Власти Канады компенсируют ущерб от утечки личных данных

Власти Канады выплатят компенсацию свыше восьми миллионов долларов за утечку личных данных.

Федеральное правительство Канады выплатит 8,7 миллионов долларов по мировому соглашению по коллективному иску о взломе десятков тысяч аккаунтов на государственных сайтах, в том числе MyAccount Канадского налогового агентства (CRA). Речь о случаях, когда у людей могли украсть или скомпрометировать конфиденциальные данные.

Атаки длились несколько месяцев в 2020 году. Как утверждается, злоумышленники прежде всего охотились за пандемийными выплатами, оформляя помощь на имя жертв. Среди таких программ - Canadian Emergency Relief Benefit (CERB) и Canadian Emergency Student Benefit (CESB).

Только за лето 2020 года под удар попали более 47 тысяч человек: у них могли оказаться раскрыты персональные и финансовые сведения - от номера социального страхования и домашнего адреса до данных банковских счетов.

Соглашение, которого стороны достигли в декабре прошлого года, во вторник утвердил суд. Федеральный судья Ричард Сауткотт указал, что считает урегулирование «справедливым, разумным и отвечающим интересам группы в целом».

Как сообщает CBC News, из материалов суда следует, что истец Тодд Суит из Клинтона (Британская Колумбия) заметил взлом в июле 2020 года: ему начали приходить письма о смене привязанного e-mail. Зайдя в кабинет CRA, Суит увидел, что кто-то изменил реквизиты для прямого зачисления и подал четыре заявки на CERB от его имени.

В августе 2020 года CRA временно остановило онлайн‑сервисы, когда другие канадцы стали публично рассказывать о похожих эпизодах. Спустя несколько недель в Британской Колумбии подали иск: в нем говорилось, что «недочеты» государства и CRA могли открыть дорогу как минимум трем кибератакам за год, а украденные данные использовали для подмены личности, фиктивных заявок и перенаправления законных выплат на чужие счета.

Сама схема, по объяснениям специалистов по кибербезопасности, была классической credential stuffing: логины и пароли, утекшие с одного ресурса, массово проверяют на других. Обычно для входа в MyAccount одного пароля недостаточно - после него нужно пройти второй шаг и ответить на контрольный вопрос. Но, как ранее отмечал судья Сауткотт, летом 2020 года злоумышленники смогли обходить этот барьер из‑за неправильной конфигурации софта CRA, который отвечает за управление учетными данными.

Согласно судебным документам, о проблеме в CRA узнали 6 августа 2020 года - после сигнала от «партнера из правоохранительных органов», который сообщил, что метод уже продается в даркнете. Судья указал: агентство закрыло уязвимость через четыре дня и затем приняло другие меры реагирования.

По той же схеме летом 2020 года взламывали и другие государственные аккаунты - включая My Service Canada Account и учетные записи, доступ к которым осуществляется через GCKey.

Из общей суммы 8,7 миллионов около 6 миллионов зарезервированы для канадцев, чьи персональные данные были доступны злоумышленникам на государственных сайтах через credential stuffing в период с 26 июня по 18 августа 2020 года. Остальное пойдет на юридические расходы, специальные выплаты ключевым истцам (включая Суита) и администрирование.

Размер компенсации будет зависеть от того, с чем именно столкнулся человек. Тем, чьи данные были доступны злоумышленникам в указанный период, предлагают выплату за «потраченное время и неудобства» из расчета 20 долларов в час - максимум за четыре часа, то есть до 80 долларов. Если данные использовали, чтобы подать мошеннические заявки на CERB или перенаправить законные выплаты CERB, можно заявить компенсацию по той же ставке - до 200 долларов.

Обе категории заявителей также смогут потребовать до 5 тысяч долларов возмещения реальных расходов, понесенных в течение года после взлома из‑за кражи личности - например, комиссий, несанкционированных списаний по картам и других платежей.

Администрировать выплаты будет KPMG. Если часть денег останется неиспользованной или не будет востребована, она не вернется государству: Оттава согласилась перечислить остаток в Privacy and Access Council of Canada - на исследования в области приватности.

Против соглашения выступили 29 человек - меньше одного процента участников группы. Суд отметил, что большинство возражений сводилось к одному: компенсации кажутся слишком маленькими. У недовольных остается время выйти из коллективного иска и, если они захотят, подать индивидуальный.

Судья Сауткотт отдельно признал: для части пострадавших, которые заявляют о серьезном психологическом, физическом или финансовом ущербе, такое урегулирование может быть «полностью недостаточным». Однако, по его словам, задача сделки - обеспечить «разумный уровень компенсации» для группы в целом.

В CRA, комментируя дело в четверг, не стали обсуждать детали, но заявили, что защита персональных данных канадцев остается «приоритетом», и подчеркнули: ни одна организация не застрахована от киберинцидентов и мошенничества.