加拿大政府将支付870万美元以解决CRA账户数据泄露集体诉讼

加拿大政府将支付870万美元以解决一项集体诉讼，涉及数万名加拿大人的敏感信息在黑客攻击加拿大税务局（CRA）网站时被泄露或窃取。黑客利用“凭证填充”方法，通过泄露的用户名和密码登录到其他网站，包括CRA的MyAccount门户。

黑客主要针对在线政府账户以申请COVID-19福利，包括加拿大紧急救济福利（CERB）或加拿大紧急学生福利（CESB）。2020年夏季，超过47,000人的人员和财务信息被泄露，包括社会保险号码、家庭地址和银行账户详细信息。

集体诉讼和解协议于去年12月达成，并于周二获得法院批准。受影响的个人可以根据他们受到的影响程度申请不同金额的赔偿。联邦法院法官Richard Southcott在他的判决中写道：“我认为拟议的和解是公平、合理的，并且符合整个集体的最佳利益。”

CRA没有对截止日期前的评论请求做出回应，但在和解协议提出时发布了一份声明。声明称：“和解是对有争议的诉讼的妥协，并不承认任何被告的责任或错误。”

首席原告Todd Sweet于2020年7月发现他的账户被黑客攻击后，他收到了电子邮件，通知他与他的账户关联的电子邮件地址已被更改。他登录到CRA的在线门户，发现有人更改了他的直接存款信息，并以他的名义申请了四次CERB。

黑客使用的“凭证填充”方法是通过在一个网站泄露的用户名和密码登录到另一个网站。通常，正确的用户名和密码只是登录CRA的MyAccount门户的第一步——用户通常需要回答一个安全问题作为步骤2。但是在2020年夏季的泄露期间，Southcott之前写道，黑客能够绕过安全问题“因为CRA的凭证管理软件配置不正确。”

大约670万美元的870万美元和解金将用于为那些在2020年6月26日至8月18日期间通过“凭证填充”方法访问了政府网站的加拿大人提供补偿。其余的和解金将用于支付法律费用、关键原告的特殊荣誉费以及行政费用。受影响的个人可以根据他们的损失时间和“不便”申请每小时20美元的补偿，最高可达80美元。

雪鸮编辑认为，这起数据泄露事件对加拿大华人来说是一个警示，尤其是那些使用在线政府服务的个人。加拿大政府和CRA需要采取更加有效的措施来保护个人信息，并防止此类事件在未来发生。