اخبار كندا – تلقت ليا بافرستوك رسالة بريد إلكتروني في 7 أغسطس تخبرها أن طلبها للحصول على ميزة الاستجابة للطوارئ الكندية “CERB” قد تمت الموافقة عليه، رغم أنها لم تتقدم بأي طلب.
ليا هو واحدة من آلاف الكنديين الذين تعرض حساباتهم على وكالة الإيرادات الكندية “CRA” للاختراق هذا الشهر بعد مخطط وصته الحكومة بأنه “credential stuffing”، حيث يستخدم المتسللون كلمات مرور وأسماء مستخدمين من مواقع ويب أخرى للوصول إلى حسابات الكنديين مع وكالة الإيرادات.
قالت ليا إنها صُدمت حيث لم تتقدم بطلب للحصول على CERB، لذلك اتصلت بـ CRA.
أكد المسؤولون يوم الإثنين أنه تم اختراق 11200 حساب خاص بخدمات حكومة كندا في الهجوم من ضمنهم حسابات CRA وحسابات “GCKey” التي تستخدمها 30 دائرة حكومية.
قال مارك برويار، القائم بأعمال كبير مسؤولي التكنولوجيا في حكومة كندا، يوم الإثنين إن الجهات التي قامت بهذا الفعل تمكنت أيضا من استغلال ثغرة أمنية في تكوين حلول برمجيات الأمان، مما سمح لهم بتجاوز أسئلة أمان CRA والوصول إلى حساب CRA الخاص بالمستخدم.
وذكر المسؤولون الحكوميون أنهم علموا لأول مرة بحدوث الاختراق في 7 أغسطس، أي في نفس اليوم الذي أبلغت فيه ليا عن أن حسابها تم اختراقه، لكن لم يتصلوا بالشرطة الكندية حتى 11 أغسطس.
ولم يتم إبلاغ الكنديين بهذا الاختراق حتى نهاية الأسبوع الماضي.
دافعت وكالة تنظيم الاتصالات عن قرارها بعدم إبلاغ الكنديين على الفور، قائلة إنها بحاجة إلى وقت لإبلاغ الناس داخليا ومحاولة استعادة الوصول إلى الحسابات المخالفة.
يقول الخبراء في مجال الأمن السيبراني إن استخدام نفس كلمات المرور ونفس الاسم لعدة حسابات يمكن أن يجعل الشخص أكثر عرضة لهذه الأنواع من الهجمات، لأن اختراق حساب واحد يمكن أن يمنح المتسلل الأدوات اللازمة لتسجيل الدخول إلى حسابات عديدة أخرى.
لكن يبدو أن كلمات المرور ليست السبب الوحيد لهذا الاختراق.
حيث تقول ليا إنها لم يكن لديها حتى كلمة مرور لحساب CRA الخاص بها.
وأوضحت: “أعدت كود في مارس من أجل الحصول على كلمة المرور وقالوا إنهم سيرسلونها لي بالبريد، وما زلت لم أستلمه، ولا يمكنني حتى تسجيل الدخول إلى حساب CRA الخاص بي، لذلك يذهلني أن الآخرين يمكنهم ذلك”.
أشارت ليا إلى أن السيدة التي تحدثت إليها في CRA أخبرتها أن ضابطا كبيرا سيتصل بها في غضون 24 ساعة لأن حسابها مغلق تماما.
ولكن أعربت ليا عن إحباطها بسبب عدم تلقيها أي اتصال، مضيفة أنها لا تزال لا تعرف كيف وصل المتسللون إلى حسابها، كما أكدت أنها اتصلت منذ ذلك الحين بمصرفها ومؤسسات مالية أخرى لمنع المتسللين من استخدام معلوماتها لارتكاب المزيد من الاحتيال.
