Góc cắt: Mọi người mong đợi sự an toàn khi tin tưởng chính phủ với thông tin thuế của họ. Tuy nhiên, gần đây, một nhà phát triển phần mềm bảo mật đã cáo buộc chính phủ Canada trốn tránh trách nhiệm đó với an ninh mạng mờ nhạt và những thay đổi đáng ngờ về điều khoản dịch vụ. Những thay đổi được đưa ra sau khi các vụ hack gần đây ảnh hưởng đến cơ quan thuế của Canada.
Cơ quan Doanh thu Canada (CRA), cơ quan xử lý thuế của quốc gia, có các điều khoản và điều kiện mới miễn trừ mọi trách nhiệm pháp lý nếu các dịch vụ trực tuyến của họ bị vi phạm dữ liệu. Sự thay đổi ảnh hưởng đến toàn bộ quốc gia vì tất cả công dân và doanh nghiệp Canada phải xử lý thuế của họ thông qua CRA, do đó tin tưởng thông tin cá nhân của họ với cơ quan. Vì nắm giữ thông tin cá nhân của hầu hết mọi người nộp thuế ở Canada, CRA có thể là mục tiêu cực kỳ hấp dẫn đối với những kẻ trộm danh tính hoặc các tin tặc khác.
bản cập nhật điều khoản dịch vụ nói rằng CRA không chịu trách nhiệm về những thiệt hại mà người dùng phải gánh chịu nếu ai đó tấn công cổng Tài khoản của tôi của cơ quan. CRA tuyên bố họ đã làm mọi thứ có thể để ngăn chặn các cuộc tấn công mạng nhưng không thể đảm bảo khả năng bảo vệ hoàn hảo.
Những hợp đồng như vậy có thể được chấp nhận nếu cơ quan có bộ máy an ninh mạng tốt nhất có thể, hoặc ít nhất là rất tốt. Thật không may, Tanya Janca, người sáng lập và CEO của nhà phát triển phần mềm bảo mật We Hack Purple, khiếu nại CRA bỏ qua nhiều biện pháp phòng ngừa an ninh cơ bản.
Tôi phải chấp nhận rủi ro này vì CRA đã làm “tất cả các bước hợp lý để đảm bảo an ninh cho trang Web này”. Không, bạn không làm! Bạn đã không sử dụng bất kỳ tiêu đề bảo mật nào được đề xuất và bạn đã không sử dụng các cấu hình bảo mật trên cookie của mình! Đó là những CƠ BẢN mã hóa an toàn! pic.twitter.com/uJCMXcVpbC
– Tanya Janca (@shehackspurple) Ngày 20 tháng 2 năm 2023
Đánh giá của Janca về các phản hồi HTTP trong trang đăng nhập của cổng Tài khoản của tôi gợi ý cookie của trang web thiếu bất kỳ sự bảo vệ nào và nó không sử dụng tất cả các tiêu đề bảo mật được khuyến nghị. Điều khoản dịch vụ cũng cấm người dùng cạo mã của trang web, nhưng Janca không nghĩ rằng điều đó sẽ ngăn bất kỳ ai quyết tâm xâm nhập dịch vụ.
Các thay đổi của ToS có thể nhằm đối phó với hàng loạt sự cố liên quan đến bảo mật đã ảnh hưởng đến cơ quan trong vài năm qua.
Trong suốt mùa hè năm 2020, hàng nghìn tài khoản CRA rơi nạn nhân của các cuộc tấn công nhồi thông tin xác thực, trong đó tin tặc sử dụng địa chỉ email, tên người dùng và mật khẩu có được từ các lần vi phạm trước đó để đánh cắp các tài khoản khác sử dụng cùng thông tin đăng nhập. Năm 2021, những lo ngại về an ninh dẫn đến CRA khóa 800.000 người nộp thuế khỏi tài khoản của họ.
một nạn nhân nộp một vụ kiện tập thể chống lại chính phủ vào tháng 8 năm ngoái. Tài khoản của nạn nhân đã bị đánh cắp và thông tin tiền gửi trực tiếp của họ đã bị thay đổi như một phần của chương trình hỗ trợ tài chính COVID-19.
Cho đến nay, CRA vẫn chưa phản hồi thông tin của Janca yêu cầu. Cô ấy dự định trình bày về vấn đề này tại Hội đồng quyền riêng tư và quyền truy cập của Canada Đại hội quản trị dữ liệu và quyền riêng tư vào ngày 10 tháng 3.