加拿大隐私专员正在对Canada Revenue Agency (CRA)进行调查,原因是他说’自2020年以来导致超过30,000次隐私泄露的网络攻击’。
根据Philippe Dufresne的说法,CRA于2024年5月向他的办公室报告了这些泄露事件,官员们一直在与税务机构接触以了解更多关于该情况的信息。
加拿大隐私专员办公室周二发布的一份新闻稿表示,在收到投诉后启动了这项调查。
调查将审查CRA是否履行了《隐私法》下的义务。
虽然专员指出投诉引发了调查,但调查消息传出之际,距CBC报道CRA发现黑客获取了保密数据并似乎由该国最大税务准备公司之一H&R Block使用仅数日。
根据The Fifth Estate和Radio-Canada的报道,黑客使用该公司的保密凭证未经授权进入数百名加拿大人的CRA个人账户,修改直接存款信息,提交虚假退税并窃取超过600万美元的虚假退款。
H&R Block在该报告中的声明称没有证据表明泄露来自该公司。
Global News尚未独立确认该报道。
隐私专员指出,联邦机构有义务报告泄露事件。
根据Dufresne在6月提交给议会的一份报告,税务机构报告了截至2024年3月31日的报告年度中71次泄露事件。
然而,CRA在给Global News的一封电子邮件中确认,在2024-25财政年度中,它已追溯报告了2020年3月至2023年12月期间确认的31,468次隐私泄露,提交给Dufresne的办公室和加拿大国库委员会秘书处。
CRA的一位发言人告诉Global News,“坏人能够通过他们从第三方获取的信息访问纳税人账户。”
CRA在过去几年间曾报告泄露和网络攻击事件。
在2020年8月,CRA在发现超过5,000个账户成为网络攻击目标后禁用了在线服务。
几天后恢复这些服务,但当时该机构表示已修改其所有安全系统以防范未来的网络攻击。
约5,600个CRA账户成为CRA描述的“凭证填充”计划的目标,其中黑客使用其他网站的密码和用户名访问加拿大人的CRA账户。
几个月后,CRA在2021年2月表示,出于“预防措施”,在内部分析显示某些凭证可能被泄露后,锁定了未指明数量的账户。
然后在那年3月,该机构表示将锁定另一个800,000个账户,一位发言人称用户名和密码是由未经授权的第三方通过’CRA外部的各种途径’获取的。
专员建议个人可以通过检查他们的CRA账户是否有可疑活动并更改其账户密码来保护自己。
由于专员办公室称这是一项正在进行的调查,调查未提供更多详细信息。