«شرایط خدمات» جدید وانمود می‌کند که سازمان مالیاتی کانادا را از هرگونه مسئولیت هک مبرا می‌کند

برش گوشه ها: مردم هنگام اعتماد به دولت با اطلاعات مالیاتی خود انتظار امنیت دارند. با این حال، اخیراً یک توسعه‌دهنده نرم‌افزار امنیتی، دولت کانادا را متهم کرده است که با امنیت سایبری ضعیف و تغییرات مشکوک در شرایط خدمات، از این مسئولیت طفره می‌رود. این تغییرات پس از هک های اخیر بر سازمان مالیاتی کانادا صورت می گیرد.

آژانس درآمد کانادا (CRA)، که مالیات‌های این کشور را مدیریت می‌کند، شرایط و ضوابط جدیدی را در نظر گرفته است که در صورت نقض داده‌ها، سرویس‌های آنلاین آن را از هرگونه مسئولیت سلب می‌کند. این تغییر کل کشور را تحت تأثیر قرار می دهد زیرا همه شهروندان و مشاغل کانادایی باید مالیات خود را از طریق CRA انجام دهند، بنابراین به اطلاعات شخصی خود در آژانس اعتماد می کنند. از آنجایی که CRA تقریباً اطلاعات شخصی هر مالیات دهندگان کانادایی را در اختیار دارد، می تواند هدف بسیار جذابی برای سارقان هویت یا سایر هکرها باشد.

شرایط خدمات به روز شده می گوید که CRA مسئولیتی در قبال خسارات وارده به کاربران در صورت هک کردن پورتال My Account آژانس ندارد. CRA ادعا می کند که هر کاری که می توانسته برای جلوگیری از حملات سایبری انجام داده است، اما نمی تواند محافظت بی اشتباه را تضمین کند.

چنین قراردادهایی ممکن است قابل قبول باشند اگر آژانس بهترین تجهیزات ممکن یا حداقل یک دستگاه امنیت سایبری بسیار خوب را داشته باشد. متأسفانه، تانیا جانکا، بنیانگذار و مدیر عامل توسعه‌دهنده نرم‌افزار امنیتی We Hack Purple، ادعا می‌کند که CRA بسیاری از اقدامات احتیاطی اساسی امنیتی را نادیده می‌گیرد.

من باید این خطر را بپذیرم زیرا CRA “تمام اقدامات منطقی را برای اطمینان از امنیت این وب سایت انجام داد”. نه نکردی! شما از هیچ یک از سرصفحه های امنیتی توصیه شده استفاده نکرده اید و از تنظیمات ایمن روی کوکی های خود استفاده نکرده اید! اینها اصول کد نویسی ایمن هستند! pic.twitter.com/uJCMXcVpbC

– از جانکا می پرسد (@shehackspurple) 20 فوریه 2023

بررسی Janca از پاسخ‌های HTTP در صفحه ورود پورتال حساب من نشان می‌دهد که کوکی‌های سایت فاقد هرگونه حفاظت هستند و از همه سرفصل‌های امنیتی توصیه‌شده استفاده نمی‌کند. ToS همچنین کاربران را از خراش دادن کد سایت منع می کند، اما Janca فکر نمی کند که کسی که مصمم به نفوذ به این سرویس است جلوگیری کند.

تغییرات ToS می تواند در پاسخ به انبوهی از حوادث مرتبط با امنیت باشد که در چند سال گذشته آژانس را تحت تاثیر قرار داده است.

در طول تابستان 2020، هزاران حساب CRA قربانی حملات پر کردن اعتبار شدند، که در آن هکرها از آدرس‌های ایمیل، نام‌های کاربری و رمزهای عبور به‌دست‌آمده از نقض‌های قبلی برای سرقت حساب‌های دیگر استفاده می‌کنند. در سال 2021، نگرانی های امنیتی باعث شد که CRA حساب های 800000 مالیات دهندگان را مسدود کند.

یکی از قربانیان در اوت گذشته شکایت دسته جمعی را علیه دولت تنظیم کرد. حساب قربانی دزدیده شد و اطلاعات سپرده مستقیم آنها به عنوان بخشی از یک طرح کمک مالی COVID-19 تغییر کرده بود.

تاکنون CRA به اطلاعات جانکا پاسخی نداده است درخواست ها. او قصد دارد در 10 مارس در شورای حریم خصوصی و دسترسی کنگره حریم خصوصی و حاکمیت داده کانادا ارائه دهد.