加拿大政府在上周披露,黑客锁定该国政府所提供的身份验证服务(GCKey)及国税局(CRA)账号发动网络攻击,估计有9千多个GCKey账号与5千多个CRA账号遭破解,已紧急关闭这些账号并重新要求用户取得凭证。
GCKey为加拿大政府替当地人们所设计的单一身份验证服务,经过身份验证的用户可获得一组GCKey凭证,用以访问30种政府服务,在3,800万的加拿大人口中,已有1,200万拥有GCKey凭证。至于CRA账号则是独立的凭证,专门用来访问加拿大国税局的服务,GCKey并无法访问CRA服务。
加拿大政府表示,黑客是借由凭证填充攻击来窃取GCKey及CRA凭证,利用先前已外泄的资料,再加上用户习惯在不同的服务上使用同样密码的特性,取得了9,041个GCKey凭证与5,500个CRA凭证,且已企图利用这些凭证访问相关服务。
在发现此事后,加拿大政府也规劝用户于不同的服务,不要采用同样的密码。