加拿大政府将支付870万加元，和解涉及CRA账户数据泄露的集体诉讼

黑客主要利用被入侵的政府在线账户申请COVID-19福利

加拿大联邦政府将支付 870万加元，以和解一起集体诉讼。该诉讼涉及数万名加拿大人，他们的敏感个人信息在黑客入侵政府网站账户后被泄露或盗取，其中包括加拿大税务局（CRA）的在线账户门户。

2020年，在几个月时间里，黑客主要针对政府账户，目的是在受害者名义下申请疫情初期的经济援助，例如：

• 加拿大紧急救济金 CERB
• 加拿大紧急学生福利 CESB
• 
  

仅在2020年夏天，就有超过 47,000人 的个人和财务信息遭到泄露，包括社会保险号码、家庭住址以及银行账户信息等。

法院批准和解

这项集体诉讼和解协议在去年12月达成，并于本周二获得法院批准。部分纳税人可获得的赔偿金额会更高，具体取决于他们受到的影响程度。

联邦法院法官 Richard Southcott 在判决中写道，他认为这项拟议和解协议是“公平、合理的，并且符合整个集体诉讼群体的最佳利益”。

这项协议结束了一场持续多年的法律争议。受害者声称，政府和CRA的“失误”导致2020年期间至少发生三次网络攻击。

法院文件称，黑客利用私人信息冒充受害者，提交紧急福利的虚假申请，或者把真实的福利付款转到其他银行账户。

CRA回应：保护个人信息是优先事项

CRA周四在声明中拒绝评论案件细节，但表示保护加拿大人的个人信息，是CRA和联邦政府的“优先事项”。

CRA发言人在邮件中表示，没有任何组织能够完全免受网络事件或欺诈活动影响，因此CRA已经建立了强大的系统和工具，用于监控、侦测、调查并快速处理潜在威胁。

代表原告的遭遇

法院听取了主要原告 Todd Sweet 的情况。他来自卑诗省 Clinton。

2020年7月，他收到邮件通知，说他CRA账户关联的邮箱地址被更改了。随后他登录CRA在线门户，发现有人更改了他的直接存款信息，并以他的名义提交了四份CERB申请。

一个月后，CRA在其他加拿大人也在网上分享类似遭遇后，临时关闭了部分在线服务。

该诉讼随后在卑诗省提起，指控CRA未能妥善保护网站安全，也未能更快发现数据泄露问题。

黑客是如何入侵账户的？

黑客进入受害者CRA MyAccount账户的方式，被网络安全专家称为 credential stuffing，中文可以理解为：撞库攻击 / 凭证填充攻击

意思是：黑客使用从其他网站泄露出来的用户名和密码，尝试登录另一个网站。

这也是为什么专家一直建议大家：不同网站不要重复使用同一个密码。

通常情况下，登录CRA MyAccount时，正确的用户名和密码只是第一步，用户还需要回答安全问题作为第二步验证。

但在2020年夏天的数据泄露事件中，法院此前指出，由于CRA凭证管理软件配置错误，黑客能够绕过安全问题。

法院文件显示，CRA在2020年8月6日得知这个问题。当时一个执法合作伙伴提醒他们，有人在暗网上出售绕过方法。随后，CRA在四天后修复了该问题，并采取了其他应对措施。

和解金如何分配？

在870万加元的和解金额中，大约 600万加元 将用于赔偿相关加拿大人。

适用对象是：在 2020年6月26日至8月18日 之间，因“撞库攻击”方式导致个人信息在CRA、My Service Canada Account 或其他使用GCKey登录的政府网站中被访问的人。

剩余金额将用于：法律费用，主要原告的特别酬金，行政管理费用

这项和解将由 KPMG 负责管理，并设立了集体诉讼网站a website 。

可以赔多少钱？

如果个人信息在相关时间段被访问，受影响人士可以按以下方式索赔：

1. 时间损失和不便补偿
每小时 20加元，最多4小时。

也就是说，最高可获 80加元。

2. 如果黑客用你的信息申请虚假CERB，或转走真实CERB付款
同样按每小时20加元计算，最高可获 200加元。

3. 身份盗用相关的实际自付费用
两类受影响群体都可以申请最高 5,000加元 的自付费用赔偿。

这些费用包括在黑客事件发生后一年内，因身份盗用而产生的信用卡费用或其他相关费用。

未领取的剩余款项不会回到政府手中

如果和解金额中有剩余或无人领取的款项，这些钱不会留给政府。

渥太华方面同意，将剩余款项捐给 Privacy and Access Council of Canada，用于资助隐私研究。

有人认为赔偿太少

共有29人反对这项和解，不到整个集体诉讼群体的1%。

根据判决，大多数反对者认为赔偿金额太低。

法官 Southcott 表示，这些人有一段时间可以选择退出集体诉讼。如果他们退出，就可以自行提起诉讼。

法官也承认，对部分受害者来说，这项和解可能“完全不足够”，尤其是那些声称遭受严重精神、身体和经济伤害的人。

不过他表示，这项协议的目的，是为整个集体诉讼群体提供一个“合理水平的赔偿”。

简单总结

2020年疫情初期，黑客通过“撞库攻击”入侵了CRA和其他政府账户，盗取或访问了数万名加拿大人的个人和财务信息，并用部分人的身份申请CERB等福利。

现在加拿大政府同意支付 870万加元 来和解集体诉讼。

普通受影响者最多可索赔 80加元；如果被冒名申请或转走CERB，最多可索赔 200加元；如果有身份盗用相关实际损失，最高可索赔 5,000加元。