聯邦政府將支付870萬加元,和解一宗涉及數萬名加拿大人個人信息被黑客盜取的集體訴訟。
2020年疫情期間,黑客攻破了包括CRA門戶在內的政府網站賬戶,竊取了超過4.7萬人的社會保險號碼、家庭住址和銀行賬戶資料,主要用於冒領疫情補助。本周二,聯邦法院正式批準了這項去年12月達成的和解協議。
黑客怎麼做到的?繞過安全問題,暗網售賣攻擊手法
黑客通過“憑證填充”手法入侵CRA賬戶,即利用從其他網站泄露的用戶名和密碼嚐試登錄不同平台。通常僅輸入用戶名和密碼還不足以登錄CRA賬戶,用戶還需回答安全問題作為第二步驗證。
但法庭文件顯示,2020年夏季CRA憑證管理軟件出現配置錯誤,黑客繞過了安全問題驗證。CRA於2020年8月6日從“執法合作夥伴”處獲悉有人在暗網上售賣這種攻擊方法,四天後才修複漏洞。首席原告Todd Sweet於2020年7月發現賬戶被黑,有人修改了他的銀行信息並以他的名義提交了四次CERB申請。
你能拿多少錢?三類賠償看這裏
在870萬和解金中,約600萬將用於賠償2020年6月26日至8月18日期間賬戶遭入侵的用戶。賠償分為三類:
第一, 個人信息被訪問竊取者,可按每小時20加元申請“時間損失和不便”賠償,最多4小時即最高80加元。
第二, 黑客利用其信息申請虛假CERB福利或轉移合法CERB款項者,按同樣標準最多可申請200加元。
第三,兩類受害者還可申請最高5000加元,用於補償身份盜竊相關的自付費用,如信用卡費用或其他支出,但必須在黑客事件發生後一年內產生。該和解由畢馬威負責管理,已設立專門網站。
剩餘資金不歸政府:將捐給隱私研究
和解協議中還有一項不尋常的條款:如果資金仍有剩餘或無人認領,這筆錢不會回到政府手中。聯邦政府同意將剩餘資金捐贈給加拿大隱私與信息獲取委員會,用於資助隱私研究。CRA在聲明中否認任何不當行為,稱和解是針對存在爭議的索賠達成的妥協。
四年前,4.7萬加拿大人的SIN和銀行賬戶在黑客手中裸奔。四年後,政府拿出了870萬賠償金,真的能彌補受害者四年來被冒領福利、信用受損、精神崩潰所付出的一切嗎?
來源:
https://www.cbc.ca/news/canada/settlement-cra-account-hack-2020-federal-court-2026-9.7189102
