加拿大政府確定賠款$870萬! 個人最高可領$5000! 有你嗎？

來源：溫哥華港灣

加拿大近年最大規模個人信息泄露事件，終于迎來賠償結果。

2020年疫情初期，大批加拿大人突然發現自己的CRA（加拿大稅務局）賬戶被盜：郵箱被改、銀行信息被篡改，甚至有人名下莫名其妙“申請”了多筆CERB緊急補助。

短短幾周內，超過4.7萬名加拿大人的政府賬戶遭黑客入侵，大量敏感資料外泄。

時隔數年，這起震驚全國的網絡安全事件終于落幕——聯邦政府已同意支付870萬加元，與受害者達成集體訴訟和解，部分受害者最高可獲得5,000加元賠償。

這場被稱為加拿大史上最嚴重之一的政府賬戶入侵事件，也再次暴露出疫情期間聯邦線上系統的巨大安全漏洞。

疫情期間爆發大規模賬戶入侵

事情發生在2020年夏天。當時正值疫情封鎖，大量加拿大人通過CRA和Service Canada在線申請CERB等疫情補貼。就在全國最依賴政府線上服務的時候，黑客卻盯上了這些賬戶。

根據法院文件，黑客主要使用一種名為“憑證填充”（credential stuffing）的攻擊方式。簡單來說，就是利用其他網站過去泄露的用戶名和密碼組合，大規模嘗試登錄CRA賬戶。

由于很多人習慣多個網站使用同一密碼，大量賬戶因此被成功破解。

更嚴重的是，當時CRA部分驗證機制存在漏洞。原本用于保護賬戶的二次驗證程序，竟被黑客繞過。執法部門甚至在2020年8月6日就向CRA發出警告，稱暗網上已經有人公開兜售這種入侵方法。

CRA隨后在數天內緊急修復漏洞，并一度關閉線上服務。

大量受害者：補貼被盜、身份被冒用

但那時，損失已經造成。

大量受害者發現，自己的銀行直存信息被更改，本應發給自己的CERB補貼被轉入陌生賬戶；還有人名下被冒名申請多筆疫情福利。

被盜的信息包括社保號碼、住址、電話號碼、銀行賬戶等高度敏感資料。

來自BC省Clinton的Todd Sweet成為本案主要原告之一。他在2020年7月收到“賬戶郵箱被修改”的通知后，登錄CRA才發現，自己的直接存款資料已經被篡改，名下甚至被遞交了4份CERB申請。

隨著越來越多加拿大人在網上發聲，類似案例迅速曝光，全國輿論嘩然。

集體訴訟展開：政府被指安全措施不足

集體訴訟隨后展開。原告方指控聯邦政府及CRA未能提供足夠安全措施，導致黑客能夠長期利用系統漏洞盜取個人信息并騙取政府補貼。

雖然聯邦政府最終選擇和解，但仍明確表示：“不承認存在任何過錯或責任。”

根據最新獲批的和解協議，總賠償金額為870萬加元，其中約600萬專門用于補償在2020年6月26日至8月18日期間，因“憑證填充”攻擊而被入侵賬戶的受害者。

賠償標準公布：最高可領$5000

賠償標準也正式公布：

如果個人信息曾被非法查閱，受害者可按每小時20加元計算處理相關問題所耗費的時間，最多可申報4小時，也就是最高80加元；

如果黑客利用個人信息冒名申請CERB，或盜走原本屬于受害者的補貼，受害者最高可獲200加元補償；

此外，若因身份盜用產生實際經濟損失，例如信用監控費用、銀行卡更換費用、相關法律支出等，還可進一步申報，最高賠償額度可達5,000加元。

賠償申請將由KPMG負責處理，目前已設立專門登記系統供受害者申請。

部分受害者不滿：賠償遠遠不夠

值得注意的是，法院文件顯示雖然只有不到1%的受害者正式反對和解方案，但不少人認為賠償金額遠遠不足。

聯邦法院法官Southcott也承認，對于那些因身份盜用而遭受嚴重精神壓力、財務損失甚至健康問題的人來說，這筆賠償“可能完全不夠”。

但法庭認為，從整體角度來看，該方案仍屬于“合理范圍”。

法院同時表示，不滿意賠償方案的受害者，仍可選擇退出集體訴訟，自行向政府提起個人訴訟。

而如果最終賠償金仍有剩余，聯邦政府承諾，將把余額捐給加拿大隱私與信息訪問委員會，用于支持隱私保護及信息安全研究。

非常值得關注的是，過去幾年從CRA賬戶被盜，到各類銀行、電信數據泄露事件，加拿大民眾已越來越頻繁地成為網絡犯罪目標。要知道，很多黑客甚至不需要“高科技破解”，只要用戶長期重復使用密碼、缺乏雙重驗證，就可能輕易得手。

因此政府提醒廣大民眾，在政府加強防范措施的同時，大家也要務必隨時保護好個人信息。