政府部門多重驗證服務商 泄88萬人資料恐爆欺詐潮 涉稅局邊境局加拿大服務部

[2025.09.26] 發表

【明報專訊】包括聯邦稅務局(CRA)在內的多個政府部門，在今年8月發生了數據外泄事件，逾88萬加拿大人的電話號碼和8.5萬個電郵地址被黑客竊取，黑客其後向受害人發送欺詐信息。

聯邦政府首席信息官羅尚(Dominic Rochon)月初發表聲明透露，聯邦稅務局、加拿大服務部(Service Canada)和加拿大邊境服務局(CBSA)的網站提供多重身分驗證的服務商，發生了一宗數據外泄事件，影響了服務商持有的加拿大人數據。

該聲明指出，事件中只有電郵地址和電話號碼被黑客竊取，因此，是次事件屬於「非重大私隱事件」(意味僅涉及低風險、低私隱的資訊)。

發垃圾短訊藏釣魚鏈結

但羅尚指出，犯罪分子仍會利用這些電郵地址和電話號碼。首席信息官辦公室在當時說：「惡意攻擊者向其中一些電話號碼發送垃圾短訊，其中包含一個釣魚網站的鏈結，這些鏈結被偽裝成加拿大政府的網站。」

聲明強調說：「目前，沒有跡象表明，任何其他的個人身分信息或敏感個人數據被泄露。」但羅尚當時沒有透露該宗數據外泄事件的規模。

上述數據已在本周三(24日)獲聯邦就業和社會發展部證實。儘管數據外泄事件及後續的垃圾短訊攻勢規模龐大，但該部門發言人羅伊(Mila Roy)表示，政府目前尚未發現任何欺詐活動或被盜用的帳戶。

外泄事件歸咎於政府的多重身分驗證軟件供應商所存在系統漏洞，該供應商是Interac屬下的2Keys，該公司的軟件透過短訊、電話或電郵發送驗證碼，用以確認登入稅局、就業社會發展部或邊境局帳戶的人士是真實的帳戶持有人。

首席信息官辦公室指出，2Keys在今年8月中旬發現，黑客在從8月3日開始的2周內，利用軟件定期更新的漏洞，竊取了用戶的電話號碼和電郵地址。

更多加國新聞一