税务局137名员工陷入一场涉及供应商的数据泄露事件,之后,税务局向全体员工发出严厉警告:在任何情况下,都不得在工作场所之外使用工作密码。
据报道,这些税务局员工的姓名、电子邮件地址、职位、电话号码和办公地址,在针对必能宝公司的“勒索软件”攻击中,面临泄露风险。
一封税务局内部邮件称,在试图控制泄露范围的谈判中,“进展并不顺利”,部分记录已经在线公开。
邮件指出,必能宝是税务局邮资机的供应商。
在四月底发给全体员工的邮件中,税务局安全团队表示,除非有人在自家安装了这些机器,否则家庭住址不太可能被泄露。
“我假设他们只掌握与税务局相关的信息,而不是任何与你个人生活相关的内容,”邮件中写道。
邮件称,受影响的员工未来可能看到诈骗邮件和电话数量增加。
安全团队表示,没有密码被盗,但强调这对所有人都是一个提醒,要更小心谨慎。
“每个人都知道不要在外部网站使用税务局的密码,即使是信任的供应商也不行,所以即使有密码泄露,也不必过于担心,对吧?”邮件中这样写道。
邮件表示,一旦确认137名受影响员工的名单,他们会直接联系这些人,讨论他们如何在诈骗和“社会工程攻击”中面临更高风险。
税务局的IT安全团队表示,他们正利用这一事件强调网络安全风险。
“不要重复使用密码,或者至少不要使用你的税务局密码(或任何类似的密码)。将共享的数据限制在最小必要范围内,”安全团队表示。
“始终警惕假装来自可信来源的攻击者,”他们补充道。
员工们还被警告,要对涉及供应商的任何异常请求保持警惕,例如一家公司提交的发票金额是其平均水平的3倍。
当被问及此次泄露事件时,税务局发言人表示,必能宝为税务局提供各种与邮政和物流运营相关的服务。
他说,税务局已接到泄露通知,并由国家网络安全中心进行了简要通报。
发言人表示,暴露的数据可能包含注册账户时提供的信息。
“目前尚不清楚每个账户在注册阶段是否提供了完整或部分详细信息,”他说。
“名单上的所有员工都已得到通知,并就针对潜在钓鱼活动的适当预防措施获得了建议,”他补充道。
发言人表示,此次泄露不涉及任何类型的纳税人数据,税务局持续监控可疑活动。
“无需通知数据保护委员会,因为这不是对税务局系统的泄露,”他声明道。
肯·福克斯报道
