在加拿大
在 12 月 10 日星期五发现可能的安全威胁后,加拿大税务局CRA关闭了所有在线服务,到今天已经第三天了。
加拿大税务局(CRA)在其网站上表示,决定将网上服务离线,原因是发现“影响世界各地组织的安全漏洞”。
据CTV新闻报道,周六试图登录CRA官网在线服务的加拿大人却收到了“系统维护”通知。
在 CRA 意识到影响全球组织的网络安全漏洞后,CRA的访问权限已经于周五下线。
该机构在一份声明中说:“目前没有迹象表明 CRA 系统受到了损害,或者由于此漏洞而泄漏了纳税人信息。”
CRA 表示,他们正在努力保护其系统免受潜在威胁,并将尽快恢复在线服务。
CRA没有具体说明问题的根源,但最近,一个广泛使用的软件工具公开了一个关键漏洞。
该软件中的缺陷在整个行业和政府中都有使用,可能会让犯罪分子、间谍甚至编程新手轻松入侵访问内部网络,窃取有价值的数据、植入恶意软件、删除关键信息等等。
网络安全公司表示,公司和政府正争先恐后地修补他们的系统,有人称这是多年来最严重的计算机漏洞。
加拿大至少还有一家其他公共机构也做出了暂时关闭在线服务的回应。
在联邦政府发出关于网络安全漏洞的警告后,安省Metrolinx运输公司于周五晚上关闭了 GO Transit 的在线服务。
在中断 17 小时后,GO Transit 服务于周六下午恢复。Metrolinx 表示,它升级了安全性以保护其免受漏洞影响,并且没有客户、个人或财务文件受到损害。
不过,CRA则连续三天关闭网上服务。
今天(12月12日),超级生活(微信号:superlifeca)记者到CRA查看,发现CRA官网仍然是临时关闭的状态。
而近日,网络上爆出一个“Log4Shell”的漏洞,网络安全公司 Tenable 的首席执行官阿米特·约兰 (Amit Yoran) 称其为“过去十年中最大、最关键的漏洞”,并且可能是现代计算史上最大的漏洞。
这个被称为“Log4Shell”的漏洞被 Apache 软件基金会评为 10 分(评分范围为 1 到 10 分),任何拥有该漏洞的人都可以获得对未打补丁的计算机的完全访问权限。
专家表示,该漏洞让攻击者可以极其轻松地访问网络服务器,无需密码,这就是改漏洞如此危险的原因。
这也是为什么CRA需要全部将所有服务立即下线的原因。
加拿大税务局CRA今年发生多次怀疑用户密码被盗事件。
2020 年,将近 5,500 个 CRA 帐户成为 GCKey 攻击和凭证填充(credential stuffing)攻击的目标。
今年2月份,CRA锁定大量用户进行调查,超过10万个加拿大人账号受到影响。
一个月后,CRA又出现大量锁定用户事件。
3月报税季,据CBC报道,CRA冻结锁定了80多万加拿大人的网上账户。
加拿大税务局表示,经过调查发现,大量税务居民的用户名和密码可能被“未经授权的第三方”获得。
回顾:80万加拿大人账号明天被紧急冻结!疑用户密码被盗
这次,CRA索性全部服务下线,锁定所有用户,而且已经三天了,希望早日修复漏洞,否则泄漏纳税人的个人资料影响非常严重。
·新西兰金融投资 和盛(亚洲)运营有限公司
·新西兰汽车 全网最低价 油电混合飞度
