如果你突然登不上 CRA My Account 或 Service Canada了,提示密码错误,那这篇你可能用得上。
2020年那个夏天,加拿大政府的在线系统,出了件事儿 –
“credential stuffing“
什么意思?
这是一种特别淳朴的攻击方式,就是坏人拿着你在别的网站泄露过的用户名和密码,跑到政府网站试了一试。
而我们大多数人习惯了勤俭持家,密码一个用到底,常年一个套路走天下。于是,2020年春夏之交,一批勤奋的坏人反复尝试,最后居然“试”成功了。
哪些账户受到影响?
包括但不限于:
- CRA My Account
- My Service Canada Account
- 以及所有通过 GCKey 登录的联邦政府账户
不是同一天、不是同一个系统、也不是人人都中招。但在2020年的集中爆发期,受影响的人确实不少。
被登录之后,发生了什么?
也许你就是其中一员,你发现:
- 突然登录不上去
- 密码被重置
- 地址、direct deposit 信息被改
- 自己名下“被申请”了疫情补贴
有人被迫改密码、打电话给政府、wait time 一小时起,然后跟不同 agent 反复解释发生了什么;也有一部分人,被冒名申请了福利。大家花了时间、耗了精力,失去了安全感。
CRA怎么说?
CRA给受影响的用户发了一封标准到不能再标准的邮件:
We detected that your account may have been accessed without authorization. At this time, we have no evidence that your information was misused.
“可能”
“目前没有证据”
这两句话,后来成了整个案子的关键词。
政府的立场是:
- 系统没有被 hack
- 没有技术漏洞被攻破
- 没有人非法闯入服务器
- 日志、流程、审计链都在
发生的,只是:有人用了一把“正确的钥匙”,打开了一扇“正确的门”。钥匙不是在政府这边丢的,门也不是政府造坏的。所以,我们不承认有错。
那法律上呢?
在集体诉讼里,真正的问题从来不是“你是不是黑客”,而是:
- 你有没有尽到合理的安全注意义务
- 你是否应当预见这种风险
- 在风险已知的情况下,防护是否足够
于是,有人把这事告上了法庭
这个原告带头人叫 Todd Sweet,他的指控直接了当:
联邦政府没有采取足够的安全措施,导致第三方得以未经授权访问本应被高度保护的个人与财务信息。
而政府的回应也很直接:
我们否认一切责任。
双方就这样,一走走到了2022年。
2022年,法庭做了一件事
2022年8月25日,联邦法庭裁定,这个案子,符合“集体诉讼”的全部条件。
意思是, 这不是个别人倒霉,问题具有共性,可以一起处理。
于是,一个全加拿大范围的隐私集体诉讼,正式成立。
现在走到哪一步了?
2025年,双方达成了一份全国性和解方案。
重点提醒一句: 和解 ≠ 政府承认有错
这是集体诉讼里的常规操作,解决的是风险,不是道德评价。
接下来,法庭要做什么?
2026年3月31日,联邦法庭将举行和解听证。主要审三件事:
- 这份和解是否公平、合理
- 律师费是否应当批准
- 原告代表 Todd Sweet 是否可以获得象征性的 honorarium – 不是因为他损失最大,而是因为他愿意站出来当“出头鸟”,用自己的名字扛起了整个案子
如果和解通过,赔多少?
先说清楚,不是人人都有钱拿,而且都需要自己提交 claim。
补偿分三档:
- Access Claim – 最高$80,用于补偿你花在改密码、打电话、处理“被登录”这件事的时间。按 $20/小时,最多4小时
- Fraud Claim – 最高$200,如果你的信息被用于欺诈政府福利,按 $20/小时,最多10小时
- Special Compensation Fund – 最高 $5,000,前提是你能证明自己有实际经济损失,比如请律师、会计师的处理身份被盗问题
所有赔偿,都可能受总额上限和按比例分摊的影响。
现在,你能做什么?
如果你在2020年3月1日至2020年12月31日之间,CRA / Service Canada / GCKey 账户曾被未经授权访问或信息被泄露,那么你自动属于集体成员,现在什么都不用做,等法庭结果;
如果你不接受和解方案,也可以选择 opt-out 或提交书面反对意见。整个索赔流程,将由KPMG作为法庭指定的独立管理员执行。
补偿到手,要不要交税?
根据 CRA的 IT-365R2(archived,但原则适用),damages for personal injury or similar receipts 通常不计入应税收入。比如,隐私泄露的 general damages,是免税的;但,如果一笔补偿,本质上更像工资或明显是用来替代工资的,那就不能披着“赔偿”的外衣免税。
最后
这不是一个显示“黑客有多高明”的故事。这是一个系统按规则运行,也确实做了很多事,却依然让普通人付出了时间、精力和焦虑的案子。所以最后,大家选择的不是争谁对谁错,而是用和解,给不确定画一个句号。
感谢你花时间阅读我的文章,真心希望它对你有帮助!如果觉得有用,欢迎收藏、转发,但记得带上我的名字。文章是基于我个人的理解写的,主要是为了给大家提供一些一般信息。每个人的税务情况都不一样,所以这些内容仅供参考,不构成专业意见。如果要做出重要的财务或税务决定,还是建议大家咨询专业人士,或参考官网的最新信息。毕竟政策变化快,我的内容可能没办法覆盖所有细节和动态。
马云, Carol Ma,CPA, TEP,加拿大注册会计师,信托和遗产规划师。2006 – 2014年就职于加拿大联邦税务局(CRA),先后担任中小企业税务审计部 ( Audit Division)地下经济审计官; 重案调查部 (Investigation/Enforcement Division)特殊犯罪收入调查官;税案申诉部(Appeals Division)税务申诉裁决官。2014年加入 Tax Solutions Canada 出任 Case Manager,2015成立 JKtax 马云会计师事务所。电话 905-940-1999;邮件 admin@jktax.ca; 助理微信 jktax-vivian,jktax-qing
