曾在加拿大政府官網、CRA賬戶或GCKey登錄係統中遭遇信息泄露的加拿大人,可能即將獲得政府賠償。根據最新披露的一項擬議集體訴訟和解方案,符合條件者最高可申請5,000加元補償。這起和解源於2020年加拿大政府係統遭遇的大規模網絡攻擊事件。
事件背景:CRA與政府係統遭“憑證填充”攻擊
2020年3月至8月期間,加拿大多個政府在線服務平台遭遇“憑證填充”(credential stuffing)網絡攻擊,攻擊者利用此前泄露的賬號密碼組合,非法登錄部分用戶的政府賬戶。受影響的平台包括:CRA賬戶、My Service Canada賬戶、通過 GCKey 登錄的政府在線賬戶。部分受害者的賬戶信息被訪問,甚至被冒用申請CERB、CESB或EI等福利。隨後,納稅人Todd Sweet對Canada Revenue Agency及聯邦政府提起集體訴訟,指控政府在保護公民隱私與敏感信息方面存在疏忽。
擬議和解已達成,仍待法院批準
2025年10月,聯邦政府與原告就擬議和解方案達成一致。該和解仍需法院批準,聽證日期定於2026年3月31日。加拿大財政委員會秘書處表示,加拿大政府與全球各國政府和私營機構一樣,持續面臨複雜的網絡安全威脅,並已向可能受影響的用戶發出通知。
誰有資格申請賠償?
根據政府公告,符合以下條件的人可能屬於集體成員:
在 2020年3月1日至12月31日 期間
加拿大政府在線賬戶中的個人或財務信息被未經授權訪問
涉及 CRA、My Service Canada 或 GCKey 登錄的賬戶
但並非所有集體成員都可獲賠。真正具備索賠資格者,需同時滿足:
攻擊發生在 2020年6月15日至8月30日 之間
屬於“憑證填充”攻擊受害者
個人信息被訪問,或被訪問並用於欺詐用途
收到 KPMG索賠管理員通知郵件 的用戶,通常意味著具備潛在索賠資格。
能賠多少錢?三種賠償方式一覽
如果法院批準和解,賠償將分為三類:
訪問索賠(無欺詐):僅信息被訪問、未被用於欺詐按處理事件所花時間計算,每小時20加元,最多4小時,最高80加元。
欺詐索賠(被冒用):如福利被冒領、資金被轉走每小時20加元,最多10小時,最高200加元
特別賠償基金(最高5,000加元):如因數據泄露產生實際經濟損失
包括未報銷的欺詐損失、身份盜用相關專業費用、信用凍結、罰款等支出,最高可申請5,000加元
現在需要做什麼?
暫時什麼都不用做。政府表示:除非你選擇退出,否則將自動成為集體成員,若法院批準和解,將收到正式通知,說明索賠流程
一句話提醒:
如果你在 2020年 用過 CRA 或政府在線賬戶,尤其收到過“賬戶異常”或“KPMG索賠通知”郵件,這筆錢,你很可能有份。
來源:https://dailyhive.com/canada/cra-sweet-hmk-settlement
