Attacco informatico ai danni dell’Agenzia delle Entrate canadesi (Canada Revenue Agency), migliaia di cittadini rischiano d’avere la propria identità digitale violata.
In una dichiarazione rilasciata sabato scorso, il Segretariato del Consiglio del Tesoro del Canada rivela che gli aggressori, per appropriarsi degli account GCKey (servizio di autenticazione fornito dal governo canadese) e quelli dell’Agenzia delle Entrate, hanno utilizzato tecniche collaudate di credential stuffing.
La GCKey viene utilizzata da 30 Dipartimenti Federali e fornisce ai canadesi servizi come il My Service Canada Account (MSCA), dove il cittadino può informarsi su diversi “servizi alla persona” come quelli per l’occupazione e lo sviluppo sociale in Canada, per l’immigrazione e i rifugiati e la cittadinanza canadese.
Per gli attacchi sono state utilizzate password e nomi utente raccolti da vecchi hack di account effettuati in tutto il mondo. I criminali informatici hanno sfruttato un errore comune alla stragrande maggioranza di persone: l’utilizzo delle stesse credenziali d’accesso per diversi account.
L’Ufficio del Chief Information Officer del Governo canadese ha affermato che 9041 utenti sono stati colpiti dall’attacco informatico, e che in un terzo dei casi è stato effettuato anche un accesso illegale ai servizi. Inoltre circa 5500 account utente dell’Agenzia delle Entrate sono stati presi di mira dagli hacker.
Sebbene il numero di account interessati sia una piccola percentuale di account GCKey attivi in Canada (12 milioni), l’attacco hacker arriva in un momento difficile per molti cittadini e aziende canadesi dove per superare l’attuale crisi finanziaria e sanitaria legata alla pandemia COVID-19 sono costretti a chiedere sussidi al Governo centrale.
“Gli account GCKey interessati dalla frode sono stati bloccati non appena la minaccia è stata scoperta, i nostri uffici stanno contattando gli utenti le cui credenziali sono state revocate per fornire istruzioni su come ricevere una nuova GCKey”, si legge in un comunicato pubblicato sabato 15 agosto sul sito del Segretariato del Consiglio del Tesoro.
“Il Governo sta continuando le sue indagini, così come la Royal Canadian Mounted Police (la Polizia Federale e nazionale canadese – ndr-) per determinare se ci sono state violazioni della privacy e quali informazioni sono state ottenute da questi account. Inoltre, l’Ufficio del Garante per la privacy è stato contattato e avvisato di possibili violazioni.”, il comunicato termina con il solito e spesso disatteso consiglio che è quello di non utilizzare la stessa password per diversi account.
Fonte: Segretariato del Consiglio del Tesoro del Canada