900 SINs stolen from Canadians in Heartbleed breach

[MrGeek]

CRA says social insurance numbers of about 900 Canadians stolen in Heartbleed breach

Ситуацията е наистина сериозна. Подозирам, че мащабите на пробива са доста по-големи и тепърва ще излизат още подробности, но и 1000 СИНа не са никак малко като пробив. Въпросният бъг е проблем в кода на OpenSSL - специфична софтуерна библиотека, която се ползва масово от сървърите в цял свят за защита на чувствителна информация в уеб сесиите, като номера на кредитни карти, лична информация и пр. Макар и не лесен за експлоатиране, явно ъндърграунд обществото е действало с мобилизирани ресурси, за да осъществят толова бързо и успешно атаката срещу сървърите на CRA.

[Bistra]

Че на нас refund -а ни влезе вече по сметките. Какво, сега ще ме накарат да го връщам ли? Отивам още утре да си купя рокля.
Току що казаха по телевизията, че тези 900 човека, на които са им били откраднати номерата, щели да бъдат най-добре защитените в цяла Канада и то за сметка на правителството.

[MrGeek]

Че на нас refund -а ни влезе вече по сметките. Какво, сега ще ме накарат да го връщам ли?

Рифънда, Бистре, няма никаква връзка с проблема и никой няма да те кара да го връщаш, освен ако не си лъгала в декларацията. Виж ако СИНа и другата лична информация е попаднала в тази група, не е много умно да се радваш, защото най-малкото ще трябва да положиш сериозни усилия и да загубиш време за установяване на фактите и дали някой някъде не злоупотребява с твоите данни. Държавните служби могат и да ти помогнат и да поемат свързаните разходи (предполагам до известна степен, едва ли всичко), но нещата ще трябва да си ги движиш ти. Виждам обаче ти имаш доста свободно време, та едва ли е нужно да се притесняваме точно за това.

[7George]

Че на нас refund -а ни влезе вече по сметките. Какво, сега ще ме накарат да го връщам ли? Отивам още утре да си купя рокля.
Току що казаха по телевизията, че тези 900 човека, на които са им били откраднати номерата, щели да бъдат най-добре защитените в цяла Канада и то за сметка на правителството.

Рефънд? - аз доплащах. Вие в Квебек и така сте осиновени от Канада, 9 милиарда транш за да се чувстваме равни, чете ли?

[optics]

Винаги съм бил убеден, че ако получиш рефънд си прецакан, а ако трябва да доплащаш си (бил) на далавера.
За съжаление второто ми се е случвало само веднъж. Тази година може да повторя но никак не е сигурно.

[roumensp]

Винаги съм бил убеден, че ако получиш рефънд си прецакан, а ако трябва да доплащаш си (бил) на далавера.

Не е баш така. Може да знаеш, че ще трябва да доплащаш и точно в края на февруари да внесеш пари за RRSP, за да получиш рифънд.

Между другото, ако се окаже, че дължиш доста пари, после CRA почват да те спамват с мейлове, в които ти "напомнят" че може би трябва да им плащаш instalments през годината. Но ако ти считаш, че не е така, просто ги игнорираш.

[grozdan]

А тез от CRA как точно са разбрали колко човека и кои са те? Нали тоз бъг бил активен от 2011 и според някои други не можело да се хване. Това ме навежда на мисълта, че е имало доста други преди тези 900 човека

[7George]

Винаги съм бил убеден, че ако получиш рефънд си прецакан, а ако трябва да доплащаш си (бил) на далавера.
За съжаление второто ми се е случвало само веднъж. Тази година може да повторя но никак не е сигурно.

Най-интересното и абсурдно е, че двамата работещи в къщи им се тегли отделна сметка за данъците, примерно ако Бистра е взела рефънд, то Щерю може да е доплащал, и то може би повече, и тва всичко влиза-излиза в една обща сметка.. Тоест продължение на политиката дето всеки си има отделни пари в семейството...

[MrGeek]

А тез от CRA как точно са разбрали колко човека и кои са те? Нали тоз бъг бил активен от 2011 и според някои други не можело да се хване. Това ме навежда на мисълта, че е имало доста други преди тези 900 човека

Този бъг наистина е въведен в OpenSSL кода от преди 2 години, но нали не си мислиш, че има такива ултра-извънземни гении, които са го хванали още при излизането му. Твърди се, че бъга е открит независимо от Гугъл и секюрити компанията Codenomicon в началото на април. Вероятността някой гений да го е хванал преди това не е нулева, но е малко вероятна, защото един субект трудно би могъл да направи толкова поразии, ако го държи в тайна, а разпространен дори само в ъндърграунд обществото означава тутакси да бъде прихванат и от големите секюрити компании, които имат свои хора в тези общества и преслушват постоянно комуникационните им канали. Проблемът е след публичното обявяване на бъга. Забелязва се доста бърза реакция на ъндърграунд ресурсите, които очевидно са в състояние да сглобят много бързо качествена атака срещу сериозни цели. Между другото тези ъндърграунд формирования почти по нищо не се отличават от корпоративните такива - имат си сериозни тиймове с всякакви длъжности, включително проджект мениджъри, различни оперативни структури, девелопмънт и пр. Та в този контекст явно CRA са реагирали със закъснение, достатъчно да направи съответните поразии. Как са разбрали е въпрос на сериозни ресурси за мониторинг (които би трябвало да притежават) и в последствие подходящ анализ на логовете с различните секюрити събития. Както вече казах, експлоатирането на този бъг не е никак лесно по принцип, но ваденето на информация като номера на кредитни карти и СИН такива е улеснено значително от факта, че подобни серии от данни могат много лесно да се различат в хаоса от 64К-байтови фрагменти от паметта, които сървъра изпраща при експлоатирането на бъга.

[Bistra]

Винаги съм бил убеден, че ако получиш рефънд си прецакан, а ако трябва да доплащаш си (бил) на далавера.
За съжаление второто ми се е случвало само веднъж. Тази година може да повторя но никак не е сигурно.

Абсолютно! Ама аз харча Щерювия.
Нашият бос е англофон и винаги си прави много точно сметката, та да не внася на кебекарите (пък и федералните също)авансово повече, отколкото му изискват.

Тоест продължение на политиката дето всеки си има отделни пари в семейството

Ъ-ъъъ, не е, бе! Виж ми горното мнение.

[roumensp]

Ситуацията е наистина сериозна.

Не мисля, че трябва да се правят трагедии от случилото се ...
В Щатите ти искат SSN-а за щяло и нещяло като например при наемане на квартира, постъпване на работа, купуване на кола, застрахователни агенции и т.н., но това не е довело до някаква криза с откраднати номера.
За да се възползва някой от SIN-а ти трябва да знае и останалите ти данни (име, адрес, телефон и т.н.) и най-лошото, което може да ти се случи (според мен) е някой да вземе кредит от твое име и да не го изплаща. Колкото лесно са го вписали тоя кредит в кредитната ти история, толкова лесно могат и да го махнат след диспут, но е свързано с главоболия, разбира се. То принцип си се препоръчва човек да си проверява кредит рипорта отвреме-навреме, най-вече за да види дали няма някоя подобна издънка ...

[roumensp]

Тоест продължение на политиката дето всеки си има отделни пари в семейството

Напротив, много са далечe оттам: първо, винаги ме е дразнело, че трябва да знам точния нет инкъм на жена си, за да си направя такс ритърна; второ, някои кредити могат да се получат само от съпруга с по-нисък нет инкъм (да не се минат случайно).
В Щатите са много по-добре в това отношение: ако искаш правиш семеен ритърн (само един за двамата), а ако не - правиш индивидуален и никой не те пита за инкъма на съпруга(та) ти. Изборът си е изцяло твой. Да не говорм, че кредити, които се полагат на семейство могат да бъдат заявени от който и да е от двамата съпрузи, независимо от дохода му.

[tonich]

...никой не те пита за инкъма на съпруга(та) ти...

Това... инкъма... не е ли нещо като доход?
Питам само, че ми стана интересно.

[Marto]

...никой не те пита за инкъма на съпруга(та) ти...

Това... инкъма... не е ли нещо като доход?
Питам само, че ми стана интересно.

Имал е предвид според мене "дохода на спауза".

Това по ли е ясно

[Bistra]

Това... инкъма... не е ли нещо като доход?
Питам само, че ми стана интересно.

Твоята жена (ако имаш такава) не работи ли?
И въобще данъчна декларация попълвал ли си, та питаш?
То не, че аз попълвам. Счетоводителят на съпруга ми ги прави, ама поне му подсигурявам данните.