加拿大税务局再爆“心脏出血”故障

900 customers’ SINs stolen

在加拿大税务局网站使用的OpenSSL加密软件被爆出存在技术漏洞，可能导致用户私人信息外泄不久后，“心脏出血”攻击又导致大约900名纳税人的社会保险号码被盗。所有受到影响的用户都会收到税务局的挂号信通知。

Shortly after vulnerability exposed in the open SSL software used by CRA website that could put customers’ personal information at risks, a heart bleed attack on the agency’s computer system has left 900 SINs being stolen. The affected victims will be notified through registered mails.

（大中报泊然报道）据《环球邮报》报道，在有多达三分之二的网站都在使用的OpenSSL加密软件惊现“心脏出血”（Heartbleed）漏洞不久后，就有大约900名纳税人的社会保险号码（SIN）从加拿大税务局网站被盗走，而这些受害人在数天内可能会一直蒙在鼓里。

加拿大税务局在4月14日宣布，在该局因为“心脏出血”漏洞而临时关闭网上报税网站后，发现大约900名纳税人的社会保险号码已经被人盗走。

加拿大税务局称，所有社会保险号码被盗的民众都会收到该局的挂号信通知。税务局在一份公告中称，为了安全起见，该局不会用电话或电邮通知相关的民众，以免骗徒通过这些方式行骗。

加拿大税务局称，有人利用“心脏出血”漏洞从加拿大税务局系统中移除这些社会保险号码。税务局同时补充道，其正在艰难地分析其他被移除的数据碎片，其中有些数据可能涉及企业。

信贷监察服务公司Equifax Canada首席隐私专员鲁索（John Russo）表示，不法分子可以利用社会保险号码窃取他人身份。如果一个人同时拥有姓名、出生日期和社会保险号码，就可以开设银行账户、申请信用卡或租车。

加拿大税务局是第一个宣布因为有人利用“心脏出血”漏洞，而导致数据被盗的机构。网络安全专家Mark Nunnikhoven在4月15日表示，可能还会有更多机构出面证实自己遭到“心脏出血”漏洞的攻击。

当共同发现“心脏出血”漏洞的芬兰网络安全公司Codenomicon首次公布这一技术漏洞时，其指出黑客可以利用此漏洞在不留任何痕迹的情况下窃取用户数据。

会计及税务专业人士指出，唯一可以令人感到安慰的是，“心脏出血”攻击似乎非常有限。Robin Taub理财顾问公司老板兼注册会计师塔布（Robin Taub）表示，相对于加拿大的纳税人数量来说，被盗的社会保险号码只是一个小数字。但她同时亦表示，社会保险号码被盗实属不幸。由于加拿大税务局是通过邮件通知受害人，因此相关人士要等待数天才能得到确定消息。

但是多伦多Trowbridge Professional Corp.会计比威克（Wayne Bewick）指出，税务局通过邮件通知900名受害人是有道理的，因为有许多垃圾邮件都是来自假冒税务局的人，因此该局需要使用最安全的通知方式。

加拿大隐私专员伯尼尔（Chantal Bernier）在4月11日获悉这个问题，但是税务局直到4月14日上午才予以公开。目前皇家骑警正在就此进行相关的调查。

国库局主席甘礼民（Tony Clement）在接受采访时表示，其他联邦部门均没有受到“心脏出血”漏洞的危害。他表示，当局已经进行了全面的检查，并且打了相关的补丁，因此现在已经度过了这个特殊攻击的难关。但加拿大移民部拒绝在Twitter上透露其是否遭到“心脏出血”漏洞的攻击。

加拿大税务局表示，受到影响的用户可以获得免费的信用保护服务，和申请对他们的加拿大税务局账号进行额外保护。Equifax公司的鲁索表示，相关的用户可能还可以申请一个新的社会保险号码，不过相关的过程比较漫长。

但是会计师表示，他们的客户似乎并不关心“心脏出血”漏洞及其影响，这显然因为有关各种机构，包括零售商和电脑游戏制造商数据外泄的报道不时见诸报端。

不过，多伦多Cunningham LLP会计公司税务会计古德菲尔德（Mark Goodfield）表示，用户对此漠不关心令他感到惊讶。他认为这是因为人们已经习惯于这种恐慌，他们正在等待和观望，直到他们看到确凿的证据。

“心脏出血”漏洞在大约一周前曝光，加拿大税务局随后在4月8日晚临时关闭其报税网站。在上周末，税务局重新恢复服务，并表示将报税截止日期从4月30日延至5月5日。但是在报税季全力以赴的会计师表示，他们仍将设法在4月30日之前完成他们的工作，因为他们已经承诺让工作人员在5月初休假。