Breșă de securitate la fiscul canadian

Foto courtesy Mikael Altemark

Fiscul canadian a suspendat serviciile on-line din cauza unei breșe grave de securitate.

O importantă breșă de securitate care afectează situri din întreaga lume a obligat Canada Revenue Agency (CRA) să suspende temporar serviciile on-line de depunere a declarațiilor de venit. Serviciile on-line ale Revenu  Québec erau încă active la momentul redactării acestei știri.

Aplicațiile fiscului care pot fi atacate sunt NetFile (IMPÔTNET), E-File (TED), My Account (Mon dossier), Sign-in Partner (Partenaire de connexion) și Represent a Client (Représenter un client). Toate au fost oprite până la actualizarea programelor afectate.

Agenția canadiană a declarat că va studia eventualul impact asupra depunerii declarațiilor de venit și ar putea prelungi termenul limită.

Breșa de securitate numită Heartbleed pune în pericol datele personale ale utilizatorilor și afectează un procent uriaș din siturile web. Conturile de email Yahoo sunt afectate, la fel ca o mulțime de magazine on-line. Google, Facebook și YouTube nu se află printre cei afectați.

Vulnerabilitatea a fost descoperită în pachetul OpenSSL, o bibliotecă de funcții de securitate, folosită pentru criptarea datelor personale trimise pe internet. Este folosită atunci când plătiți cu cardul pe internet, când introduceți userul și parola pentru a vă conecta la email sau la alte conturi web, la chaturi online sau servicii voIP.

Heartbleed permite oricărei persoane aflate pe internet să citească date din memoria serverului care are instalată o variantă vulnerabilă de OpenSSL. Datele obținute sunt aleatoare, dar o interogare frecventă a serverului compromis duce la descoperirea cheilor de criptare, a numelor de utilizator și a parolelor clienților. Un atacator se poate apoi conecta cu numele de utilizator și parola victimei.

Compania Codenomicon, specializată în servicii de securitate IT, și-a atacat propriile servere și a obținut cheile de criptare, nume de utilizatori, parole, email-uri și documente interne confidențiale, totul fără să lase nicio urmă.

Vulnerabilitatea a apărut în decembrie 2011 şi s-a răspândit pe scară largă începând cu martie 2012. Potențialii atacatori au putut exploata nedetectați această breșa timp de peste doi ani de zile.