Влада Канади компенсує збитки від витоку персональних даних

Влада Канади виплатить компенсацію понад вісім мільйонів доларів за витік персональних даних.

Федеральний уряд Канади виплатить 8,7 мільйона доларів за мировою угодою у колективному позові щодо злому десятків тисяч акаунтів на державних сайтах, зокрема MyAccount Канадського податкового агентства (CRA). Йдеться про випадки, коли в людей могли викрасти або скомпрометувати конфіденційні дані.

Атаки тривали кілька місяців у 2020 році. Як стверджується, зловмисники насамперед полювали за пандемічними виплатами, оформлюючи допомогу на ім’я жертв. Серед таких програм — Canadian Emergency Relief Benefit (CERB) та Canadian Emergency Student Benefit (CESB).
Тільки за літо 2020 року під удар потрапили понад 47 тисяч людей: у них могли виявитися розкритими персональні та фінансові відомості — від номера соціального страхування і домашньої адреси до даних банківських рахунків.

Угоду, якої сторони досягли в грудні минулого року, у вівторок затвердив суд. Федеральний суддя Річард Сауткотт зазначив, що вважає врегулювання «справедливим, розумним і таким, що відповідає інтересам групи загалом».

Як повідомляє CBC News, із матеріалів суду випливає, що позивач Тодд Суїт із Клінтона (Британська Колумбія) помітив злам у липні 2020 року: йому почали надходити листи про зміну прив’язаного e-mail. Зайшовши в кабінет CRA, Суїт побачив, що хтось змінив реквізити для прямого зарахування та подав чотири заявки на CERB від його імені.

У серпні 2020 року CRA тимчасово зупинило онлайн‑сервіси, коли інші канадці почали публічно розповідати про схожі епізоди. Через кілька тижнів у Британській Колумбії подали позов: у ньому йшлося, що «недоліки» держави та CRA могли відкрити дорогу щонайменше трьом кібератакам за рік, а викрадені дані використовували для підміни особи, фіктивних заявок і перенаправлення законних виплат на чужі рахунки.

Сама схема, за поясненнями фахівців із кібербезпеки, була класичним credential stuffing: логіни та паролі, що витекли з одного ресурсу, масово перевіряють на інших. Зазвичай для входу в MyAccount одного пароля недостатньо — після нього потрібно пройти другий крок і відповісти на контрольне запитання. Але, як раніше зазначав суддя Сауткотт, влітку 2020 року зловмисники змогли обходити цей бар’єр через неправильну конфігурацію софту CRA, який відповідає за управління обліковими даними.

Згідно із судовими документами, про проблему в CRA дізналися 6 серпня 2020 року — після сигналу від «партнера з правоохоронних органів», який повідомив, що метод уже продається в даркнеті. Суддя зазначив: агентство закрило вразливість через чотири дні, а потім вжило інших заходів реагування.

За тією ж схемою влітку 2020 року зламували й інші державні акаунти — зокрема My Service Canada Account і облікові записи, доступ до яких здійснюється через GCKey.

Із загальної суми 8,7 мільйона близько 6 мільйонів зарезервовано для канадців, чиї персональні дані були доступні зловмисникам на державних сайтах через credential stuffing у період з 26 червня по 18 серпня 2020 року. Решта піде на юридичні витрати, спеціальні виплати ключовим позивачам (включно з Суїтом) та адміністрування.

Розмір компенсації залежатиме від того, з чим саме зіткнулася людина. Тим, чиї дані були доступні зловмисникам у зазначений період, пропонують виплату за «витрачений час і незручності» з розрахунку 20 доларів за годину — максимум за чотири години, тобто до 80 доларів. Якщо дані використовували, щоб подати шахрайські заявки на CERB або перенаправити законні виплати CERB, можна заявити компенсацію за тією ж ставкою — до 200 доларів.

Обидві категорії заявників також зможуть вимагати до 5 тисяч доларів відшкодування реальних витрат, понесених протягом року після зламу через крадіжку особистості - наприклад, комісій, несанкціонованих списань за картками та інших платежів.

Адмініструвати виплати буде KPMG. Якщо частина грошей залишиться невикористаною або не буде затребувана, вона не повернеться державі: Оттава погодилася перерахувати залишок до Privacy and Access Council of Canada - на дослідження у сфері приватності.

Проти угоди виступили 29 осіб — менше одного відсотка учасників групи. Суд зазначив, що більшість заперечень зводилися до одного: компенсації здаються надто маленькими. У незадоволених залишається час вийти з колективного позову і, якщо вони захочуть, подати індивідуальний.

Суддя Сауткотт окремо визнав: для частини постраждалих, які заявляють про серйозну психологічну, фізичну або фінансову шкоду, таке врегулювання може бути «цілком недостатнім». Однак, за його словами, завдання угоди — забезпечити «розумний рівень компенсації» для групи загалом.

У CRA, коментуючи справу в четвер, не стали обговорювати деталі, але заявили, що захист персональних даних канадців залишається «пріоритетом», і наголосили: жодна організація не застрахована від кібераінцидентів і шахрайства.