,因为加拿大服务局花了太长时间来取消一张税单

他不得不重新开始这个过程。尽管加拿大服务局在4月底发出的一封信中承认,欺诈者可能利用Mounsey的个人信息来提交这些EI申请。

媒体问这两个部门为什么不一起工作来解决Mounsey的问题。加拿大服务局回应说,它和CRA是 "两个独立的实体,有不同的能力和责任"

"加拿大服务局与申请人密切合作,尽快解决这些与欺诈性EI申请有关的问题,"它在一封电子邮件中说。

CRA告诉媒体,由于《所得税法》的保密规定,它不能对具体的纳税人情况进行评论。

一般来说,它说在 "确认身份盗窃事件的情况下,CRA将确保采取适当的保护和纠正措施,从而使纳税人恢复与CRA的无缝互动。"

但安全专家Kotak说,Mounsey的互动并不顺利。

"我一直在和这些受害者打交道,"他说。"一旦你的信息被泄露,就很难让人恢复正常......这非常困难,在某些情况下甚至不可能。"

图片来自@Keith Whelan/CBC,版权属原作者

信心和安全

CRA说,自黑客攻击以来,它已经改善了其网站的安全性,包括增加强制性多因素认证和主动撤销可能在其他地方被盗的用户ID和密码。"加拿大人可以放心和安全地使用CRA的在线服务,"它说。

但网络安全公司We Hack Purple的首席执行官兼创始人Tanya Janca说,该网站仍然缺乏一些基本的安全措施

图片来自@CBC新闻截图,版权属原作者

她说,首先,它没有安全标题,一种配置用户的浏览器在网站上使用防御设置的功能,而这是联邦政府的安全政策所要求的。

她还关注该网站的条款和条件,说如果账户被黑,联邦部门就放弃了责任,因为纳税人没有选择与该机构分享他们的敏感信息。

这些条款和条件说,存在 "违反数据安全的微小可能性",而且CRA "对你可能因此而遭受的任何损失不负责任"。

CRA告诉媒体,该免责声明 "确保纳税人了解他们在保护其私人信息方面的作用",并补充说这种免责声明在各种银行和政府网站上很常见。

下一步是什么?

网络攻击发生近三年后,Mounsey说他的信用被搞得一团糟,他担心接下来要处理的事情。

他说:"[我需要]做我能做的一切,以确保他们不会从我这里拿走更多的钱,并清除我的名字,因为其他人似乎都没有帮助。"

"我已经与许多不同的人合作,试图纠正这个问题,但我从每个组织得到不同的信息......如果他们能互相沟通,而不是把所有的责任推给我,那就太好了......这真的是一场噩梦。"

他现在正在与加拿大服务局合作,以获得一个新的社会保险号码,但他说他不确定这有多大帮助,因为他仍然要对旧号码发生的任何事情负责。

来源:CBC 封面:Mika Baumeister on Unsplash

CRA出手追债,2.37亿元退税被直接扣下用来抵欠款!这类人群成重点讨债对象!

OOliviaZZ

3789 4
CRA开始追债,一大批人福利金被扣!家长凌晨2点收到通知,难以支撑养孩子付房子!

坐着火车唱着歌

5276 2
个人ID谨慎保管!安省一男子社保号被盗,被税务局追债 2,842加元!维权之路极为坎坷!

OOliviaZZ

2371
1440_副本
1685 0 1 1
 

最新评论 1

半糖不加冰

:收钱挺勤快

2023-05-23
删除 | 举报 | | 回复

扫码下载APP