加拿大政府確定賠款$870萬(wàn)! 個(gè)人最高可領(lǐng)$5000! 有你嗎？

來(lái)源：溫哥華港灣

加拿大近年最大規(guī)模個(gè)人信息泄露事件，終于迎來(lái)賠償結(jié)果。

2020年疫情初期，大批加拿大人突然發(fā)現(xiàn)自己的CRA（加拿大稅務(wù)局）賬戶被盜：郵箱被改、銀行信息被篡改，甚至有人名下莫名其妙“申請(qǐng)”了多筆CERB緊急補(bǔ)助。

短短幾周內(nèi)，超過(guò)4.7萬(wàn)名加拿大人的政府賬戶遭黑客入侵，大量敏感資料外泄。

時(shí)隔數(shù)年，這起震驚全國(guó)的網(wǎng)絡(luò)安全事件終于落幕——聯(lián)邦政府已同意支付870萬(wàn)加元，與受害者達(dá)成集體訴訟和解，部分受害者最高可獲得5,000加元賠償。

這場(chǎng)被稱為加拿大史上最嚴(yán)重之一的政府賬戶入侵事件，也再次暴露出疫情期間聯(lián)邦線上系統(tǒng)的巨大安全漏洞。

疫情期間爆發(fā)大規(guī)模賬戶入侵

事情發(fā)生在2020年夏天。當(dāng)時(shí)正值疫情封鎖，大量加拿大人通過(guò)CRA和Service Canada在線申請(qǐng)CERB等疫情補(bǔ)貼。就在全國(guó)最依賴政府線上服務(wù)的時(shí)候，黑客卻盯上了這些賬戶。

根據(jù)法院文件，黑客主要使用一種名為“憑證填充”（credential stuffing）的攻擊方式。簡(jiǎn)單來(lái)說(shuō)，就是利用其他網(wǎng)站過(guò)去泄露的用戶名和密碼組合，大規(guī)模嘗試登錄CRA賬戶。

由于很多人習(xí)慣多個(gè)網(wǎng)站使用同一密碼，大量賬戶因此被成功破解。

更嚴(yán)重的是，當(dāng)時(shí)CRA部分驗(yàn)證機(jī)制存在漏洞。原本用于保護(hù)賬戶的二次驗(yàn)證程序，竟被黑客繞過(guò)。執(zhí)法部門甚至在2020年8月6日就向CRA發(fā)出警告，稱暗網(wǎng)上已經(jīng)有人公開兜售這種入侵方法。

CRA隨后在數(shù)天內(nèi)緊急修復(fù)漏洞，并一度關(guān)閉線上服務(wù)。

大量受害者：補(bǔ)貼被盜、身份被冒用

但那時(shí)，損失已經(jīng)造成。

大量受害者發(fā)現(xiàn)，自己的銀行直存信息被更改，本應(yīng)發(fā)給自己的CERB補(bǔ)貼被轉(zhuǎn)入陌生賬戶；還有人名下被冒名申請(qǐng)多筆疫情福利。

被盜的信息包括社保號(hào)碼、住址、電話號(hào)碼、銀行賬戶等高度敏感資料。

來(lái)自BC省Clinton的Todd Sweet成為本案主要原告之一。他在2020年7月收到“賬戶郵箱被修改”的通知后，登錄CRA才發(fā)現(xiàn)，自己的直接存款資料已經(jīng)被篡改，名下甚至被遞交了4份CERB申請(qǐng)。

隨著越來(lái)越多加拿大人在網(wǎng)上發(fā)聲，類似案例迅速曝光，全國(guó)輿論嘩然。

集體訴訟展開：政府被指安全措施不足

集體訴訟隨后展開。原告方指控聯(lián)邦政府及CRA未能提供足夠安全措施，導(dǎo)致黑客能夠長(zhǎng)期利用系統(tǒng)漏洞盜取個(gè)人信息并騙取政府補(bǔ)貼。

雖然聯(lián)邦政府最終選擇和解，但仍明確表示：“不承認(rèn)存在任何過(guò)錯(cuò)或責(zé)任。”

根據(jù)最新獲批的和解協(xié)議，總賠償金額為870萬(wàn)加元，其中約600萬(wàn)專門用于補(bǔ)償在2020年6月26日至8月18日期間，因“憑證填充”攻擊而被入侵賬戶的受害者。

賠償標(biāo)準(zhǔn)公布：最高可領(lǐng)$5000

賠償標(biāo)準(zhǔn)也正式公布：

如果個(gè)人信息曾被非法查閱，受害者可按每小時(shí)20加元計(jì)算處理相關(guān)問(wèn)題所耗費(fèi)的時(shí)間，最多可申報(bào)4小時(shí)，也就是最高80加元；

如果黑客利用個(gè)人信息冒名申請(qǐng)CERB，或盜走原本屬于受害者的補(bǔ)貼，受害者最高可獲200加元補(bǔ)償；

此外，若因身份盜用產(chǎn)生實(shí)際經(jīng)濟(jì)損失，例如信用監(jiān)控費(fèi)用、銀行卡更換費(fèi)用、相關(guān)法律支出等，還可進(jìn)一步申報(bào)，最高賠償額度可達(dá)5,000加元。

賠償申請(qǐng)將由KPMG負(fù)責(zé)處理，目前已設(shè)立專門登記系統(tǒng)供受害者申請(qǐng)。

部分受害者不滿：賠償遠(yuǎn)遠(yuǎn)不夠

值得注意的是，法院文件顯示雖然只有不到1%的受害者正式反對(duì)和解方案，但不少人認(rèn)為賠償金額遠(yuǎn)遠(yuǎn)不足。

聯(lián)邦法院法官Southcott也承認(rèn)，對(duì)于那些因身份盜用而遭受嚴(yán)重精神壓力、財(cái)務(wù)損失甚至健康問(wèn)題的人來(lái)說(shuō)，這筆賠償“可能完全不夠”。

但法庭認(rèn)為，從整體角度來(lái)看，該方案仍屬于“合理范圍”。

法院同時(shí)表示，不滿意賠償方案的受害者，仍可選擇退出集體訴訟，自行向政府提起個(gè)人訴訟。

而如果最終賠償金仍有剩余，聯(lián)邦政府承諾，將把余額捐給加拿大隱私與信息訪問(wèn)委員會(huì)，用于支持隱私保護(hù)及信息安全研究。

非常值得關(guān)注的是，過(guò)去幾年從CRA賬戶被盜，到各類銀行、電信數(shù)據(jù)泄露事件，加拿大民眾已越來(lái)越頻繁地成為網(wǎng)絡(luò)犯罪目標(biāo)。要知道，很多黑客甚至不需要“高科技破解”，只要用戶長(zhǎng)期重復(fù)使用密碼、缺乏雙重驗(yàn)證，就可能輕易得手。

因此政府提醒廣大民眾，在政府加強(qiáng)防范措施的同時(shí)，大家也要?jiǎng)?wù)必隨時(shí)保護(hù)好個(gè)人信息。