W szczycie tegorocznego sezonu podatkowego Kanadyjska Agencja Skarbowa odkryła, że hakerzy zdobyli poufne dane wykorzystywane przez jedną z największych firm zajmujących się przygotowywaniem zeznań podatkowych, H&R Block Canada.
Śledztwo przeprowadzone przez dziennikarzy programu The Fifth Estate stacji CBC i Radio-Canada wykazało, że oszuści wykorzystali poufne dane uwierzytelniające firmy, aby uzyskać nieautoryzowany dostęp do setek prywatnych kont Kanadyjczyków w CRA, zmienić dane dotyczące przelewów bezpośrednich, składać fałszywe zeznania podatkowe i przywłaszczyć sobie miliony dolarów w formie fałszywych zwrotów z publicznej kasy .
W jednym przypadku hakerzy złożyli zeznanie podatkowe, podając prawdziwy kod pocztowy, ale fałszywy adres na nieistniejącej ulicy Tomato Street.
.jpg)
„Oczywiście wygląda na to, że drzwi są otwarte i niektórzy ludzie infiltrują system” – powiedział w wywiadzie André Lareau, adiunkt ds. podatków na Uniwersytecie Laval w Quebecu. „Ale CRA najwyraźniej nie znalazła klucza, by je zamknąć”.
Według źródeł, kryzys skłonił CRA do nawiązania kontaktu z biurem minister ds. dochodów Marie-Claude Bibeau.
Agencja przygotowała informacje dla mediów, na które można odpowiadać, gdyby pojawiły się pytania o wyciek danych H&R Block i o to, dlaczego agencja wypłaciła oszustom miliony dolarów.
Minister ds. dochodów Marie-Claude Bibeau odrzuciła prośbę o wywiad. Jej biuro nie wyjaśniło, kiedy dowiedziała się o ostatnim skoku przypadków wycieku danych.
Firma H&R Block w swoim oświadczeniu stwierdziła, że nie ma dowodów na to, że naruszenie bezpieczeństwa nastąpiło z jej winy.
Firma podatkowa stwierdziła, że „kompleksowe wewnętrzne dochodzenie” wykazało, że żadne z jej „danych, systemów, oprogramowania i zabezpieczeń” nie zostało naruszone. H&R Block stwierdziła, że nie jest świadoma, iż kanadyjscy podatnicy, których dotyczyło naruszenie, byli jej własnymi klientami.
Według źródeł CRA nie zidentyfikowała hakerów, ale wykluczyła możliwość naruszenia własnych systemów lub zaangażowania osoby z wewnątrz. Ostatecznie, kto zhakował te dane i skąd, pozostaje nieznane.
Śledztwo przeprowadzone przez The Fifth Estate i Radio-Canada wykazało, że naruszenie bezpieczeństwa danych w firmie H&R Block to tylko jeden z wielu przykładów problemów, z którymi zmaga się CRA, ponieważ audytorzy i śledczy obawiają się, że społeczeństwo może stracić zaufanie do agencji, której zadaniem jest ochrona pieniędzy podatników i danych osobowych. Dochodzenie The Fifth Estate /Radio-Canada wykazało, że opinia publiczna jest utrzymywana w nieświadomości co do oszałamiających kwot skradzionych pieniędzy i rażących braków w zdolności agencji do wykrywania oszustw.
Lareau uważa, że należy przeprowadzić dochodzenie parlamentarne w celu ustalenia „skali” problemu — i uzyskania odpowiedzi od CRA i ministra.
CRA twierdzi, że indywidualni podatnicy są informowani o naruszeniu ich informacji, że oferuje się im „ochronę kredytową zgodnie z wymaganiami” i że ochrona informacji podatkowych Kanadyjczyków jest traktowana „bardzo poważnie”.
CRA poinformowało, że w okresie od 2020 r. do początku października 2024 r. omyłkowo zatwierdziło fałszywe płatności na kwotę ponad 190 mln dol. związane z „potwierdzonymi” przypadkami naruszeń prywatności. Agencja podała, że większość z nich miała miejsce w 2020 r., w trakcie pandemii COVID-19, a w ostatnich latach nastąpił „drastyczny spadek” liczby takich zdarzeń.
Nie wszystkie przestępstwa obejmowały naruszenia prywatności. Oszuści często wykorzystują własne konta, aby składać fałszywe roszczenia.
Jak twierdzą źródła, wysiłki agencji mające na celu zwalczanie fałszywych zeznań podatkowych komplikuje zjawisko znane w CRA jako kultura „płać i ścigaj” — celowa polityka mająca na celu jak najszybsze wypłacanie zwrotów podatkowych społeczeństwu i późniejsze sprawdzanie rozbieżności.
Lareau powiedział, że CRA lubi promować „wizerunek” „sprawnej” agencji, która otrzymuje zwroty „tak szybko, jak to możliwe”.
Jak podają źródła The Fifth Estate /Radio-Canada, takie podejście otwiera szerokie możliwości dla oszustów . Wygląda na to, że urzędnicy agencji zorientowali się, że coś jest nie tak, gdy w kwietniu zauważyli w darknecie posty oferujące sprzedaż nielegalnie uzyskanych danych H&R Block. Hakerzy zdobyli dane uwierzytelniające do elektronicznego składania zeznań podatkowych H&R Block udostępnione przez CRA — w istocie były to poufne klucze elektroniczne wykorzystywane przez księgowych firmy do składania zeznań podatkowych w imieniu podatników.
Z czasem okazało się, że skradzione informacje z H&R Block pomogły oszustom uzyskać dostęp do zeznań podatkowych Kanadyjczyków, zmienić ich dane bankowe, a nawet adresy, co pozwalało im ubiegać się o fałszywe zwroty i ulgi podatkowe.
Według źródeł, CRA zorientowało się, że dokonało wielu niezależnych, fałszywych zwrotów na ten sam rachunek bankowy.
Audytorzy CRA doszli do wniosku, że zostali oszukani gdy wypłacili ponad 6 milionów dolarów w 2024 r., a następnie nie dopuścili już do wypłaty kolejnych 14 milionów dolarów oszustom.
za CBC
