Fast 13.000 Kanadier wurden potenziell Opfer von CERB-Betrug, nachdem Hacker im Jahr 2020 auf CRA-Konten zugegriffen hatten

0


Ein pensionierter Polizeibeamter aus BC leitet nun eine Sammelklage gegen die Bundesregierung im Zusammenhang mit der massiven Datenschutzverletzung des Anmeldesystems der CRA

Erscheinungsdatum:

29. August 2022Vor 21 Stunden4 Minuten gelesen 97 Kommentare

Eine Seite auf der Website des Canada Emergency Response Benefit (CERB) der Bundesregierung im Jahr 2020. Foto von Peter J. Thompson/National Post/File

OTTAWA – Hacker beantragten nach einem Cyberangriff auf das Online-System der Canada Revenue Agency im Jahr 2020 im Namen von 12.700 ahnungslosen Kanadiern in betrügerischer Absicht finanzielle Vorteile im Zusammenhang mit COVID-19, wie aus Gerichtsdokumenten hervorgeht.

Tausende Kanadier waren fassungslos, als sie im Sommer 2020 herausfanden, dass ihre Zugangsdaten für die Anmeldung bei sensiblen Online-Behördendiensten wie dem MyCRA-Portal von CRA von Hackern kompromittiert worden waren.

Die Regierung dachte zunächst, dass 5.500 CRA-Konten möglicherweise durch zwei Cyberangriffe kompromittiert worden seien. Beide wurden mit „Credential Stuffing“-Vorfällen in Verbindung gebracht, bei denen Hacker versuchten, sich im Namen der Opfer illegal auf Websites anzumelden, indem sie eine Menge gestohlener Zugangsdaten verwendeten.

Einen Monat nach dem CRA-Hack gab die Regierung zu, dass die forensische Analyse „verdächtige Aktivitäten“ auf 48.500 Konten enthüllte, fast zehnmal mehr als ursprünglich vermutet.

Ein Bundesgerichtsurteil von letzter Woche offenbart erstmals das Ausmaß des Erfolgs der Hacker. Über fast zwei Wochen hinweg änderten Betrüger die Bankdaten des Steuerzahlers für Direkteinlagen und beantragten dann „in betrügerischer Weise“ die Kanada-Notfallhilfe (CERB) in Höhe von 2.000 USD pro Monat auf 12.700 verschiedenen MyCRA-Konten.

Das Urteil offenbart nicht den Gesamtwert der betrügerischen Leistungsansprüche im Zusammenhang mit dem Verstoß. Aber nur eine CERB-Zahlung von 2.000 Dollar für jedes der 12.700 Opfer ist 25,4 Millionen Dollar wert.

Eines der Hacker-Opfer war Todd Sweet, der herausfand, als er sich 2020 bei seinem Konto bei der kanadischen Steuerbehörde anmeldete, dass Kriminelle nicht nur seine Daten gestohlen hatten, sondern viermal in betrügerischer Absicht COVID-19-Notfallleistungen beantragten.

Jetzt führt der pensionierte Polizeibeamte von BC die Anklage mit einer Sammelklage gegen die Bundesregierung an, die mit der massiven Datenschutzverletzung des Anmeldesystems der CRA in Verbindung steht, die die Daten von Tausenden von Kanadiern kompromittiert hat.

Die Beschwerdeführer sagen, dass die „Systemfahrlässigkeit“ der Regierung zum Schutz ihrer Daten sie teuer gekostet hat, wie z.

Ende letzter Woche entschied der Bundesgerichtshof, dass die Sammelklage zugelassen sei und weitergehen könne.

Im selben Sommer wurde ein weiterer Credential-Stuffing-Angriff erfolgreich gegen das „GCKey“-Anmeldesystem der Regierung durchgeführt, das den Zugriff auf My Service Canada-Konten ermöglicht und von 30 Regierungsbehörden, einschließlich RCMP und Immigration Canada, verwendet wird.

Das Urteil des Bundesgerichtshofs zeigt, dass fast 6.000 Konten möglicherweise kompromittiert wurden und dass es Hackern gelang, CERB und andere finanzielle Vorteile von COVID-19 in betrügerischer Weise über 1.200 von ihnen zu beantragen, bevor ihr Zugang gesperrt wurde.

CRA lehnte es ab, sich zu der Klage zu äußern. Dem Urteil zufolge argumentierte die Agentur, dass die Beschwerdeführer, vertreten durch die Anwaltskanzlei Rice Harbut Elliott, kein systematisches Verschulden ihrerseits nachgewiesen hätten.

In einer Erklärung sagte die Agentur, dass sie ihre Cyber-Abwehrsysteme seit den Verstößen verbessert hat, einschließlich der Hinzufügung einer Multi-Faktor-Authentifizierung und der sofortigen Sperrung eines Kontos, wenn die Agentur glaubt, dass es kompromittiert ist.

„Kein Unternehmen ist immun gegen Cybervorfälle oder betrügerische Aktivitäten. Aus diesem Grund verfügt die CRA über robuste Systeme und Tools, um potenzielle Bedrohungen zu überwachen, zu erkennen, zu untersuchen und schnell zu neutralisieren. Wenn Betrüger ihre Praktiken anpassen, tut dies auch die CRA. Wir passen unsere Sicherheitsmaßnahmen regelmäßig an und verbessern sie als Reaktion auf dieses sich ständig weiterentwickelnde Bedrohungsumfeld und die anhaltenden Einbruchsversuche“, sagte CRA-Sprecher Etienne Biram in einer E-Mail.

„Wir engagieren uns dafür, Personen zu helfen, die von Betrug oder Identitätsdiebstahl betroffen sind, und verfügen über engagierte Teams, die sich umgehend mit allen auftretenden Angelegenheiten befassen.“

Aber das ist nicht Sweets Erfahrung. In einer eidesstattlichen Erklärung vor Gericht zur Unterstützung der Klage sagt Sweet, er habe im Juli 2020 eine E-Mail von CRA erhalten, in der ihm mitgeteilt wurde, dass seine E-Mail-Adresse aus seinem MyCRA-Konto entfernt wurde. Als er sich einloggte, um den Grund dafür zu überprüfen, stellte er fest, dass seine Direkteinzahlungsinformationen drei Tage zuvor geändert worden waren.

Aber noch schlimmer: Ein Hacker habe in seinem Namen vier CERB-Anträge im Wert von insgesamt 8.000 US-Dollar gestellt und das Geld auf sein Konto einzahlen lassen, sagt er in einer eidesstattlichen Erklärung.

Sweet begann dann mit einem kafkaesken Prozess, um CRA zu beweisen, dass er keine dieser Änderungen vorgenommen und sich nicht für CERB beworben hatte. Er verbrachte Stunden am Telefon mit der Agentur, schickte ihnen zahlreiche Korrespondenzen und reichte beim RCMP einen Polizeibericht ein.

Erst Ende September schickte ihm die Regierung einen Brief, in dem er darüber informiert wurde, dass seine persönlichen Daten während der Datenschutzverletzung kompromittiert wurden, schrieb er in Gerichtsakten.

Obwohl er der Agentur mehrmals mitteilte, dass er CERB nie beantragt hatte, erhielt er im Oktober 2021 einen „beunruhigenden“ Brief von CRA, in dem ihm mitgeteilt wurde, dass er Steuern auf die 8.000 USD von CERB zahlen müsste, die illegal in seinem Namen geltend gemacht wurden.

„Als Folge der Verletzung meines CRA-Kontos … habe ich mindestens 20 Stunden damit verbracht, Informationen zu sammeln, Formulare auszufüllen und verschiedene Behörden zu kontaktieren, um die Kontoverletzung zu beheben und meine Identität zu schützen und weiteren Schaden zu verhindern“, sagte Sweet in seine eidesstattliche Erklärung.

„Die Verletzung des CRA-Kontos hat mich veranlasst, die Fähigkeit der CRA in Frage zu stellen, meine persönlichen und finanziellen Daten sicher zu speichern. Ich bin sehr besorgt darüber, ob meine persönlichen und finanziellen Daten bei der CRA sicher sind, und ich bin skeptisch, ob die CRA etwas tun wird, um ähnliche Vorfälle zu verhindern“, fügte er hinzu.

In der Entscheidung, die die Sammelklage bestätigt, stellte Richter Richard F. Southcott fest, dass Anspruch auf Schadensersatz geltend gemacht werden kann und dass einige Beweise zeigen, dass sowohl ein Vertrauensbruch durch die Regierung als auch ein Eingriff in die Abgeschiedenheit vorgelegen haben könnte.

Kommentare

Postmedia ist bestrebt, ein lebendiges, aber zivilisiertes Forum für Diskussionen zu unterhalten und alle Leser zu ermutigen, ihre Ansichten zu unseren Artikeln mitzuteilen. Die Moderation von Kommentaren kann bis zu einer Stunde dauern, bevor sie auf der Website erscheinen. Wir bitten Sie, Ihre Kommentare relevant und respektvoll zu halten. Wir haben E-Mail-Benachrichtigungen aktiviert – Sie erhalten jetzt eine E-Mail, wenn Sie eine Antwort auf Ihren Kommentar erhalten, es ein Update zu einem Kommentar-Thread gibt, dem Sie folgen, oder wenn ein Benutzer, dem Sie folgen, Kommentaren folgt. Weitere Informationen und Details zum Anpassen Ihrer E-Mail-Einstellungen finden Sie in unseren Community-Richtlinien.



Source link-46