加拿大联邦政府近日正式同意支付 870 万加元，就一起涉及加拿大税务局（CRA）账户大规模数据泄露的集体诉讼达成和解。这场持续数年的案件，再次让无数加拿大人意识到：在数字时代，个人信息泄露的风险，可能远比想象中严重。

而最让不少受害者愤怒的是——超过 4.7 万名加拿大人的社会保险号（SIN）、银行账户、家庭住址等敏感资料遭到黑客窃取后，很多人最终能获得的赔偿金额，可能只有几十到几百加元。

CRA系统曾遭大规模入侵，4.7万人信息外泄

这场事件最早发生在 2020 年疫情期间。

当时，加拿大政府推出 CERB（加拿大紧急救济金）和 CESB（加拿大紧急学生福利金）等疫情补助计划，大量民众开始频繁登录 CRA 网站与政府线上账户系统。

黑客正是在这一时期，针对加拿大政府平台发动了大规模网络攻击。

根据法庭文件披露，仅在 2020 年夏天，就有超过 4.7 万名加拿大人的个人与财务信息遭泄露，包括：

• 社会保险号（SIN）
• 家庭住址
• 银行账户资料
• CRA账户信息
• 福利金申请记录

黑客随后利用这些资料，冒充受害者身份申请 CERB 等疫情补助，甚至直接将合法福利款项转入其他银行账户。

本次集体诉讼于去年 12 月达成和解，并于本周正式获得法院批准。

联邦法院法官 Richard Southcott 在裁决中表示：

“我认为拟定的和解方案公平合理，符合全体诉讼成员的最大利益。”

不过，大量受害者显然并不认同。

黑客如何攻破CRA？问题竟出在密码复用

根据网络安全专家分析，这次攻击并非传统意义上的“黑客暴力破解”，而是使用了名为“凭证填充攻击（Credential Stuffing）”的方法。

简单来说，就是黑客利用其他网站此前已经泄露的用户名与密码，批量尝试登录 CRA 账户。

由于很多人习惯多个网站共用同一个密码，因此只要一个网站数据泄露，其他账户也可能被连带攻破。

更严重的是，CRA 原本应该要求用户进行二次安全验证，但法庭文件指出，2020 年夏天，CRA 的凭证管理软件存在配置错误，导致部分黑客竟然可以绕过安全问题验证，直接进入账户。

直到 2020 年 8 月 6 日，执法机构发现有人在暗网公开出售这套入侵方法后，CRA 才意识到问题严重性。

四天后，税务局才完成漏洞修复。

期间，黑客不仅攻击了 CRA，还利用同样方式入侵了加拿大服务局（Service Canada）以及所有使用 GCKey 登录的联邦政府账户系统。

很多人至今仍在承受后果

法庭文件披露，来自卑诗省 Clinton 的首席原告 Todd Sweet 就是受害者之一。

2020 年 7 月，他收到邮件提醒，发现自己的 CRA 账户绑定邮箱被更改。登录后台后，他发现：

• 银行直接存款信息已被篡改
• 有人冒充他申请了四笔 CERB 福利
• 账户控制权一度被完全夺走

类似案例在当年夏天大量出现，最终 CRA 一度紧急关闭线上服务。

不少受害者后来不仅面临财务损失，还长期遭受身份盗用、信用记录受损以及精神压力问题。

法官也坦言，对于部分遭受严重精神、经济与身份盗窃创伤的受害者来说，本次赔偿其实“远远不足”。

870万赔偿怎么分？很多人最多只能拿80元

根据和解协议，870 万加元中约 600 万将用于赔偿受影响民众，其余部分则用于：

• 律师费
• 原告专项补偿
• 行政与运营成本

赔偿金额将根据受害程度不同而有所区别。

例如：

• 若个人信息在 2020 年 6 月 26 日至 8 月 18 日期间遭泄露，可按每小时 20 加元标准，申请最多 4 小时的时间与精神不便补偿，最高仅 80 加元。
• 若遭遇 CERB 欺诈申请或福利金被盗，可额外申请最高 200 加元补偿。
• 部分受害者还可申请最高 5000 加元，用于报销身份盗窃后产生的实际支出，例如信用卡费用、文件补办等。

负责本次和解管理的是 KPMG，并已建立专门的理赔网站。

但大量受害者认为赔偿金额严重偏低。

共有 29 人正式提出异议，认为补偿根本无法覆盖实际损失。

CRA再次提醒：这些邮件和短信都不是官方的

随着报税季接近尾声，加拿大税务局近期再次提醒民众，大量诈骗分子仍在冒充 CRA 发送邮件、短信和电话。

CRA 特别强调：

• 官方邮件通常不会带附件
• 不会要求点击链接输入个人信息
• 不会通过短信索要账户资料
• 不会用“坐牢”“冻结账户”等语言威胁纳税人

真正的 CRA 官方邮箱，只会使用 “@cra-arc.gc.ca” 域名。

如果收到任何可疑邮件、短信或电话，最安全的做法永远是：

不要点击链接，不要提供验证码，不要回复。

直接通过 CRA 官网自行登录账户核实。

AiF Insight

这次事件其实再次说明一个现实：

在数字时代，最大的风险已经不仅仅是“投资亏钱”，而是个人数据、身份信息与账户安全本身。

越来越多诈骗和黑客攻击，已经从“随机诈骗”升级为“精准诈骗”。

你的手机号、邮箱、银行信息、社保号，一旦被泄露，后果可能持续很多年。

很多加拿大人过去总觉得：

“我又没多少钱，黑客不会盯上我。”

但现实是，骗子真正看中的，从来不是你账户里现在有多少钱，而是你的身份、信用、税务资料以及未来还能被利用的金融信息。

未来几年，类似的身份盗窃、假冒CRA、银行短信诈骗、投资诈骗，很可能只会越来越多。

因为 AI 与自动化技术，正在让诈骗成本越来越低，而诈骗效率越来越高。

对于普通人来说，保护账户安全、避免密码重复使用、开启双重验证，已经不再是“懂电脑的人才需要做的事”，而是所有加拿大居民都必须具备的基本金融安全意识。