加拿大纳税人被CRA坑惨，还被催还钱！冤不冤？

（加西网综合）在疫情大流行期间，加拿大联邦政府向陷入困境的加拿大人发放了临时应急补贴 CERB 和复苏津贴 CRB 等，但在大流行结束之后，加拿大国税局开始追讨那些不符合条件的申领者，要求他们退回不当领取的政府补贴。

截止到 2022 年末，加拿大国税局 CRA 累计向超过 26 万名加拿大人发出通知，要求他们退回不恰当领取的政府补贴款，根据 CRA 的说法，全国有超过 12 亿加元的不当领取的政府福利补贴款有待退回。

难能可贵的是，其中不少人在收到 CRA 的通知之后便即使退回了误领的补贴款。

但对于那些本身就是 CRA 网站的“受害者”来说，这些莫名其妙要求退回的钱让他们陷入困境。

多伦多居民 Justice Mounsey 就是其中之一。

作为不符合条件申领政府补贴的纳税人，Justice Mounsey 一直在接受 CRA 的催款中，但 Mounsey 表示自己也很委屈，他的信息就是在 CRA 网站被盗的，他也很冤啊……

早在 2020 年 CRA 网站被黑客攻击的时候，Justice Mounsey 就成为受害者，他在 CRA 的账户被盗，他的个人财务信息被黑客获取之后，几年来一直深陷被政府追讨多领的福利、以及召回个人合法信息的困境中。

在加拿大税务局 (CRA) 和其他政府服务网站于 2020 年春夏季遭到黑客攻击后，成千上万纳税人的个人和财务信息，包括他们的银行账户和社会保险号码，最终落入了坏人之手。

纳税人背负$4万加元政府欠账

从那以后，黑客至少 18 次试图以 Mounsey 的名义获得信贷和福利。

Mounsey 不得不处理欺诈性信用卡、银行账户申请、向公用事业公司自动付款——以及四项 EI 索赔和一项 CERB 索赔，总计约 $40,000 元。

Mounsey 表示，最令人沮丧的是，CRA 不断要求他支付那些 EI 和 CERB 的款项以及利息，这样让这个需要偿还的资本债务越来越多。但事实上，他自己本身就是受害者，问题的根源是 CRA 网站的安全协议失效、但却让他个人收拾残局。

像 Mounsey 这样的受害者并非个例，如今他是集体诉讼的一部分，该诉讼于去年在联邦法院得到证实，该诉讼称由于政府的“操作失误”允许黑客访问信息，使得这些人成为被攻击的对象。

根据法庭文件，黑客成功登录了至少 48,110 个 CRA 账户。然后，他们更改了 12,700 个纳税人账户的直接存款银行信息，并欺诈性地申请了 CERB 福利。Mounsey 就是其中之一。

CRA 的态度和速度

作为联邦政府重要机构，CRA 尚未对诉讼发表评论，但表示网络攻击依赖于“凭据填充”——使用被盗的 ID 和密码访问其他网站和应用程序——并敦促加拿大人避免重复使用密码。有分析认为，这是政府企图将泄密事件归咎于受害者。

Mounsey 在 2020 年夏天通过他妻子的朋友首次了解到网络攻击，她的朋友发现她的 CRA 账户被黑了。

当他登录时，他注意到他自己的直接存款信息已被更改。他注册了一项信用监控和欺诈警报服务，并联系了 Equifax、TransUnion、CRA 和反欺诈中心，要求在他的账户上标记。

然而，在长达两年半之后，CRA 才正式通知 Mounsey 他可能成为黑客攻击的受害者。事实上，这个时候 Mounsey 已经处理了大量的欺诈问题。

一封日期为 2022 年 10 月 4 日的 CRA 信件称，“一名未经授权的个人”可能在 2020 年 5 月 27 日访问了他的账户并更改了他的直接存款信息。它提供了 TransUnion 在线信用警报系统的五年订阅服务。Mounsey 说他曾尝试注册，但链接不起作用，而且他早在几年前就自己建立了信用欺诈检测服务。

Mounsey 当时天真的以为，这是政府承认信息被盗、因此他认为，终于有人明白情况了，那么他将不会再收到 CRA 的催款通知了，他以为 CRA 将会支持他。

然而，……

这封信中并没有说 CRA 将会不再追讨 Mounsey 本人名下领走的钱，而且，根据 CRA 网站上的条款和条件，它不对与“数据安全违规”相关的纳税人损害负责。

Mounsey 对他最终会得到政府帮助的乐观情绪很快就消退了。2023 年 3 月，CRA 又发了一封信，要求他支付 6,018.97 元，否则可能面临与这些欺诈性 EI 申请相关的税款和利息费用的法律诉讼。

而且，CRA 发来明确的法律威胁，包括四份不同的通知，归纳为一句话就是——如果不偿还这些钱，将面临法律惩罚，以及没收工资收入。

几个月来，Mounsey 一直在加拿大服务部门（Service Canada）和 CRA 之间奔波，需要将其中一个部门的文书交给另一个部门。尽管加拿大服务部在 4 月下旬发出的一封信中承认，欺诈者可能使用了 Mounsey 的个人信息来提交这些 EI 申请，但所有这一切都发生了。

而 CRA 则关闭了他的个人档案，理由是加拿大服务部取消税单的时间太长。

总之，两个联邦政府的部门之间互不连通，受害人只能自己两边奔波。当媒体询问两个部门为何不能联动、互通信息时，得到了如下的回复：

• 加拿大服务部：它和 CRA 是“两个独立的实体，具有不同的能力和责任”。加拿大服务部与索赔人密切合作，尽快解决这些与欺诈性 EI 申请相关的问题

• CRA：由于《所得税法》的保密规定，它不能对具体的纳税人情况发表评论。一般来说，在确认身份盗窃事件的情况下，CRA 将确保采取适当的保护和纠正措施，从而使纳税人能够与 CRA 无缝互动。

不过这些说辞被律师兼网络安全分析师 Ritesh Kotak 反驳，政府未能向陷入 CRA 网站黑客攻击的加拿大人提供恰当的支持。在受害人 CRA 账户信息被盗之后，CRA 与受害人之间没有做到无缝互动。

CRA 网站的安全性以及免责声明

CRA 表示，自黑客入侵以来，该机构已经提高了网站的安全性，包括添加强制性多因素身份验证和主动撤销可能在其他地方被盗的用户 ID 和密码。CRA 明确说：“加拿大人可以放心、安全地使用 CRA 的在线服务”。

但网络安全公司 We Hack Purple 的首席执行官兼创始人 Tanya Janca 表示，该网站仍然缺乏一些基本的安全措施。

她说，首先，它没有安全标头（security headers），一种配置用户浏览器以在访问网站时使用防御设置的功能——而这也是联邦政府安全政策所要求的。但 CRA 网站没有。

当被媒体询问缺少标头时，CRA 没有做出回应。

Tanya Janca 还担心该网站的条款和条件，称如果账户被黑，联邦部门将放弃责任，因为纳税人没有选择与该机构分享他们的敏感信息。简单来说，这就意味着信息被盗之后，CRA概不负责，因为这些条款中已经明确表示：网站“极有可能违反数据安全”，并且 CRA“对您可能因此遭受的任何损失概不负责”。

对于这一说辞，CRA 向媒体表示，这是各种银行和政府网站常见的免责声明。

在被黑客攻击、信息从 CRA 网站流失近三年之后，Mounsey 仍然在处理他的各种信用、财务、以及个人信誉方面的难题。他现在正在通过加拿大服务部申请一个新的社会保险号码，但这可能并没有多大帮助，因为他本人还需对旧的社保号负责。

目前 Mounsey 和一些与他同样陷入困境的人的集体诉讼还在受理中，这份委屈恐怕还将持续一段时间。

ref：

https://www.cbc.ca/news/canada/toronto/cra-cyber-attack-victim-fraud-1.6845430

https://www.cbc.ca/news/politics/thousands-canadians-expected-to-repay-pandemic-benefits-1.6656937