跳至正文

法官证明诉讼指控 CRA 允许黑客入侵数千个在线纳税人账户

  • 新闻

(纳闻记者李文瑞报导)

一名联邦法官证实了一起集体诉讼,指控加拿大税务局 (CRA) 允许数千名纳税人身份被黑客入侵,然后黑客利用这些信息非法收取加拿大紧急救济金 (CERB) 款项。

根据案件原告、卑诗省居民 Todd Sweet 的指控,联邦法官 Richard Southcott 写道,似乎数千名加拿大人“在 2020 年 6 月至 8 月期间容易受到黑客攻击”,因为据称 CRA 正在处理“运营失败”阻止它保护在线纳税人门户。

“原告进一步声称,通过未经授权访问这些账户,黑客能够进行身份盗窃和 CERB 欺诈并访问敏感和个人信息,”Southcott 在“Todd Sweet v. Her Majesty the Queen”中写道,正如首次报道的那样布莱克洛克的记者。

Sweet 声称,由于系统故障,社会保险号码、直接存款银行号码以及税务和就业记录等个人信息容易受到黑客的攻击。

“由于 CRA 凭证管理软件的配置错误,威胁参与者能够绕过安全问题并访问我的帐户,”Southcott 写道。 “CRA 在 2020 年 8 月 6 日得知这种绕过安全问题的方法,当时它收到了执法合作伙伴的提示,称这种方法正在暗网上出售。”

黑客实施了 Southcott 所谓的“凭据填充”——一种网络攻击,其中用户名和密码被盗,在暗网上出售,并用于访问个人服务。

Southcott 写道,超过 48,000 个 CRA 账户被黑,其中只有大约 17,000 个账户的凭证实际上被滥用或在线出售。

“威胁参与者实际上登录了 26,250 个我的帐户,”他说。 “在 13,550 个 My Accounts 中,虽然使用了安全问题绕过,但攻击者只查看了主页,这意味着访问了一些个人信息,但没有提交 CERB 申请。”

然而,在近 13,000 个账户中,黑客更改了纳税人的直接存款信息并提交了欺诈性的 CERB 申请。

在 2020 年 8 月 6 日获悉系统漏洞后,CRA 表示需要四天时间才能解决。

斯威特声称,违规事件的发生是因为政府“在没有采取必要预防措施的情况下仓促而鲁莽地”推出了 COVID-19 响应福利,并表示 CRA 应该意识到其在线系统“容易受到未经授权的违规行为”。

斯威特进一步声称,CRA 在每个月初观察到导致违规行为的“欺诈活动”增加,但联邦机构“没有采取任何措施通知或警告原告”。

加拿大税务局 (CRA) 总部康诺特大楼于 2020 年 8 月 17 日在渥太华拍摄。(Sean Kilpatrick/加拿大新闻社)