Poszkodowani przez hackerów skarżą Canada Revenue Agency
Poszkodowani przez hackerów skarżą Canada Revenue Agency

Canada Revenue Agency twierdzi, że była celem co najmniej trzech włamań do połowy sierpnia.
Kanadyjczycy, którzy złożyli wniosek w Internecie o pomoc w nagłych wypadkach COVID-19 i zostali poszkodowani przez atak hackerów na Canada Revenue Agency (CRA) chcą wnieść pozew zbiorowy przeciwko rządowi federalnemu.
W pozwie zarzuca się, że seria „uchybień” popełnionych przez rząd i CRA pozwoliła na co najmniej trzy cyberataki w okresie od połowy marca do połowy sierpnia, ale opinia publiczna nie została ostrzeżona, dopóki CBC News nie ujawniło tej historii 15 sierpnia. CRA i agencja ratingowa zorganizowały spotkanie informacyjne w celu potwierdzenia naruszenia bezpieczeństwa 17 sierpnia.
W proponowanym pozwie grupowym stwierdzono, że opóźnione wykrycie włamań spowodowało, że liczba ofiar wzrosła do co najmniej 14500.
„Działania (CRA) są naganne” – stwierdza roszczenie – „i wykazały bezduszne lekceważenie praw (ofiar). Postępowanie agencji było „celowym … odejściem od zwykłych standardów przyzwoitego zachowania i jako takie zasługuje na karę”.
Agencja CRA obwinia „lukę w oprogramowaniu zabezpieczającym” za włamania do sieci i twierdzi, że nie była świadoma pierwszego cyberataku do 7 sierpnia.
Agencja i rząd federalny nie złożyły jeszcze odpowiedzi prawnej.
Ministerstwo Skarbu Państwa oświadczyło, że nie może komentować, ponieważ sprawa toczy się obecnie w sądach.
Większość ofiar naruszeń bezpieczeństwa ubiegała się o pomoc finansową w ramach kanadyjskiego zasiłku w nagłych wypadkach (CERB) lub kanadyjskiego zasiłku dla studentów w nagłych wypadkach (CESB). Oba programy płacą odbiorcom do 2000 dolarów miesięcznie.
Pozew zarzuca CERB i CESB działania „pospieszne”, bez wdrożenia odpowiednich środków bezpieczeństwa. W rezultacie hakerzy byli w stanie wykraść dane osobowe wnioskodawców – w tym numery ubezpieczenia społecznego, adresy domowe, dane konta bankowego i informacje podatkowe – i wykorzystać skradzione dane do podszywania się pod ofiary, zmiany adresów i informacji o bezpośrednich wpłatach oraz zgłaszania oszustw roszczenia w ramach programów awaryjnych.
W pozwie zarzuca się, że ofiary zostały uderzone podwójnie: ich wnioski o pomoc zostały zamrożone, podczas gdy naruszenia są badane, co powoduje obciążenie finansowe, a ponadto będą musiały chronić się przed kradzieżą tożsamości do końca życia.
Kanadyjczycy próbujący zalogować się na swoje konta CRA początkowo otrzymali komunikat informujący ich, że nie będą mogli uzyskać dostępu do swoich kont.
Trzech głównych powodów (skarżących) w tej sprawie, reprezentujących wszystkich poszkodowanych Kanadyjczyków, twierdzi, że obecnie żyją w strachu, że ich skradzione dane mogą być wykorzystywane przez lata przez cyberprzestępców.

Ally Scott
– Jestem zestresowana i niespokojna, ponieważ nie wiem, kto ma moje informacje i nie wiem, kto może otrzymać kopię moich informacji – powiedziała Ally Scott, która złożyła wniosek o zasiłek dla studentów – Mam tylko 19 lat. Martwię się, że będę musiała walczyć z tym problemem do końca życia. I wydaje się to dość zniechęcające.
Inna powódka, dyspozytor policyjny z Windsor w prowincji Ontario nie była nawet uprawniona do otrzymywania funduszy awaryjnych jako niezbędny pracownik, ale została okradziona i wykorzystywana do uzyskania świadczeń przez dwa miesiące.
– Ktoś gdzieś dostał 4000 dolarów płatności i nie chcę, aby było to dołączone do mojego numeru ubezpieczenia społecznego, ponieważ się o ten zasiłek się nie ubiegałam. Nie kwalifikuję się – powiedziała 52-letnia Anne Campeau.

Anne Campeau, dyspozytor policyjny w Windsor.
Campeau dodała, że czuła się zmuszona wystąpić i reprezentować siebie i inne ofiary.
– Sądzę, że (agencja ratingowa) sprawę zignorowała, kiedy przyszło co do czego – powiedziała – Czasami po prostu ktoś musi zrobić coś takiego (jak wystąpić z pozwem), aby zwrócić ich uwagę. To nie w porządku.
Proponowane postępowanie zbiorowe, złożone w sądzie federalnym w Vancouver 24 sierpnia, obwinia rząd i agencję ratingową za zaniedbanie i naruszenie prywatności.
Angela Bespflug, prawniczka prowadząca sprawę, uważa, że jest więcej ofiar.
– Wiele osób nie miało pojęcia, że to się dzieje, a ich osobiste informacje finansowe zostały naruszone – powiedziała Bespflug – Podejrzewam, że jest to niestety znaczna liczba osób.
W przypadku uzyskania zgody na dalsze postępowanie pozew będzie dochodził odszkodowania finansowego dla wszystkich ofiar w celu pokrycia szkód w ratingach kredytowych, bieżących kosztów monitorowania kredytu oraz cierpienia psychicznego i stresu.
Nie wyznaczono żadnego terminu rozprawy, a żaden z zarzutów nie został udowodniony w sądzie.
Uzyskanie certyfikatu do pozwu zbiorowego może zająć miesiące lub lata.