Федеральний уряд Канади погодився виплатити 8,7 мільйона доларів для врегулювання колективного позову, пов’язаного з масштабним витоком персональних даних, який стався через злом облікових записів на урядових онлайн-платформах, зокрема в системі Податкової служби Канади (CRA).
Йдеться про інциденти 2020 року, коли хакери протягом кількох місяців отримували доступ до урядових акаунтів і подавали фіктивні заявки на фінансову допомогу під час пандемії COVID-19, зокрема на виплати за програмами надзвичайної підтримки – CERB та CESB.
У результаті атаки лише влітку 2020 року було скомпрометовано дані понад 47 тисяч осіб. Серед викраденої інформації – номери соціального страхування, адреси проживання та банківські реквізити.
Угоду про врегулювання, досягнуту ще в грудні, цього тижня затвердив Федеральний суд Канади. Суддя Річард Сауткотт визнав її «справедливою та розумною» для групи постраждалих у цілому.
Позов тривав кілька років. Позивачі стверджували, що державні органи та Податкова служба Канади не забезпечили належного захисту систем і не змогли своєчасно виявити кілька кібератак.
Серед постраждалих – мешканець Британської Колумбії Тодд Світ, який дізнався про злам у липні 2020 року після зміни контактної електронної адреси у своєму акаунті. Зловмисники також змінили його банківські реквізити та подали чотири заявки на виплати CERB від його імені.
У серпні 2020 року CRA тимчасово вимкнула онлайн-сервіси після появи численних подібних скарг від громадян. Згодом було подано колективний позов, у якому агентство звинувачували в неналежному захисті даних.
За даними суду, хакери використовували метод «credential stuffing» – тобто входили до акаунтів, застосовуючи логіни та паролі, викрадені з інших сайтів. Додатково вони обходили системи безпеки через помилку в налаштуваннях програмного забезпечення CRA.
Частину атаки вдалося реалізувати також через інші урядові сервіси, зокрема My Service Canada та систему GCKey.
Близько 6 мільйонів доларів із загальної суми компенсації спрямують безпосередньо постраждалим користувачам. Решта коштів покриє судові витрати, адміністративні витрати та виплати основним позивачам.
Постраждалі можуть подати заяви на компенсацію часу та незручностей – до 80 доларів, а також до 200 доларів, якщо їхні дані використовувалися для шахрайських заявок на допомогу. Додатково передбачено відшкодування до 5 тисяч доларів за витрати, пов’язані з наслідками крадіжки особистих даних.
Більше новин про події у Канаді читайте на UkrNews.ca.
Підписуйтеся на нашу сторінку у Facebook, Instagram, Telegram та Threads
