Le gouvernement fédéral affirme que les adresses courriel et les numéros de téléphone associés à des comptes de l'Agence du revenu du Canada (ARC), d'Emploi et Développement social Canada (EDSC) et de l'Agence des services frontaliers du Canada (ASFC) ont été piratés.
Le Secrétariat du Conseil du Trésor du Canada indique que le gouvernement a été alerté de l'incident le 17 août par 2Keys Corporation, le fournisseur d'une application d'authentification multifactorielle utilisée pour ces comptes.
Le gouvernement indique que 2Keys Corporation a découvert l'incident, l'en a rapidement informé et a lancé une enquête, menée par des experts externes en cybersécurité.
Le Conseil du Trésor affirme qu'une mise à jour logicielle de routine a créé une vulnérabilité qui a permis à un acteur malveillant d'accéder aux numéros de téléphone associés aux comptes de l'ARC et d'EDSC, ainsi qu'aux adresses courriel associées aux comptes de l'ASFC, des personnes ayant utilisé le service d'authentification entre le 3 et le 15 août.
Le gouvernement a indiqué que l'acteur a envoyé des messages texte indésirables à certains numéros de téléphone contenant un lien vers un site internet conçu pour ressembler à celui du gouvernement du Canada.
Le Conseil du Trésor affirme que le service d'authentification multifactorielle a été rétabli et que rien n'indique que des renseignements personnels identifiables supplémentaires ou des données personnelles sensibles ont été divulgués.