Der Diebstahl der Steuer- und Beschäftigungsunterlagen von 48.000 Kanadiern vor vier Jahren sei auf die mangelnde Sicherheit der IT-Authentifizierung zurückzuführen, sagt der Datenschutzbeauftragte des Landes.
Angreifer nutzten Credential Stuffing und nutzten zuvor gestohlene Benutzernamen und Passwörter, um im Jahr 2020 in die IT-Systeme der Canada Revenue Agency (CRA) und Employment and Social Development Canada (ESDC) einzudringen und so nicht nur Daten zu stehlen, sondern auch die Regierung betrügerisch umzuleiten COVID-19-Zahlungen und Steuerrückerstattungen an die Hacker.
Die heute veröffentlichte Untersuchung des Datenschutzbeauftragten Philippe Dufresne ergab, dass „beide Organisationen den Grad der Identitätsauthentifizierung, der für ihre Online-Programme und -Dienste erforderlich war, angesichts der Sensibilität der damit verbundenen personenbezogenen Daten ‚unterbewertet‘ hatten.“
„Darüber hinaus hatten ESDC und CRA nicht die notwendigen Schritte unternommen, um den Verstoß umgehend zu erkennen und einzudämmen, was teilweise auf unzureichende Sicherheitsbewertungen und Tests ihrer Authentifizierungs- und Anmeldeinformationsverwaltungssysteme sowie auf eine eingeschränkte Rechenschaftspflicht und einen eingeschränkten Informationsaustausch zwischen den Abteilungen zurückzuführen war.“
Die Unterbewertung des erforderlichen Niveaus der Identitätsauthentifizierung sei angesichts des hohen Wertes und der Sensibilität der persönlichen Informationen, die jemand in die Hände bekommen könnte, nicht gerechtfertigt, heißt es in dem Bericht. „Während die Ein-Faktor-Authentifizierung damals möglicherweise gängige Praxis war, ist gängige Praxis nicht unbedingt gleichbedeutend mit konformer Praxis“, heißt es weiter.
Seit dem Verstoß haben sowohl CRA als auch ESDC eine obligatorische Multifaktor-Authentifizierung für alle ihre Privat-, Geschäfts- und Vertreterkonten eingeführt.
Beide Ministerien haben die Bestimmungen des Datenschutzgesetzes nicht eingehalten, das Regeln für Bundesbehörden festlegt.
Im August 2020 gab die Bundesregierung zu, dass Angreifer sich mithilfe von Credential Stuffing Zugang zu bestimmten Online-Konten der CRA und zu Online-Konten anderer Behörden verschafft hatten, die über den zentralen Authentifizierungsdienst „GCKey“ der kanadischen Regierung und das eigene Anmeldeportal der CRA zugänglich waren.
Damals verfügten CRA und ESDC über ein System, das es Personen, die sich über das ESDC-Portal anmeldeten, ermöglichte, ohne zusätzliche Authentifizierung frei auf Konten zuzugreifen, die im Namen dieser Person bei CRA geführt wurden, und umgekehrt.
Der Credential-Stuffing-Angriff begann etwa am 23. Juli 2020 auf ESDCs Enterprise Cyber Authentication Solution und Canada Student Loan-Systemen, die im Bericht als ESDC-Portal bezeichnet werden. Das Portal nutzt den GCKey-Dienst von Shared Services Canada, der von der 2Keys Corporation unter der Leitung der Regierung betrieben wird.
Einige Tage später startete ein weiterer automatisierter Credential-Stuffing-Angriff auf die Online-Dienstkonten von CRA über das Portal. Die Angreifer nutzten zunächst eine 20 Monate alte Fehlkonfiguration im CRA-System aus, um die Anforderung der CRA zu umgehen, dass Benutzer eine Sicherheitsfrage beantworten müssen, wenn sie sich von einem neuen Gerät aus anmelden. Das ESDC-Portal hatte diese Anforderung zu diesem Zeitpunkt nicht und erforderte daher keine solche Umgehung. Nachdem CRA die Fehlkonfiguration behoben hatte, erneuerten die Angreifer laut dem Bericht ihren Credential-Stuffing-Angriff auf das CRA-Portal, indem sie Benutzernamen, Passwörter und Antworten auf Sicherheitsfragen „stopften“.
2Keys hat ESDC darauf aufmerksam gemacht neu Konten, die offenbar von den Angreifern erstellt wurden. Diese Warnung führte dazu, dass ESDC ab dem 27. August 2020 über 2.000 Fälle von Identitätsdiebstahl entdeckte.
Angreifer konnten betrügerisch neue Leistungen bei ESDC beantragen und ohne deren Wissen neue Konten im Namen von Personen erstellen. Im November 2020 entdeckte CRA außerdem einen Fall von Identitätsdiebstahl, bei dem es Angreifern gelang, neue Zugangsdaten für eine CRA-Fähigkeit zu erstellen, die es einer Einzelperson ermöglichte, einen Kunden zu vertreten, und anschließend auf Informationen von 36 Unternehmen zugegriffen, darunter sensible personenbezogene Daten von über 8.000 Personen.
Dem Bericht zufolge nutzten Angreifer etwa 26.000 CRA-„Meine Konten“, ein CRA-Konto „Represent a Client“, 6.000 ESDC-„My Service Canada-Konten“ und 112 ESDC-Geschäftskonten, um auf die Kontaktinformationen und Kennungen zuzugreifen [including social insurance numbers (SINs), and dates of birth] und sensible Finanz-, Bank- und Beschäftigungsinformationen von 14.000 Personen im Besitz von ESDC und von 34.000 Personen im Besitz von CRA.
Angreifer änderten auch persönliche Daten in Konten – sie änderten direkte Einzahlungs- und Adressinformationen, um bestehende Zahlungen an die Angreifer umzuleiten, und beantragten neue Leistungen wie die pandemische Canada Emergency Response Benefit, Leistungen der Arbeitslosenversicherung (EI) und Steuerrückerstattungen.
Das ist nicht alles. In der letzten Phase von Dufresnes Ermittlungen erfuhr er, dass im Jahr 2020 weitere Verstöße entdeckt und seinem Büro nicht gemeldet wurden, die die CRA nicht mit diesem Credential-Stuffing-Angriff in Verbindung bringt. Vorläufige Informationen deuten darauf hin, dass bis zu 15.000 Personen in ähnlicher Weise von diesen Verstößen betroffen gewesen sein könnten, die wie der in diesem Bericht untersuchte Verstoß im Zusammenhang mit Betrug bei Sozialleistungen im Zusammenhang mit COVID-19 standen.
Der Bericht betont die Gefahr schwerwiegender Schäden für Menschen durch Cyberangriffe auf Regierungsdatenbanken. Ende 2022 erhielt das Büro von Dufresne eine Beschwerde von einer Person, die bei ESDC Opfer eines Identitätsdiebstahls wurde. Von Ende November bis Dezember 2020 beantragten Angreifer betrügerische EI-Vorteile und eröffneten in seinem Namen ein Online-Konto bei ESDC. In den nächsten zwei Jahren konnten sie in seinem Namen wiederholt Leistungen beantragen, ohne dass ESDC sie entdeckte. Als die Person später ihren Job verlor, konnte sie keine EI-Leistungen erhalten – die Abteilung teilte ihr mit, dass sie bereits die Höchstleistungen erhalten habe. Dann wurde er von ESDC und CRA zur Zahlung von Steuern auf die betrügerischen Vorteile haftbar gemacht, die er nie erhalten hatte. Dieser Fall wurde erst geklärt, nachdem Dufresnes Büro eingegriffen hatte.
In den Regierungsrichtlinien zu Authentifizierungsanforderungen sind vier Sicherheitsstufen festgelegt, denen die Abteilungen folgen müssen. Stufe 4 erfordert, dass die Person, für die sie sich ausgibt, „sehr hohes Vertrauen“ haben muss, um online auf ihr Konto zuzugreifen. Im Jahr 2020 bewerteten sowohl CRA als auch ESDC ihren Sicherheitsgrad für Online-Konten mit Stufe 2: „Es ist ein gewisses Maß an Vertrauen erforderlich, dass eine Person die Person ist, für die sie sich ausgibt.“ Dufresne sagt, sie hätten eine Level-3-Anforderung erfüllen sollen.
Stufe 2 erfordert die Sammlung nur eines Identitätsnachweises und erfordert keine Schritte zur Überprüfung der „Verknüpfung“ der Identitätsinformationen mit der antragstellenden Person, heißt es in dem Bericht. Für Stufe 3 müssen neben anderen Anforderungen zwei Identitätsnachweise gesammelt werden, von denen einer grundlegend sein muss, z. B. Geburtsurkunden oder Staatsbürgerschaftsnachweise, und die Verknüpfung muss bestätigt werden, obwohl akzeptable Verknüpfungsmethoden im Dokument nicht im Detail beschrieben werden Regierungsregeln.
Im Zuge der Verstöße im Jahr 2020 haben CRA und ESDC die Adressbestätigung (Senden eines Registrierungscodes an die aus früheren Steuererklärungen eingetragene Adresse) zu den Identitätssicherungsprozessen eines Kontoantragstellers hinzugefügt. Der Bericht fügt jedoch hinzu, dass keine der Abteilungen die Erhebung von Identitätsnachweisen von Antragstellern oder die Überprüfung von Zusammenhängen zwischen der behaupteten Identität und der tatsächlichen Identität durch physische/biometrische Vergleiche oder gleichwertige robuste Methoden verlangt.
ESDC wendete diese Verbesserungen erst Mitte 2021 auf Konten an, die mit SecureKey Concierge-Zugangsdaten bei kanadischen Banken erstellt wurden, als es begann, einen zweiten Authentifizierungsprozess zur Identitätssicherung anzubieten, der die Identitätsüberprüfung von Personen nutzte, die bereits von bestimmten kanadischen Finanzinstituten durchgeführt wurde, heißt es in dem Bericht. In der Zwischenzeit konnten Angreifer diese Schwachstelle im Identitätssicherungsprozess des ESDC weiterhin ausnutzen, unter anderem bei dem Identitätsdiebstahlvorfall der Person, die sich später bei Dufresnes Büro beschwerte.
„Darüber hinaus fügt der Bericht hinzu: „Soweit uns bekannt ist, ermöglicht ESDC weiterhin die Identitätssicherung ohne die Erfassung jeglicher Identität oder die Überprüfung der Verknüpfung oder Adressbestätigung für bestimmte Online-Dienste.“
In dem Bericht heißt es, dass beide Abteilungen vereinbart haben, Empfehlungen des Datenschutzbeauftragten umzusetzen, einschließlich der Verbesserung der Kommunikations- und Entscheidungsrahmen, um die Umsetzung effizienter Schutzmaßnahmen gegen zukünftige Angriffe und eine schnelle Reaktion auf Datenschutzverletzungen zu erleichtern, sowie die Durchführung regelmäßiger Sicherheitsbewertungen.
Warum hat es vier Jahre gedauert, bis der Datenschutzbeauftragte diese Untersuchung abgeschlossen hat? Der Erhalt schriftlicher Erklärungen von CRA, ESDC, Shared Services Canada und Treasury Board [which sets cybersecurity policies for government departments] verzögerte sich oft um Wochen oder Monate oder war unvollständig, „was mehrfachen Austausch und Eskalationen zwischen zunehmend höheren Führungskräften erforderlich machte“, heißt es in Dufresnes Bericht. Und ein interner Regierungsbericht über die gewonnenen Erkenntnisse wurde Dufresne zunächst unter Berufung auf Anwalts- und Mandantenprivilegien und Prozessprivilegien vorenthalten. ESDC und CRA erstellten außerdem Lessons-Learned-/Post-Mortem-Berichte, die sie Dufresne aufgrund von Privilegienansprüchen nicht zur Verfügung stellten.
Als Grund für die Verzögerungen führten ESDC und TBS außerdem eine Sammelklage im Zusammenhang mit dem Verstoß an. ESDC versuchte außerdem, den Zugang von OPC zur Befragung von Personen unter Berufung auf Privilegien einzuschränken.
