多伦多一名男子在加拿大税务局(CRA)的个人信息被黑客获取,窃贼不断以他的名义申请各种信用卡、贷款,而政府却要求该男子为窃贼的行为买单。税务局却表示不承担任何损失。
穆西(Justice Mounsey)等人去年在联邦法院的集体诉讼获得确认,该项诉讼声称政府的「操作失误」导致黑客获得了个人信息。
据法庭文件,2020年春夏之际,黑客成功登录了至少48,110个税务局账户。然后,他们更改了12700个纳税人账户的直接存款银行信息,并欺诈性地申请了CERB福利。黑客至少18次试图以穆西的名义获取贷款和福利。
两年半后,税务局才正式通知穆西,他可能是黑客攻击的受害人,但是并没有免除他的税款和利息。一份日期为2022年10月4日的税务局信函称,「未经授权的个人」可能在2020年5月27日访问了他的账户,并更改了他的直接存款信息。但并没有说不会追究穆西的赔偿责任。而且根据税务局网站的条款和条件,它不对与「数据安全违规」相关的纳税人损失负责。2023年3月,税务局又发了一封信,要求他支付6018.97元,否则可能面临与这些欺诈性索赔相关的税收和利息费用的法律诉讼。
穆西现在要处理多宗欺诈性信用卡和银行账户申请,向一家公用事业公司自动付款,以及4份就业保险(EI)和1份加拿大紧急响应补助金(CERB)索赔,总计约4万元。而政府还要求穆西支付数千元的就业保险相关的税款和利息。他说:「政府要求我支付的钱愈来愈多。我是受害人,是政府的安全协议有漏洞,却要我埋单。」
政府没有对诉讼发表评论,但表示网络攻击依赖于「凭证填充」——使用被盗的id和密码访问其他网站和应用程式——并敦促用户避免重复使用密码。一些人认为这是试图将泄密归咎于受害人。
税务局表示,自黑客入侵以来已经提高了网站的安全性,包括增加强制性的多因素身分验证,并主动撤销可能在其他地方被盗的用户id和密码,现在纳税人安全使用税务局网站。
安全分析师、技术律师科塔克(Ritesh Kotak)说:「归根结底,一名普通人成了网络攻击的受害人,他必须同很多机构沟通,花几百个小时解决这个问题,这是不对的。」
穆西。(CBC)
