【大紀元2014年04月15日訊】(大紀元記者李平多倫多綜合報導)週一(4月14日),加拿大稅局(CRA)發表聲明透露,上周心臟流血(Heartbleed)安全漏洞攻擊中,聯邦稅局電腦系統中近900納稅人社會保險號(SIN,又稱工卡),即工卡號被盜。目前皇家騎警正對此事進行調查。
上周,稅局發現問題後,在線報稅服務中斷6天。CRA聲明表示,很遺憾稅局已收到政府主要安全機構通知,說稅局納稅人數據遭到6個小時的攻擊。根據截至目前數據分析結果,有近900個納稅人的SIN號從稅局系統中被人利用心臟流血安全漏洞移除。目前稅局仍在對一些被移除的可能與企業有關的數據殘片進行分析。
聲明還說,稅局已採取措施保護被盜的數據,受到影響的所有人都會很快收到稅局掛號函,並享受免費信用保護服務。稅局不會給任何個人打電話或發送郵件通知此事,希望通信方式安全,不會被詐騙分子通過釣魚手段鑽空子。
實際上,聯邦隱私專員伯尼爾(Chantal Bernier)已經獲知稅局數據被盜信息,但只到週一上午才公布。稅局聲明沒有說明攻擊發生在甚麼時候,也沒有透露攻擊是如何被發現的。
專家:失竊的是近期SIN數據
據《環球郵報》報導,互聯網安全專家呂尼科文(Mark Nunnikhoven)表示,這種破壞像是近期出現的,雖然心臟流血導致CRA服務器上日誌數據洩漏後,可能沒有留下痕跡,但是可能已被其他負責捕捉和分析中轉數據包的聯邦機構的監督網絡工具識別。
他說:「如果有多層安全控制,便可以捕捉到它,即意味著在政府共享網絡上游的人能看到它。」他表示,3年前創建的加拿大共享服務局(Shared Services Canada, SSC),負責簡化和整合所有聯邦政府的IT結構;加拿大通信安全局(Communications Security Establishment Canada, CSEC)也負責電腦安全。
呂尼科文稱,政府安全機構不可能存儲數年的網絡數據,似乎失竊的是最近的SIN數據。
多倫多居民何女士是4月3日在網上報的稅。一個星期後爆出了「心臟流血」事件,何女士表示,對這件事沒太在意,因為對政府網絡安全還是有信心。
不過,為了安全起見,何女士稱,最近沒有用銀行的在線銀行服務,也準備更改自己網上所有的密碼,包括電郵及其他網絡帳號密碼。她覺得應該聽從安全專家的意見。
她說:「網絡安全問題,讓安全專家與黑客去較量,自己擔心沒用,還不如不擔心。」
密市居民蔡小姐還未報稅,她表示,不知道接下來這幾天報稅會不會受影響。
北約克居民林女士則稱,本來是打算在4月初在CRA網站上報稅,結果因為今年手頭有紙張的稅表,最後一刻決定還是填好稅表,通過郵寄的方式報稅,沒想到這個決定令她免於擔心自己的SIN卡信息被盜。
被攻擊多時還蒙在鼓裡
專家表示,目前病毒和其他惡意軟件是非常常見的網絡安全威脅,但像心臟流血這樣的安全漏洞,卻已經感染60%以上的因特網服務器,尤其令人擔心。換句話說,就是現在有在線業務的公司,比以往任何時候都更易受感染和攻擊。
Mandiant網絡安全公司透露,多數公司在受到網絡犯罪攻擊後幾個月,都沒發現自己已經被攻擊多時。有些公司網絡被攻擊多年都沒發現,最長的是去年一家公司發現被攻擊長達6年零3個月,卻一直蒙在鼓裡。
心臟流血安全漏洞是因OpenSSL全球因特網通用安全與隱私軟件引起,目前全球許多政府與私人機構IT系統都受到影響,很有可能導致大量隱私信息被洩漏。心臟流血安全漏洞的一個最大問題是,即使有人曾攻擊過服務器,也很難察覺和發現。
(責任編輯:林妍)
