联邦政府将支付870万加元,和解一宗涉及数万名加拿大人个人信息被黑客盗取的集体诉讼。
2020年疫情期间,黑客攻破了包括CRA门户在内的政府网站账户,窃取了超过4.7万人的社会保险号码、家庭住址和银行账户资料,主要用于冒领疫情补助。本周二,联邦法院正式批准了这项去年12月达成的和解协议。
黑客怎么做到的?绕过安全问题,暗网售卖攻击手法
黑客通过“凭证填充”手法入侵CRA账户,即利用从其他网站泄露的用户名和密码尝试登录不同平台。通常仅输入用户名和密码还不足以登录CRA账户,用户还需回答安全问题作为第二步验证。
但法庭文件显示,2020年夏季CRA凭证管理软件出现配置错误,黑客绕过了安全问题验证。CRA于2020年8月6日从“执法合作伙伴”处获悉有人在暗网上售卖这种攻击方法,四天后才修复漏洞。首席原告Todd Sweet于2020年7月发现账户被黑,有人修改了他的银行信息并以他的名义提交了四次CERB申请。
你能拿多少钱?三类赔偿看这里
在870万和解金中,约600万将用于赔偿2020年6月26日至8月18日期间账户遭入侵的用户。赔偿分为三类:
第一, 个人信息被访问窃取者,可按每小时20加元申请“时间损失和不便”赔偿,最多4小时即最高80加元。
第二, 黑客利用其信息申请虚假CERB福利或转移合法CERB款项者,按同样标准最多可申请200加元。
第三,两类受害者还可申请最高5000加元,用于补偿身份盗窃相关的自付费用,如信用卡费用或其他支出,但必须在黑客事件发生后一年内产生。该和解由毕马威负责管理,已设立专门网站。
剩余资金不归政府:将捐给隐私研究
和解协议中还有一项不寻常的条款:如果资金仍有剩余或无人认领,这笔钱不会回到政府手中。联邦政府同意将剩余资金捐赠给加拿大隐私与信息获取委员会,用于资助隐私研究。CRA在声明中否认任何不当行为,称和解是针对存在争议的索赔达成的妥协。
四年前,4.7万加拿大人的SIN和银行账户在黑客手中裸奔。四年后,政府拿出了870万赔偿金,真的能弥补受害者四年来被冒领福利、信用受损、精神崩溃所付出的一切吗?
来源:
https://www.cbc.ca/news/canada/settlement-cra-account-hack-2020-federal-court-2026-9.7189102
