加拿大税务局周一表示,受「心淌血」软件漏洞影响,系统中有约900个国民的SIN号码被盗。但有软件专家认为,问题是冰山一角,税局系统可能一早已被骇客入侵,受影响人数不止900个。
软件开发公司主管林先生向本报表示,心脏出血软件漏洞只能偷看到用户密码等资料,不致于可以进入税局系统,去删除国民的资料。他认为若由于心脏出血软件漏洞,而令税局的系统资料被删除,就是骇客已经入侵了税局的系统,几乎可以为所欲为,因此受影响的相信不止900个国民。林先生认为,骇客应该不是用报税人的途径入侵税局系统,反而是向税局的员工埋手。他估计,骇客是趁税局员工在家中工作,用遥控方式进入税局伺服器期间,透过心脏出血软件漏洞,窃取税局员工的用户名字和密码,再用另一部电脑,假装是该名员工,用管理员登入资料的遥控方式,进入税局的系统,就可名正言顺,做甚么都可以。
不能即时察觉资料被窃
他解释,若以管理员方式登入,又有权删除资料,是属于较高层次的权力。而由于骇客是用员工的名字和密码登入税局系统,就算有其他保安系统,也不能即时察觉资料被窃取,而截住骇客不再窃取其他国民资料。若真的是骇客用假装员工的方式,去入侵税局系统,可能整个系统内的资料都已经被盗取,但要视乎税局管理员登入资料的权力有多大。他承认,骇客能找到这种方式登入的机会率很低,也不容易,因此估计税局可能一早就中了招。他又说,当局可透过伺服器的记录,去追查骇客的身分,但那是大海捞针的方法。但若税局修复软件,并更改所有管理员密码,估计可确保日后网上报税的安全。
税局周一表示,国民的SIN号码,在六个小时内被删除。林先生表示,骇客可以从中拿到很多东西,保守估计,若每个报税资料涉及10个表的数据,六小时可以拿到所有报税记录5%的资料。他举例,若把全年报纸所有内文放上伺服器,也只需4至5小时就可以取得所有资料。
证明SIN卡被盗用方获更新
社会保险号码(SIN)项目是由加拿大服务局负责监管,SIN卡是一个非常重要的证件,无论是做工、报税、申请政府福利或学生贷款等都需要该号码。该号码卡一旦丢失或泄露,可能被利用来对持卡人或他人进行诈骗活动。
加拿大服务局对保护该号码卡给出的建议是,首先,SIN卡丢失或被盗,尽快向当地的加拿大服务局报失,也应当向当地警察局报失;要查看银行帐户和信用卡是否有任何不寻常的交易;注意信件是否有任何变化或中断;还要向加拿大两间信用管理机构之一(Equifax 或TransUnion),索取信用报告以查看是否有不寻常的交易活动。对于被盗或遗失的社会保险号卡,通常政府是不会给予更新的,除非在证明该号码卡已经被不法之徒盗用,政府才会给受害人发出一个新的社会保险号。
星岛日报 2014-04-15