据CBC记者Rosa Marchitelli, Jenn Blair采访报道,三年前,莫恩西的CRA账户遭到黑客入侵,导致他的个人信息被盗。在那之后,不断有人以他的名义申请信用卡、贷款、政府福利金等,前前后后至少有18次。
多年来,他不得不处理这些虚假信用卡和银行账户申请、账单自动付款绑定、4次失业保险金(EI)申请和1次紧急救助津贴(CERB)申请,总计约$40,000加元。
他说,最令人沮丧的部分是,CRA要求账户被黑的受害者支付被冒领的福利金,因此他被要求支付与那些EI申请有关的数千加元的税款和利息。
图源:CBC
莫恩西表示,在他的账户被黑之后,他花了无数个小时打电话和发电子邮件联系CRA,试图证明他不是那个申请福利金或信贷的人。但CRA依然对他穷追不舍,反复要求他证明清白。
莫恩西说:"他们只是不断地要求我支付更多的钱。我才是受害者,明明是他们的网站出了完全问题,但是我却要自己收拾残局。"
对此,专家表示,加拿大税务局网站一直存在重大安全漏洞。
图源:Google Map
近5万加拿大人的CRA账户被黑
2020年春季或夏季,加拿大税务局(CRA)及其他政府服务网站遭到黑客攻击,导致成千上万纳税人的个人和财务信息,包括他们的银行账户和工卡号码(SIN)落入坏人手中。
莫恩西是去年在联邦法院获得认证的一起集体诉讼的一部分,该诉讼声称政府的"运营失误"导致黑客能够获得这些信息。
政府尚未对该诉讼发表评论,但表示网络攻击依靠的是 "凭证填充(credential stuffing)",即使用从一项服务上偷来的ID和密码登录到另一项服务(比如其他网站和应用程序)。CRA敦促加拿大人避免重复使用密码。一些人认为这是政府试图将数据泄漏事件归咎于受害者的一种方式。
安全分析师和技术律师Ritesh Kotak表示:"归根结底,有这么多受到网络攻击的加拿大人。人们不得不通过各种途径花费数百个小时与不同的机构打交道来解决这种情况,这实在是不合适。"
Ritesh Kotak(图源:Keith Whelan/CBC)
CRA威胁要采取法律行动
莫恩西最早是在2020年夏天通过他妻子的朋友得知了这次网络攻击,这位朋友发现她的CRA账户被黑客入侵了。
随后,莫恩西登录自己的CRA账户时,发现直接存款信息被更改了。他注册了一个信用监测和欺诈警报服务,并联系了Equifax、TransUnion、CRA和反欺诈中心,要求在他的账户上设置一个标志。
过了两年半,CRA才正式通知莫恩西他可能是这次黑客攻击的受害者。在此之前,他一直在应对大量的欺诈活动。
一封日期为2022年10月4日的CRA信件称,"一个未经授权的人"可能可能于2020年5月27日访问了他的账户并更改了他的直接存款信息。信上提供了一个为期五年的TransUnion在线信用警报系统的订阅。莫恩西试图注册,但链接无效,好在他早在多年前就已经设置了一个信用欺诈检测服务。
他说:"当我收到那封信时,我的想法是,CRA终于承认我的账户确实被入侵了,我不会再收到要求还钱的通知了,他们想要支持我。"
但是,这封信并没有提到不追究莫恩西的债务问题,而且根据其网站上的条款和条件,CRA表示对与"数据安全违规"有关的纳税人的损害不负责任。
2023年3月,CRA寄来了另一封信,要求莫恩西支付6,018.97加元,否则可能面临与那些欺诈性EI申请相关的税款和利息费用的法律行动。
"我非常沮丧......我想我可能已经收到了四个不同的通知,要求我还钱......如果我在接下来的几个月不向CRA还款,他们要开始扣发我的工资了。"莫恩西说,"同一个机构前后说的话,在我看来像两面派。"
几个月来,他一直在努力解决这个问题,在CRA和Service Canada两个机构之间转来转去,努力把一个部门需要的文件传到另一个部门。
但是,莫恩西表示,这些部门非但没有与他合作,反而使事情变得更加困难。他说,有一次CRA关闭了他的档案,因为Service Canada花了太长时间来取消一张税单。
他不得不重新开始整个过程。尽管Service Canada在4月底寄来的一封信中承认,欺诈者可能盗用了莫恩西的个人信息来提交这些EI申请。
媒体询问这两个部门为什么不合作来解决莫恩西的问题。Service Canada回应称,它与CRA是"两个独立的实体,具有不同的能力和责任"。
Service Canada在一封电子邮件中表示,该部门将与申请人密切合作,尽快解决这些与欺诈性EI申请有关的问题。
CRA告诉媒体,由于《所得税法》(Income Tax Act)的保密规定,他们无法对具体纳税人的情况发表评论。
CRA表示:"在确认身份盗窃事件的情况下,CRA将确保采取适当的保护和纠正措施,从而使纳税人与CRA之间的互动恢复无缝。"
但是安全专家Kotak透露,莫恩西的处理过程并不顺利。
"我一直在与这些受害者打交道,这令人心碎,"他说。"一旦信息泄漏,要把它收回来是不可能的。一旦信息受到损害,就很难使受害人的生活完全恢复正常......在某些情况下,甚至是不可能的。"
图源:CBC
CRA:放心和安全使用
CRA表示,自从发生黑客攻击以来,该机构已经加强了其网站的安全性,包括添加强制性多重身份验证,并主动删除可能在其他地方被盗的用户ID和密码。他们表示,"加拿大人可以放心和安全地使用CRA在线服务。"
但网络安全公司We Hack Purple的首席执行官兼创始人Tanya Janca表示,该网站仍然缺乏一些基本的安全措施。
她指出,首先,该网站没有安全标头,这是一种功能,可以配置用户的浏览器在访问网站时使用防御设置,并且在联邦政府的安全政策下是必需的。
在媒体的询问下,CRA尚未回应这一问题。
Janca还对CRA网站的条款和条件表示担忧,该机构在账户被黑客攻击时免除责任,因为纳税人没有与该机构共享他们的敏感信息。
这些条款和条件指出,存在"发生数据安全违规的微小可能性",并且CRA"对您可能遭受的任何损害"不承担责任。
CRA表示,这个免责声明"确保纳税人了解他们在保护个人信息方面的责任角色",并补充说这种免责声明在各种银行和政府网站上都很常见。
接下来将发生什么?
在遭受网络攻击近三年之后,莫恩西说他现在的信用状况一团糟,他担心接下来将会面临什么问题。
他现在正在与Service Canada合作,以获得一个新的SIN号码,但他表示他不确定这会有多大帮助,因为他仍然对旧号码发生的任何事情负有责任。
他补充说:"我已经与许多不同的人合作,试图纠正这个问题,但是每个组织给我的回应都不一样......如果他们能够相互沟通而不是把所有的责任都推给我,那就太好了......这真的是一场噩梦。"
来源链接:
https://www.cbc.ca/news/canada/toronto/cra-cyber-attack-victim-fraud-1.6845430