新报告揭秘：MyGov存在严重的安全漏洞！大批人资金被盗，政府被迫升级安全措施

一份关于澳大利亚人myGov账户安全的新报告揭示了严重的漏洞，并暴露了黑客是如何利用账户链接技术从Centrelink、Medicare和澳大利亚税务局的账户中窃取资金的。

调查发现，黑客通过myGov平台利用Medicare和Centrelink的账户，将其链接到假的myGov账户，并进行价值数千澳元的假报税，或虚假申请支助付款。

这种做法被称为“未经授权的链接”–即真正的myGov客户的会员服务账户在未经授权的情况下被另一方链接到一个“虚假”的myGov账户。

根据监察员Iain Anderson的报告，许多受害者的账户被锁定，付款被暂停，造成了进一步的伤害。

该报告是在发现包括MyGov登录信息在内的大量机密信息在网上被出售后引发的调查之后发布的。

Anderson在关于myGov欺诈行为的报告中发现，“myGov目前的安全控制措施不能充分保护人们在身份被盗时免受未经授权的链接。”

监察员提出了四项建议，要求澳大利亚服务局提升其安全性，澳大利亚服务局全部接受了这些建议。

政府服务部长Bill Shorten在4月份表示，澳大利亚服务局及其合作伙伴在2023年应对了6000多起试图冒充MyGov的诈骗。

黑客如何利用MyGov账户

监察员说，他收到了一些人的投诉，称骗子利用窃取的个人信息通过myGov访问他们的Centrelink、Medicare和ATO在线账户。

窃取个人信息的方式多种多样，包括有针对性的攻击、网络钓鱼诈骗、通过暗网购买他人信息或从家庭或企业垃圾中发现的文件中收集个人信息或从邮箱中窃取个人信息。

犯罪者随后以受害者的名义提交了虚假的Centrelink付款、预付款和贷款申请，并将他们的养老金付款转至他处。

在澳大利亚服务局及其成员完成调查之前，一些受害者无法申请儿童保育补贴等经济援助。

调查报告发现了什么？

调查发现，myGov的安全控制措施并不能保护人们的账户在数据被盗后不会被链接和利用。

报告还发现，没有足够的安全检查来确保客户的真实性，尤其是在更改银行信息方面。

报告强调，未经授权的链接是一个严重问题，可以通过要求提供更多证明来将Medicare和Centrelink账户链接到myGov中央枢纽来解决。

“我们发现，总体而言，当前的安全措施侧重于阻止欺诈者进入真正的客户myGov账户，但并不一定能阻止他们通过未经授权的链接从侧面进入会员服务账户，”报告写道。

报告建议改变澳大利亚服务局管理账户链接安全的方式，包括对每笔高风险交易（包括更改银行账户信息）进行双因素验证。

报告还建议设立一个正式流程来调查和纠正违规行为，并就加强服务之间的信息共享进一步寻求外部法律建议。

澳大利亚服务局如何应对？

澳大利亚服务机构代理首席执行官Jarrod Howard表示，该机构欢迎监察员的调查。

他在报告所附的一封信中写道：“澳大利亚服务机构致力于保护人们免受身份盗窃和骗子的侵害。调查为我们提供了有益的建议，帮助我们进一步加强myGov平台的安全性、会员服务在提升安全性方面的作用，并让我们确信，我们已经采取了一系列措施，走在了正确的道路上。”