据CBC报道:在今年报税季的高峰期,加拿大税务局(CRA)发现黑客窃取了加拿大最大的报税公司之一:H&R Block Canada 的数据漏洞。
并被遭遇了严重的黑客攻击事件,其中有超过6万多加拿大纳税人的账号被黑客入侵,导致$600万元的虚假退税款流入骗子手中!
然而,加拿大税务局却从未向公众公开此事,直到CBC的调查节目《第五频道(The Fifth Estate)》和CBC的广播部(Radio-Canada)联合调查并于昨日揭露了真相。
根据报道,今年年初,加拿大税务局就已经发现,有黑客利用了H&R Block的密钥凭证,非法成功进入了纳税人的CRA账户。
黑客进入账户后,直接更改了受害者的直接存款信息,并提交了虚假的退税申请,凭借这一操作,成功得到了超过$600万元的虚假退款。
为了提高真实性,黑客甚至伪造了假的邮政编码和地址,来冒充真实纳税人的信息,让加拿大税务局在短期内无法快速识别真伪。
比如,在一个案件中,黑客使用真实的邮政编码提交了报税申请,但地址却是一个虚构的“番茄街(Tomato Street)”。
魁北克拉瓦尔大学的税务副教授André Lareau表示,“显然,大门是敞开的,有些人正在渗透系统,但加拿大税务局似乎还没有找到锁门的钥匙。”
根据知情人士透露,这场危机让加拿大税务局不得不联系了税务部长Marie-Claude Bibeau。
并且该机构还准备好了一些应对媒体的回复,来回答可能关于H&R Block数据泄露,以及加拿大税务局为何向骗子支付数百万款项的问题。
尽管发生了这样严重的数据泄露事件,加拿大税务局并未打算主动对外发布公告。
而H&R Block则表示经过内部调查后,并没有发现其系统或数据存在任何安全问题。
黑客是谁?数据如何被泄露、窃取,至今仍是个谜。
黑客利用漏洞成功攻破加拿大税务局防线,并不是一个偶然事件。
事实上,在近年来,加拿大税务局的网络安全保障上出现了明显的漏洞。
根据调查发现,H&R Block事件只是税务局数据安全危机中的“冰山一角”。
加拿大税务局向《第五频道》承认,自2020年3月至2023年12月,税务局共发生了超过3,1468起“严重”隐私泄露事件,影响了约6,2000名加拿大纳税人。
这一数字远远超过了税务局之前向大家披露的数据。
加拿大隐私专员Philippe Dufresne原本应该在2024年6月的报告中向议会报告这些数据,但税务局称,“信息是在报告结束后提交给隐私专员的,因此隐私专员准备把这一数据放到明年的年度报告中。”
除此以外,加拿大税务局的声明中也表示,他们在 2020 年至 2024 年 10 月初,一共错误批准了超过$ 1.9 亿元相关虚假支付。
其中,2024 年税务局向“冒名顶替者”支付了总计 $300 万元,但知情人士透露,这个数字与今年 H&R Block 数据泄露事件中损失的 $600 万元并不一致。
并且,加拿大税务局积压了大量相似案例,尚未报告为“确诊”案例。
也就是说,大量真实的纳税人一直被蒙在鼓里,得不到退税款,而这些早就已经支付给了骗子们。
目前,加拿大税务部长Marie-Claude Bibeau拒绝了采访,税务局也没有对外公开此事相关的具体细节。
加拿大税务局的“先发后查”
其实加拿大税务局一直采用的是一种“先发后查(Pay and Chase)”的退税政策,也就是字面意思,大家先收到退税,之后机构再对可疑的退税进行审查,目的是提高工作效率。
也正是因为这个政策,骗子才有了可乘之机。
由于内部沟通不畅,税务局并未及时向相关金融机构通报这些异常账户,从而延误了冻结资金和追查黑客的机会。
税务局最后发现,2024年共有约$600万元的虚假退款流向了骗子的账户,而尚未支付的$1400万元被及时拦截,避免了更大损失。
面对此次黑客事件,税务局称,已加强了对个人账户的保护,并在发生数据泄露时为受影响的纳税人提供信用保护服务。
但公众普遍质疑税务局的透明度,认为作为一个管理国家税款的机构,税务局有责任更主动、透明地披露安全问题,并防止类似事件再次发生。
一些专家也建议,议会应设立独立调查委员会,来审查税务局的数据安全状况,并评估其反欺诈方法的实际效果。
这一调查应包括对具体事件的详细梳理,明确CRA究竟被窃取了多少资金,以及税务局和部长如何对此事进行沟通。
来源:温房网综合CBC
免责声明:转载此文章的目的旨在传播更多信息以服务于社会,版权归原作者所有,我们已在文章结尾注明出处,如有标注错误或其他问题请发邮件到18cacom@gmail.com,谢谢!