加拿大税局惊爆 900个SIN卡号被盗

ottawa

加拿大税局惊爆 900个SIN卡号被盗
& E; K0 V8 i6 N; f" a$ w3 q                                                                                                                                    周一（4月14日），加拿大税局（CRA）发表声明透露，上周心脏流血（Heartbleed）安全漏洞攻击中，联邦税局电脑系统中近900纳税人社会保险号（SIN，又称工卡），即工卡号被盗。目前皇家骑警正对此事进行调查。                                                    上周，税局发现问题后，在线报税服务中断6天。CRA声明表示，很遗憾税局已收到政府主要安全机构通知，说税局纳税人数据遭到6个小时的攻击。根据截至目前数据分析结果，有近900个纳税人的SIN号从税局系统中被人利用心脏流血安全漏洞移除。目前税局仍在对一些被移除的可能与企业有关的数据残片进行分析。
* u& V/ c+ Q4 s' \声明还说，税局已采取措施保护被盗的数据，受到影响的所有人都会很快收到税局挂号函，并享受免费信用保护服务。税局不会给任何个人打电话或发送邮件通知此事，希望通信方式安全，不会被诈骗分子通过钓鱼手段钻空子。
实际上，联邦隐私专员伯尼尔（Chantal Bernier）已经获知税局数据被盗信息，但只到周一上午才公布。税局声明没有说明攻击发生在什么时候，也没有透露攻击是如何被发现的。
1 l% z' S# a. {5 w0 h( C- g/ \专家：失窃的是近期SIN数据
* [: p: a" }* q+ Z8 z据《环球邮报》报导，互联网安全专家吕尼科文(Mark Nunnikhoven)表示，这种破坏像是近期出现的，虽然心脏流血导致CRA服务器上日志数据泄漏后，可能没有留下痕迹，但是可能已被其他负责捕捉和分析中转数据包的联邦机构的监督网络工具识别。
他说：“如果有多层安全控制，便可以捕捉到它，即意味着在政府共享网络上游的人能看到它。”他表示，3年前创建的加拿大共享服务局（Shared Services Canada, SSC），负责简化和整合所有联邦政府的IT结构；加拿大通信安全局（Communications Security Establishment Canada, CSEC）也负责电脑安全。
吕尼科文称，政府安全机构不可能存储数年的网络数据，似乎失窃的是最近的SIN数据。
( v# e2 K8 v' z5 H+ s8 J  a多伦多居民何女士是4月3日在网上报的税。一个星期后爆出了“心脏流血”事件，何女士表示，对这件事没太在意，因为对政府网络安全还是有信心。
不过，为了安全起见，何女士称，最近没有用银行的在线银行服务，也准备更改自己网上所有的密码，包括电邮及其他网络帐号密码。她觉得应该听从安全专家的意见。
她说：“网络安全问题，让安全专家与黑客去较量，自己担心没用，还不如不担心。”
7 H- ~' Y3 T0 L2 t9 M. i5 I4 S密市居民蔡小姐还未报税，她表示，不知道接下来这几天报税会不会受影响。
. H( S& e: U) r+ I) l北约克居民林女士则称，本来是打算在4月初在CRA网站上报税，结果因为今年手头有纸张的税表，最后一刻决定还是填好税表，通过邮寄的方式报税，没想到这个决定令她免于担心自己的SIN卡信息被盗。
, m3 v  H: J+ Y1 i/ H被攻击多时还蒙在鼓里
专家表示，目前病毒和其他恶意软件是非常常见的网络安全威胁，但像心脏流血这样的安全漏洞，却已经感染60%以上的因特网服务器，尤其令人担心。换句话说，就是现在有在线业务的公司，比以往任何时候都更易受感染和攻击。
Mandiant网络安全公司透露，多数公司在受到网络犯罪攻击后几个月，都没发现自己已经被攻击多时。有些公司网络被攻击多年都没发现，最长的是去年一家公司发现被攻击长达6年零3个月，却一直蒙在鼓里。
# g, [; X. ?# z7 o4 Y- B/ }心脏流血安全漏洞是因OpenSSL全球因特网通用安全与隐私软件引起，目前全球许多政府与私人机构IT系统都受到影响，很有可能导致大量隐私信息被泄漏。心脏流血安全漏洞的一个最大问题是，即使有人曾攻击过服务器，也很难察觉和发现。
$ T) R' J7 a/ V$ I( W+ A, r6 A% A
& N9 o7 w  ?) ^# s6 E' k3 @
# i8 X8 g  s$ T0 e) [8 b