加拿大税务局再爆“心脏出血”故障
900 customers’ SINs stolen
在加拿大税务局网站使用的OpenSSL加密软件被爆出存在技术漏洞,可能导致用户私人信息外泄不久后,“心脏出血”攻击又导致大约900名纳税人的社会保险号码被盗。所有受到影响的用户都会收到税务局的挂号信通知。
Shortly after vulnerability exposed in the open SSL software used by CRA website that could put customers’ personal information at risks, a heart bleed attack on the agency’s computer system has left 900 SINs being stolen. The affected victims will be notified through registered mails.
(大中报泊然报道)据《环球邮报》报道,在有多达三分之二的网站都在使用的OpenSSL加密软件惊现“心脏出血”(Heartbleed)漏洞不久后,就有大约900名纳税人的社会保险号码(SIN)从加拿大税务局网站被盗走,而这些受害人在数天内可能会一直蒙在鼓里。
加拿大税务局在4月14日宣布,在该局因为“心脏出血”漏洞而临时关闭网上报税网站后,发现大约900名纳税人的社会保险号码已经被人盗走。
加拿大税务局称,所有社会保险号码被盗的民众都会收到该局的挂号信通知。税务局在一份公告中称,为了安全起见,该局不会用电话或电邮通知相关的民众,以免骗徒通过这些方式行骗。
加拿大税务局称,有人利用“心脏出血”漏洞从加拿大税务局系统中移除这些社会保险号码。税务局同时补充道,其正在艰难地分析其他被移除的数据碎片,其中有些数据可能涉及企业。
信贷监察服务公司Equifax Canada首席隐私专员鲁索(John Russo)表示,不法分子可以利用社会保险号码窃取他人身份。如果一个人同时拥有姓名、出生日期和社会保险号码,就可以开设银行账户、申请信用卡或租车。
加拿大税务局是第一个宣布因为有人利用“心脏出血”漏洞,而导致数据被盗的机构。网络安全专家Mark Nunnikhoven在4月15日表示,可能还会有更多机构出面证实自己遭到“心脏出血”漏洞的攻击。
当共同发现“心脏出血”漏洞的芬兰网络安全公司Codenomicon首次公布这一技术漏洞时,其指出黑客可以利用此漏洞在不留任何痕迹的情况下窃取用户数据。
会计及税务专业人士指出,唯一可以令人感到安慰的是,“心脏出血”攻击似乎非常有限。Robin Taub理财顾问公司老板兼注册会计师塔布(Robin Taub)表示,相对于加拿大的纳税人数量来说,被盗的社会保险号码只是一个小数字。但她同时亦表示,社会保险号码被盗实属不幸。由于加拿大税务局是通过邮件通知受害人,因此相关人士要等待数天才能得到确定消息。
但是多伦多Trowbridge Professional Corp.会计比威克(Wayne Bewick)指出,税务局通过邮件通知900名受害人是有道理的,因为有许多垃圾邮件都是来自假冒税务局的人,因此该局需要使用最安全的通知方式。
加拿大隐私专员伯尼尔(Chantal Bernier)在4月11日获悉这个问题,但是税务局直到4月14日上午才予以公开。目前皇家骑警正在就此进行相关的调查。
国库局主席甘礼民(Tony Clement)在接受采访时表示,其他联邦部门均没有受到“心脏出血”漏洞的危害。他表示,当局已经进行了全面的检查,并且打了相关的补丁,因此现在已经度过了这个特殊攻击的难关。但加拿大移民部拒绝在Twitter上透露其是否遭到“心脏出血”漏洞的攻击。
加拿大税务局表示,受到影响的用户可以获得免费的信用保护服务,和申请对他们的加拿大税务局账号进行额外保护。Equifax公司的鲁索表示,相关的用户可能还可以申请一个新的社会保险号码,不过相关的过程比较漫长。
但是会计师表示,他们的客户似乎并不关心“心脏出血”漏洞及其影响,这显然因为有关各种机构,包括零售商和电脑游戏制造商数据外泄的报道不时见诸报端。
不过,多伦多Cunningham LLP会计公司税务会计古德菲尔德(Mark Goodfield)表示,用户对此漠不关心令他感到惊讶。他认为这是因为人们已经习惯于这种恐慌,他们正在等待和观望,直到他们看到确凿的证据。
“心脏出血”漏洞在大约一周前曝光,加拿大税务局随后在4月8日晚临时关闭其报税网站。在上周末,税务局重新恢复服务,并表示将报税截止日期从4月30日延至5月5日。但是在报税季全力以赴的会计师表示,他们仍将设法在4月30日之前完成他们的工作,因为他们已经承诺让工作人员在5月初休假。