https://torontolife.com/city/my-online-tax-account-was-hacked-turning-my-life-upside-down-now-im-suing-the-cra/
早在2020年7月下旬,加拿大税务部门遭到黑客攻击,攻击者利用从网上其他地方窃取的用户名和密码成功登录了数千个在线账户。他们利用这些账户中的社会保险号码(SIN)、电话号码、地址、银行信息来冒充身份、实施欺诈并迅速获得CERB现金。现在,一些受害者以集体诉讼的方式起诉联邦政府。
CRA最初表示只有5600个账户受到了影响,但诉讼称,实际数字可能超过2.6万个。
据Toronto Life采访报道,其中一位原告是66岁的Don MIlls West社区居民、前IT安全顾问Stephen Real。他讲述了多年来因身份被盗而遭受的伤害。
Real说,他的噩梦开始于三年前的一个凌晨。2020年8月长周末的周日凌晨4点03分,他的手机在床头柜上响了起来。这是来自CRA的,他的直接存款账户信息被更改了。
Real马上打电话给CRA,当时没人在工作。于是他登录了”我的CRA“账户,试图弄清楚发生了什么。他立刻发现,有一个账户的存款信息从CIBC银行改成了BMO,这是他从未使用过的银行。他开始截屏。
Real一边感到很困惑,一边查了另一个门户网站,发现了一个通知说已经申请了CERB。但这完全不可能,因为Real刚刚退休,在领取最后几笔EI保险金,所以没有资格。他也从来没有申请过CERB。
不到一小时,另外两个账户也被转到了密西沙加的BMO分行。他做了更多的截图。显然,账户被黑了,这些是证据。
周末,Real一直给CRA打电话,并留言说“我被黑了!”周二早上终于联系上了,CRA并不理睬他,只说会有人回电话。直到周四,CRA才锁住了他的账户,并告诉他打电话给Equifax,以及多伦多警方的金融犯罪部门和皇家骑警。
同时,Real决定自己去调查一下。他去了密西沙加的BMO分行。当他把身份证件给前台,对方只说,“要去找经理。”一分钟后,前台人员出来说:“不得不请你离开,我们不允许讨论这件事。”前台又给了他一个总部的电话号码,让他去举报诈骗。
Real说,事情变得更奇怪了。黑客用直接存款账户申请了两笔CERB付款,在以他的名义创建的账户中存入骗来的4000元,但第三笔2000元的申领被CRA抓住了。由于某些莫名其妙的原因,系统默认又把它邮寄给了Real。黑客入侵一周后,Real收到一张从未申请过的CERB支票。他再次打电话给CRA,对方突然问:“你是怎么拿到那张支票的?”这让他觉得CRA在指责他是骗子。
之后,三个不同的CRA员工给他打电话,说法都不同。其中一个说必须把支票寄回CRA在魁北克的总部,于是Real用挂号信寄了回去,并且追踪到支票寄达和签收,可以即使是现在,三年过去了,CRA仍然在问他这张支票最后去了哪里。
2020年8月中旬,媒体开始报道这次黑客攻击,CRA承认这是安全软件的一个漏洞造成的。CRA表示,约有5600个账户可能遭入侵。但是,当Real向多伦多警方报警时,警方称在两天内就接到了2000多个来自多伦多的电话。看起来受害者的数量肯定比CRA声称的要多。
一个月后,也就是2020年9月,Real接到了一家Acura车行的电话。对方问他现在开什么车,又说他刚刚去过Acura在Woodbridge的门店,说想买一辆2020年款。Real回答不是,对方就明白了。Acura让Real举报诈骗。
这还不是最后一次诈骗。大约一年后,有人想以Real的名义买一辆价值6.5万元的雷克萨斯。自从黑客入侵以来,Real已经让Equifax封锁了他的账户,所以他不确定还有多少人尝试诈骗。每次买大件物品,他都得亲自打电话解释。
Real说,有6个月的时间,CRA完全停止与他的电子邮件联系。最后,CRA通知他不断更改密码,并监控信用记录。Real认为这是CRA的系统出故障,现在却好像在责怪他的安全措施不好。
这些日子,Real的手机总是被垃圾电话骚扰。每天都会收到大约20个,通常是在晚饭时间,对方自称是CRA或Visa的人,需要他的信用卡的安全密钥。电话一开始听起来很专业,但当Real说他自己就是CRA的。这时候,对方就会咒骂一番,然后挂断电话。Real明白了,黑客从CRA那里得到他的号码,把电话卖给了垃圾邮件发送者。
今年6月1日,Real接到一个电话,是温哥华的一位税务局员工打来的。这名女员工在家里,用手机打的。她说她必须看看带有照片的身份证才能确认Real的身份,这是她工作的第一周,还没有进入CRA的内部系统。她只找到了Real的护照。Real问能不能用Zoom看脸。她拒绝了,因为这违反政策。她问Real能否把其他身份证的照片传真给她。Real拒绝了,因为这太荒谬了。谁会有传真机?
最终,这位工作人员在文件里找到了Real的Nexus卡,双方才开始通话。显然,过去两年,他的案子由四、五个不同的调查员经手,都无法解决。她说,税务局正在考虑解锁Real的账户,让他支付去年的税款,但除此之外,他们也无能为力。
目前,Real不确定CRA到底在做什么。从第一天起,他就一直要求有人说明发生了什么,可是从来没有人告诉过他。Real在IT安全领域工作了50年,我相信CRA没有解释完整,宁愿怪罪纳税人不改密码。
2022年10月,Real签署了一项针对加拿大政府的集体诉讼,指控政府在保护在线信息方面玩忽职守,希望能补偿受害人所经历的所有困难,并要求政府对这一混乱局面负责。
Real说,他对政府失去了信心。IT工作太糟糕了:首先是黑客泄露信息,然后是有故障的ArriveCAN应用程序,然后就在本周,新斯科舍省政府被黑,泄露了10万人的社会保险号码。各级政府已经暴露出技术上的无能,CRA只是其中的一个例子。
Real说,除了那个从家里给他打电话的女人,没收到CRA的任何消息。他打电话给CRA,从来不接。过去,CRA至少会提供最新情况,或者发邮件。现在,什么也没有。
Real说:“我要你道歉。我想把我的税清理干净。我需要一个新的身份证。在此之前,我只会一次又一次地被黑客攻击。”
CRA在给Toronto Life的一份声明中表示,由于隐私问题和正在进行的诉讼,无法对此个案发表评论。CRA补充说,保护纳税人的信息是最重要的,一旦意识到潜在的身份盗窃或账户泄露事件,CRA就会与受影响的个人合作,迅速采取保护措施。