A Canada Revenue Agency (CRA), equivalente canadense da Receita Federal brasileira, admitiu oficialmente ontem o vazamento de dados de 900 cidadãos cadastrados no sistema devido ao Heartbleed. Hackers teriam conseguido os números de identificação de seguro social (SIN) das vítimas explorando a falha do OpenSSL.
A CRA afirma que suspendeu os acessos públicos aos seus sistemas online no exato momento em que soube da existência do Heartbleed. O objetivo era corrigir a vulnerabilidade em seus servidores e mensurar o impacto na segurança. Na semana passada, a agência chegou a emitir um comunicado onde estendia o prazo de entrega do Imposto de Renda para além da data limite de 30 de Abril, em virtude da interrupção dos serviços.
Entretanto, a investigação realizada pela CRA confirmou o pior: durante um período de seis horas seus servidores foram atacados e dados relacionados a cerca de 900 contribuintes foram furtados, incluindo seus números SIN. Segundo a agência, nenhuma outra violação de segurança ocorreu antes ou depois do incidente.
As autoridades canadenses estão agora entrando em contato por carta registrada com os contribuintes afetados e colocaram uma linha exclusiva para tirar dúvidas sobre o ataque. Para evitar o risco de fraudes e golpes, a CRA optou por não utilizar nem e-mail, nem telefonemas para alertar as vítimas.
O vazamento de dados é o primeiro caso confirmado onde a falha Heartbleed foi utilizada como vetor da invasão, mas outros incidentes ainda podem aparecer no futuro.