Cortar caminho: As pessoas esperam segurança ao confiar suas informações fiscais ao governo. Recentemente, no entanto, um desenvolvedor de software de segurança acusou o governo do Canadá de se esquivar dessa responsabilidade com segurança cibernética medíocre e alterações suspeitas nos termos de serviço. As mudanças ocorrem depois que hacks recentes afetaram a agência tributária do Canadá.
A Canadian Revenue Agency (CRA), que lida com os impostos do país, tem novos termos e condições que a isentam de qualquer responsabilidade se seus serviços online sofrerem uma violação de dados. A mudança afeta todo o país porque todos os cidadãos e empresas canadenses devem lidar com seus impostos por meio do CRA, confiando assim suas informações pessoais à agência. Por conter as informações pessoais de praticamente todos os contribuintes canadenses, o CRA pode ser um alvo extremamente atraente para ladrões de identidade ou outros hackers.
Os termos de serviço atualizados dizem que o CRA não é responsável pelos danos que os usuários sofrem se alguém invadir o portal Minha conta da agência. O CRA afirma que fez tudo o que pôde para evitar ataques cibernéticos, mas não pode garantir proteção infalível.
Esses contratos podem ser aceitáveis se a agência tiver o melhor possível, ou pelo menos um aparato de segurança cibernética muito bom. Infelizmente, Tanya Janca, fundadora e CEO do desenvolvedor de software de segurança We Hack Purple, afirma que o CRA negligencia muitas precauções básicas de segurança.
Devo aceitar este risco porque o CRA tomou “todas as medidas razoáveis para garantir a segurança deste site”. Não, você não fez! Você não usou nenhum dos cabeçalhos de segurança recomendados e não usou configurações seguras em seus cookies! Esses são BÁSICOS de codificação segura! pic.twitter.com/uJCMXcVpbC
— pergunta Janca (@shehackspurple) 20 de fevereiro de 2023
A revisão de Janca das respostas HTTP na página de login do portal Minha conta sugere que os cookies do site carecem de proteção e que ele não usa todos os cabeçalhos de segurança recomendados. O ToS também proíbe os usuários de raspar o código do site, mas Janca não acha que isso impedirá alguém determinado a penetrar no serviço.
As mudanças nos ToS podem ser uma resposta a uma série de incidentes relacionados à segurança que afetaram a agência nos últimos anos.
Durante o verão de 2020, milhares de contas CRA foram vítimas de ataques de preenchimento de credenciais, nos quais hackers usam endereços de e-mail, nomes de usuário e senhas obtidos em violações anteriores para roubar outras contas que usam as mesmas credenciais. Em 2021, questões de segurança levaram o CRA a bloquear 800.000 contribuintes de suas contas.
Uma vítima entrou com uma ação coletiva contra o governo em agosto passado. A conta da vítima foi roubada e suas informações de depósito direto foram alteradas como parte de um esquema de assistência financeira COVID-19.
Até o momento, o CRA não respondeu às informações de Janca solicitações de. Ela planeja fazer uma apresentação sobre o assunto no Privacy & Access Council of Canada’s Privacy & Data Governance Congress em 10 de março.