加拿大政府确定赔款$870万! 个人最高可领$5000

温哥华港湾（BCbay.com）原野综合报道：加拿大近年最大规模个人信息泄露事件，终于迎来赔偿结果。

2020年疫情初期，大批加拿大人突然发现自己的CRA（加拿大税务局）账户被盗：邮箱被改、银行信息被篡改，甚至有人名下莫名其妙“申请”了多笔CERB紧急补助。

短短几周内，超过4.7万名加拿大人的政府账户遭黑客入侵，大量敏感资料外泄。

时隔数年，这起震惊全国的网络安全事件终于落幕——联邦政府已同意支付870万加元，与受害者达成集体诉讼和解，部分受害者最高可获得5,000加元赔偿。

这场被称为加拿大史上最严重之一的政府账户入侵事件，也再次暴露出疫情期间联邦线上系统的巨大安全漏洞。

疫情期间爆发大规模账户入侵

事情发生在2020年夏天。当时正值疫情封锁，大量加拿大人通过CRA和Service Canada在线申请CERB等疫情补贴。就在全国最依赖政府线上服务的时候，黑客却盯上了这些账户。

根据法院文件，黑客主要使用一种名为“凭证填充”（credential stuffing）的攻击方式。简单来说，就是利用其他网站过去泄露的用户名和密码组合，大规模尝试登录CRA账户。

由于很多人习惯多个网站使用同一密码，大量账户因此被成功破解。

更严重的是，当时CRA部分验证机制存在漏洞。原本用于保护账户的二次验证程序，竟被黑客绕过。执法部门甚至在2020年8月6日就向CRA发出警告，称暗网上已经有人公开兜售这种入侵方法。

CRA随后在数天内紧急修复漏洞，并一度关闭线上服务。

大量受害者：补贴被盗、身份被冒用

但那时，损失已经造成。

大量受害者发现，自己的银行直存信息被更改，本应发给自己的CERB补贴被转入陌生账户；还有人名下被冒名申请多笔疫情福利。

被盗的信息包括社保号码、住址、电话号码、银行账户等高度敏感资料。

来自BC省Clinton的Todd Sweet成为本案主要原告之一。他在2020年7月收到“账户邮箱被修改”的通知后，登录CRA才发现，自己的直接存款资料已经被篡改，名下甚至被递交了4份CERB申请。

随着越来越多加拿大人在网上发声，类似案例迅速曝光，全国舆论哗然。

集体诉讼展开：政府被指安全措施不足

集体诉讼随后展开。原告方指控联邦政府及CRA未能提供足够安全措施，导致黑客能够长期利用系统漏洞盗取个人信息并骗取政府补贴。

虽然联邦政府最终选择和解，但仍明确表示：“不承认存在任何过错或责任。”

根据最新获批的和解协议，总赔偿金额为870万加元，其中约600万专门用于补偿在2020年6月26日至8月18日期间，因“凭证填充”攻击而被入侵账户的受害者。

赔偿标准公布：最高可领$5000

赔偿标准也正式公布：

如果个人信息曾被非法查阅，受害者可按每小时20加元计算处理相关问题所耗费的时间，最多可申报4小时，也就是最高80加元；

如果黑客利用个人信息冒名申请CERB，或盗走原本属于受害者的补贴，受害者最高可获200加元补偿；

此外，若因身份盗用产生实际经济损失，例如信用监控费用、银行卡更换费用、相关法律支出等，还可进一步申报，最高赔偿额度可达5,000加元。

赔偿申请将由KPMG负责处理，目前已设立专门登记系统供受害者申请。

部分受害者不满：赔偿远远不够

值得注意的是，法院文件显示虽然只有不到1%的受害者正式反对和解方案，但不少人认为赔偿金额远远不足。

联邦法院法官Southcott也承认，对于那些因身份盗用而遭受严重精神压力、财务损失甚至健康问题的人来说，这笔赔偿“可能完全不够”。

但法庭认为，从整体角度来看，该方案仍属于“合理范围”。

法院同时表示，不满意赔偿方案的受害者，仍可选择退出集体诉讼，自行向政府提起个人诉讼。

而如果最终赔偿金仍有剩余，联邦政府承诺，将把余额捐给加拿大隐私与信息访问委员会，用于支持隐私保护及信息安全研究。

非常值得关注的是，过去几年从CRA账户被盗，到各类银行、电信数据泄露事件，加拿大民众已越来越频繁地成为网络犯罪目标。要知道，很多黑客甚至不需要“高科技破解”，只要用户长期重复使用密码、缺乏双重验证，就可能轻易得手。

因此政府提醒广大民众，在政府加强防范措施的同时，大家也要务必随时保护好个人信息。