研究者抨击加拿大税务局值得怀疑的数据政策 传媒
加拿大税务局用户数据安全争议
关键要点
加拿大税务局CRA被指强迫用户接受风险较大的条款与条件。CRA的政策规定如果发生网络攻击导致数据丢失,CRA不承担任何责任。CRA网站缺乏标准的安全措施,可能存在更深层次的安全漏洞。近年来发生的安全事件引发了人们对CRA的信任和数据保护的担忧。安全研究人员近日指出,加拿大税务局CRA在用户访问其官方网站时,似乎强迫用户接受一些可疑的条款与条件,这可能会使他们的数据面临风险。
We Hack Purple 的创始人Tanya Janca在一篇最近的推特帖子中详细表达了她的担忧。她在登录CRA网站时,被要求接受条款与条件。Janca严厉批评这些政策,认为其表述暗示:“如果发生网络攻击导致税务数据被盗,那不是[CRA]的责任。”
CRA之所以做出这样的声明,是因为他们声称已经采取一切合理措施确保网站的安全,包括使用先进的加密技术以及实施“其他程序”来随时保护个人数据。
根据政策,“互联网是一个公共网络,数据安全违例的可能性是存在的。”因此,“在发生此类事件的情况下,CRA不对由此产生的任何损失负责。”
然而,CRA的网站似乎缺乏一些基本的安全措施。Janca发现网站未使用任何推荐的安全头,并且网站的Cookies也没有采取安全配置。简单来说,“这些都是安全的基础要求。”
更严重的是,这些问题在仅仅一次“公众被动扫描”中便被发现,这表明可能存在其他更严重的安全漏洞。此发现的时机恰逢加拿大的法定报税日期4月30日临近。
Janca表示:“强迫加拿大人接受这些条款与条件的风险是可怕的。”她补充道:“CRA不应当逃避保护公民数据的责任。如果我们必须提供给你,你就必须对其负责。”
在给SC Media的电子邮件声明中,Janca进一步阐述了背景:“CRA声称他们不对任何因使用其网站而丢失的数据负责,这可能导致加拿大人无法起诉或追究CRA的责任。我们被迫提交数据,如果他们丢失了这些数据,我们将毫无救济措施。”
2020年8月加拿大税务局黑客事件的后果?
最近的政策变更显然是为了应对2020年8月发生的大规模安全漏洞而引发的持续法律斗争。该政府机构在确认存在两次网络攻击后,暂时关闭了其在线服务,导致48500个用户账户受到损害。
蚂蚁永久免费加速器受损的用户账户引发了近13000起潜在的欺诈事件,黑客通过修改纳税人的直接存款信息,欺诈性地申请加拿大应急响应福利CERB。受害者随即提起诉讼,该诉讼在2022年8月被认证为集体诉讼,目前仍在调解中。
鉴于持续的法律问题以及之前的黑客事件,对于CRA的新政策引发关注是合理的。对Janca而言,“如果CRA收集的数据的部分或全部被公开或泄露”,每位加拿大人的身份证明都有可能面临偷盗和勒索的风险这取决于被盗数据的类型以及个人的具体情况。
此外,还有潜在的身体伤害风险,比如在某些原因下隐匿的加拿大人地址被泄露,可能导致跟踪、伤害和/或死亡,Janca解释道。国家行为者可能利用CRA提供的信息来“操控加拿大的民主或进行其他政治操控,给某些加拿大人带来尴尬或其他不适的社会影响。”
“这很可能会导致许多人被抢劫,因为人们会意识到不同的人所赚取的金额有多大。”Janca补充说道。
目前,像Janca这样的研究人员正在引起人们对这些真实问题的关注,希望政府能采取措施来保护公民的数据安全。
