政府赔钱870万! CRA账户被黑近5万人可申赔款

2020 年夏天，超过 47,000 名加拿大人的 CRA（加拿大税务局）等政府账户被黑，个人信息甚至银行资料遭窃。

时隔数年，联邦政府同意支付 870 万加元，与受害者达成集体诉讼和解，个人最高可获赔 $5,000。

账户被黑：近 5 万人资料泄露

黑客在 2020 年疫情初期，攻击了 CRA 及其他政府网站，主要目的是冒用受害者身份申请 CERB（加拿大紧急救助金）等补贴。超过 47,000 人的社保号、住址和银行账户等敏感信息被盗。

本案主诉方为 BC 省 Clinton 的 Todd Sweet。他 2020 年 7 月收到账户邮箱被更改的通知，登录 CRA 发现自己的直接存款信息被改、名下还被递交了 4 份 CERB 申请。随即，更多加拿大人在线反映遭遇类似事件，CRA 最终于 8 月暂时关闭线上服务。

诉状称，政府和 CRA 的安全措施存在漏洞，至少在这一年中发生了 3 次网络攻击，黑客用被泄露的个人信息伪造身份、骗取补助，甚至将本应发给当事人的补贴转入他人账户。

安全漏洞与黑客手法

黑客利用所谓"凭证填充（credential stuffing）"手法，用在其他网站泄露的用户名和密码组合，尝试登录 CRA 账户。虽然 CRA 通常要求二次验证（如安全问题），但 2020 年夏的漏洞让黑客能绕过这一步骤。法院文件显示，2020 年 8 月 6 日，执法部门警告 CRA 有人正在暗网兜售这种入侵方式，CRA 随后于 4 天内修复了相关漏洞。

同一时期，黑客还用类似方法入侵了"我的 Service Canada 账户"等其他联邦线上服务。

和解细节：最高可获 $5,000

2025 年 12 月，双方达成集体诉讼和解方案，近日由联邦法院正式批准。和解金总额 870 万元，其中约 600 万专门用于因"凭证填充"手法在 2020 年 6 月 26 日至 8 月 18 日间被入侵的受害者。

具体赔偿标准： - 个人信息被查阅者，可按 $20/小时、最多 4 小时（即 $80）补偿其处理时间和不便 - 如果信息被用于申请虚假 CERB 或转移真补贴，最高可领 $200 - 两类人群均可申报因身份盗用所产生的实际支出（如信用卡费用等），最高可获 $5,000

赔偿申请将由 KPMG 负责，已设立专门网站供受害者登记。

如果最终和解金有剩余，渥太华承诺将捐给加拿大隐私与信息访问委员会，用于隐私研究。

政府否认责任，部分受害者不满金额

虽然同意和解，联邦政府强调这并不代表承认过错，"加拿大政府否认存在任何失误或责任"。

法院判决指出，只有不到 1% 的受害者选择反对和解，主要认为赔偿金额太低。法官 Southcott 承认，对于遭受严重精神、经济或健康损失的个别受害者，和解金额"可能完全不够"，但整体上仍属合理补偿。

受害者如不满，可选择退出集体诉讼，自行提起诉讼。