【据CBC 5月22日报道】专家表示,即使在重大安全漏洞发生3年后,税务机构的网站仍然存在漏洞。
Justice Mounsey正在经历一场金融噩梦,不断与身份盗窃者作斗争,后者利用三年前黑客从政府网站获取的个人信息,以他的名义申请信用卡、贷款等等。
更糟糕的是,同一个部门一再要求这位多伦多男子证明自己的清白。
在2020年春季或夏季,包括银行账户和社会保险号在内的数千名纳税人的个人和财务信息落入了错误的手中,此后,诈骗者至少18次以Mounsey的名义试图获取信用和福利。
他不得不处理虚假的信用卡和银行账户申请,向公用事业公司进行自动付款,以及四次就业保险(EI)和一次加拿大紧急响应津贴(CERB)的索赔,总计约4万加元。
他说,最令人沮丧的部分是政府要求他支付数千美元的税款和利息,与那些就业保险索赔有关。
Mounsey告诉Go Public说:“他们不断要求我支付更多的钱。我是受害者。这是他们的安全协议失败了,但是我被迫收拾烂摊子。”
蒙西是一起在联邦法院获得认证的集体诉讼的一部分,该诉讼声称政府的“运营失误”导致黑客获取了这些信息。
政府对此诉讼没有发表评论,但表示这次网络攻击是通过“凭证填充”进行的——使用窃取的身份和密码访问其他网站和应用程序,并敦促加拿大人不要重复使用密码。一些人认为这是企图将泄露责任归咎于受害者。
根据法庭文件,黑客成功登录了至少48,110个加拿大税务局账户。然后,他们更改了12,700个纳税人账户的直接存款银行信息,并欺诈性地申请了CERB福利金。蒙西就是其中之一。
安全分析师和技术律师Ritesh Kotak表示:“最终,你有一个加拿大人成为了网络攻击的受害者。”
“一个人必须去处理这么多不同的障碍,与如此多的机构打交道,并花费数百个小时来解决这个问题,这种情况是不合适的。”
蒙西最早是在2020年夏天通过妻子的朋友得知了这次网络攻击,该朋友发现她的加拿大税务局账户被黑客入侵。
当他登录自己的账户时,他注意到他的直接存款信息已经被更改。他注册了一个信用监控和欺诈警报服务,并联系了Equifax、TransUnion、加拿大税务局和反欺诈中心,请求在他的账户上设置警示标志。
CRA在正式通知蒙西可能是这次黑客攻击的受害者之前,花费了两年半的时间。在此期间,他一直在处理大量的欺诈活动。
日期为2022年10月4日的CRA信函称,可能有“未经授权的个人”于2020年5月27日访问了他的账户并更改了他的直接存款信息。信函提供了五年的TransUnion在线信用警报系统订阅。蒙西表示他试图注册,但链接无效,而且他多年前就自己设置了一个信用欺诈检测服务。
他说:“当我收到那封信时,我想,‘好吧,这是承认我的账户被入侵了。所以我的想法是,终于有人理解了,我不会再收到他们要求付款的通知了。他们想要支持我。'”
但是这封信并没有提到不追究蒙西的债务,并且根据CRA网站上的条款和条件,CRA表示不对与“数据安全违规”有关的纳税人损失负责。
