Ủy ban hoàng gia đã công bố báo cáo cuối cùng về chương trình thu hồi nợ tự động vào tháng 7 năm 2023. Source: AAP / Darren England
AUSTRALIA - Cuộc điều tra về gian lận myGov đã chỉ trích mạnh mẽ những lỗ hổng bảo mật nghiêm trọng tạo điều kiện cho tin tặc đánh cắp dữ liệu từ tài khoản được liên kết của mọi người.
Một cuộc điều tra về tính bảo mật của các tài khoản myGov của người Úc đã tiết lộ những lỗ hổng nghiêm trọng, và vạch trần cách mà tin tặc khai thác công nghệ liên kết tài khoản để đánh cắp thông tin từ các tài khoản của Centrelink, Medicare và Văn phòng Thuế vụ Úc.
Cuộc điều tra phát hiện rằng tin tặc đã khai thác các tài khoản Medicare và Centrelink thông qua nền tảng myGov bằng cách liên kết chúng với các tài khoản myGov giả mạo và đưa ra các yêu cầu thuế giả mạo trị giá hàng ngàn đô la hoặc yêu cầu thanh toán hỗ trợ sai sự thật.
Thực tế này được gọi là "liên kết không được phép" - khi tài khoản dịch vụ thành viên của khách hàng myGov chính hãng được liên kết với một tài khoản myGov 'giả' của một bên khác mà không được phép.
Theo báo cáo của Thanh tra viên Iain Anderson, nhiều nạn nhân đã bị khóa tài khoản và việc thanh toán bị đình chỉ, gây thêm thiệt hại cho họ.
Báo cáo của Anderson về gian lận myGov phát hiện ra rằng "các biện pháp kiểm soát bảo mật hiện tại của myGov không bảo vệ mọi người một cách đầy đủ khỏi việc liên kết trái phép đến nơi xảy ra hành vi trộm cắp danh tính".
Thanh tra viên đã đưa ra bốn khuyến nghị cho Services Australia để nâng cấp bảo mật. Tất cả bốn khuyến nghị đều được chấp nhận.
Services Australia và các đối tác đã phản hồi hơn 6.000 vụ lừa đảo cố gắng mạo danh MyGov vào năm 2023, Bộ trưởng Dịch vụ Chính phủ Bill Shorten cho biết vào tháng 4.
Tin tặc khai thác tài khoản myGov như thế nào?
Thanh tra viên cho biết, ông đã nhận được khiếu nại từ những người bị ảnh hưởng bởi những kẻ lừa đảo sử dụng thông tin cá nhân bị đánh cắp để truy cập vào tài khoản trực tuyến Centrelink, Medicare và ATO của họ thông qua myGov.
Có nhiều cách khác nhau để đánh cắp thông tin cá nhân, bao gồm các cuộc tấn công có chủ đích, lừa đảo qua email, mua thông tin của người khác thông qua dark web hoặc thu thập thông tin cá nhân từ các tài liệu tìm thấy trong thùng rác gia đình hoặc doanh nghiệp hoặc tài liệu bị đánh cắp từ hộp thư.
Sau đó, thủ phạm đã nộp các yêu cầu bồi thường sai sự thật cho các khoản thanh toán, ứng trước và cho vay của Centrelink dưới tên của nạn nhân và chuyển hướng các khoản thanh toán lương hưu của họ.
Một số nạn nhân sau đó không thể yêu cầu hỗ trợ tài chính, chẳng hạn như Trợ cấp chăm sóc trẻ em, cho đến khi Services Australia và các thành viên hoàn tất cuộc điều tra của họ.
Báo cáo của thanh tra viên đã tìm thấy điều gì?
Cuộc điều tra phát hiện ra rằng các biện pháp kiểm soát bảo mật của myGov không bảo vệ mọi người khỏi việc tài khoản của họ bị liên kết và khai thác, sau khi dữ liệu của họ bị đánh cắp.
Báo cáo cũng phát hiện ra rằng không có đủ các biện pháp kiểm tra bảo mật, để bảo đảm rằng khách hàng là người thật, đặc biệt là xung quanh việc thay đổi thông tin chi tiết về ngân hàng.
Báo cáo nêu rõ rằng việc liên kết trái phép là một vấn đề nghiêm trọng có thể được khắc phục bằng cách yêu cầu bằng chứng nhiều hơn để liên kết các tài khoản Medicare và Centrelink với myGov.
"Chúng tôi thấy rằng, nhìn chung, các biện pháp bảo mật hiện tại tập trung vào việc ngăn chặn những kẻ gian lận xâm nhập vào các tài khoản myGov của khách hàng thật, nhưng không nhất thiết ngăn chặn chúng xâm nhập vào các tài khoản dịch vụ thành viên thông qua việc liên kết trái phép", báo cáo viết.
Báo cáo khuyến nghị những thay đổi về cách Services Australia quản lý tính bảo mật của liên kết tài khoản, bao gồm xác thực hai yếu tố cho mọi giao dịch rủi ro cao, bao gồm thay đổi thông tin chi tiết về tài khoản ngân hàng.
Báo cáo cũng khuyến nghị thiết lập một quy trình chính thức để điều tra và khắc phục các vi phạm, và tìm kiếm thêm tư vấn pháp lý bên ngoài về việc chia sẻ thông tin nhiều hơn giữa các dịch vụ.
Services Australia đã phản ứng ra sao?
Quyền giám đốc điều hành của Services Australia, Jarrod Howard, cho biết tổ chức này hoan nghênh cuộc điều tra của thanh tra viên.
Ông viết trong một lá thư đính kèm trong báo cáo, "Services Australia cam kết bảo vệ mọi người khỏi hành vi trộm cắp danh tính và lừa đảo",
"Cuộc điều tra cung cấp cho chúng tôi những khuyến nghị hữu ích về cách chúng tôi có thể tăng cường hơn nữa tính bảo mật của nền tảng myGov, vai trò của các dịch vụ thành viên trong việc nâng cao tính bảo mật, và giúp chúng tôi chắc chắn rằng chúng tôi đang đi đúng hướng với một số biện pháp mà chúng tôi đã khai triển ".