温哥华天空
据CBC报道,今年报税季的高峰期,加拿大税务局(CRA)遭遇了一次重大数据泄露事件,黑客窃取了加拿大最大的报税公司之一H&R Block Canada的机密数据。
CBC的《The Fifth Estate》栏目和Radio-Canada的调查显示,黑客利用H&R Block的机密凭证,未经授权访问了数百名加拿大人的CRA账户,修改直接存款信息,提交虚假报税表,最终盗取了超过600万加元的虚假退税款项。
一个案例中的虚假地址
在一个具体案例中,黑客使用了真实的邮政编码,但虚构了一个名为“Tomato Street”的假地址提交退税申请。魁北克市拉瓦尔大学的税务副教授André Lareau表示,“显然,系统的安全大门已经被打开,而CRA似乎还没有找到关闭它的方法。”
内部应对与媒体反应
据知情人士透露,此事件引发了CRA与税务部长Marie-Claude Bibeau办公室的沟通。CRA准备了专门的媒体应对方案,以在事件曝光后对公众质疑作出回应。然而,公众并未得到通知,税务部长Bibeau也拒绝了CBC的采访请求。
H&R Block在声明中表示,没有证据表明数据泄露源自该公司,并称经过“全面的内部调查”,其数据、系统和安全均未受到影响。该公司强调,受影响的加拿大纳税人并非其客户。
黑客的身份仍然未知
CRA未能确定黑客身份,也排除了其系统被入侵或内部员工参与的可能性。目前,究竟是谁入侵以及从哪里入侵仍未确定。税务部长和CRA的媒体办公室均未对此事件作出回应。
电子密钥的泄露
黑客获得了H&R Block的电子申报凭证,这些凭证是会计师在代表纳税人提交申报表时使用的机密密钥。最终,黑客利用这些信息获取了纳税人的报税数据,修改了银行和地址信息,申请虚假退税和税收抵免。
“先付款后追讨”
据消息人士透露,CRA的“先付款后追讨”政策增加了打击欺诈退税的难度。这一政策的目的是尽快向公众发放退税,随后再进行审计。内部审计员发现,CRA在2024年被骗支付了600多万加元,但也阻止了多达1400万加元的虚假退税款项。
6万多名纳税人受影响
据CBC调查,H&R Block数据泄露事件只是CRA面临的众多挑战之一。CRA的审计和调查人员担心,公众可能会因此对该机构的信任度产生质疑。
据Lareau教授称,应该对该事件进行议会调查,以明确事件的严重性,并要求CRA和部长对此作出解释。他认为,CRA有义务向隐私专员报告重大数据泄露事件。
数据泄露严重程度
CRA承认,从2020年3月到2023年12月,机构内部共发生超过31,468起“重大”隐私泄露事件,影响了6.2万名加拿大纳税人。CRA表示,个人纳税人在信息泄露时会收到通知,并提供必要的信用保护。
知情人士指出,CRA并不总是与金融机构共享关键欺诈信息,内部沟通的不足也可能影响追踪黑客的速度。CRA在声明中表示,疫情期间紧急福利金的推出导致了报告的违规事件显著增加,机构已加强对纳税人账户的保护措施,并持续调整以应对新的欺诈手法。
CRA发言人Kim Thiffault表示,随着欺诈者的手法不断变化,CRA也在不断改进防御策略。
