联邦政府将支付 870万元，以和解一起涉及数万名加拿大人的集体诉讼。这些加拿大人的敏感信息在黑客入侵政府网站（包括加拿大税务局 (CRA) 门户网站）上的帐户时遭到泄露或窃取。

2020 年的几个月里，黑客主要以政府账户为目标，目的是在 COVID-19 疫情爆发初期以受害者的名义申请财政援助，包括加拿大紧急救济金 (CERB) 或加拿大紧急学生补助金 (CESB)。

仅在那个夏天，就有超过 47,000 人的个人和财务信息遭到泄露，包括社会保险号码、家庭住址以及银行账户详情。

去年12月达成的集体诉讼和解协议已于周二获得法院批准。根据受影响程度的不同，部分纳税人可获得的赔偿金额将高于其他纳税人。

“我认为所提出的和解方案公平合理，符合整个集体的最大利益，”联邦法院法官理查德·索斯科特在他的裁决中写道。

该协议结束了长达数年的法律诉讼。受害者声称，政府和加拿大税务局（CRA）的“失职” 导致一年内至少发生了三起网络攻击。法庭文件显示，黑客利用私人信息冒充受害者，根据紧急援助计划提交欺诈性索赔，或将真实的索赔款项转移到其他银行账户。

加拿大税务局 (CRA) 没有在截止日期前回应置评请求，但在去年 12 月提出和解方案时发布了一份声明。

声明中写道：“该和解协议是对争议索赔的妥协，并不代表任何被告承认承担责任、存在不当行为或过错。加拿大政府否认其有任何不当行为。”

法庭获悉，首席原告托德·斯威特（Todd Sweet）来自卑诗省克林顿市，他在2020年7月收到电子邮件通知，称与其账户关联的电子邮件地址已被更改，之后才发现自己的账户被盗。他登录加拿大税务局（CRA）的在线门户网站后发现，有人更改了他的直接存款信息，并以他的名义提交了四份加拿大紧急救助金（CERB）申请。

次月，在其他加拿大人在网上分享类似经历后，加拿大税务局暂时关闭了其在线服务。几周后，卑诗省提起诉讼，指控该机构未能妥善保护网站安全或更快地发现漏洞，“应受谴责，并冷酷无情地漠视了受害者的权利”。

黑客通过网络安全专家所称的“撞库攻击”入侵了受害者的MyAccount CRA账户。这种攻击手法是指窃贼利用从一个网站泄露的用户名和密码登录另一个网站。（这也是为什么我们鼓励用户为每个在线账户创建强密码、唯一密码，而不是重复使用登录信息的原因之一。）

通常情况下，正确的用户名和密码只是登录加拿大税务局 (CRA) MyAccount 门户网站的第一步——用户通常还需要回答一个安全问题作为第二步。但 Southcott 此前写道，在 2020 年夏季的数据泄露事件中，黑客“能够绕过安全问题……因为 CRA 的凭证管理软件配置错误”。

法庭文件显示，加拿大税务局 (CRA) 于 2020 年 8 月 6 日发现该问题，当时一位“执法合作伙伴”通知官员，有人在暗网上出售这种方法。Southcott 表示，该机构在四天后修复了该问题，“并采取了其他措施应对数据泄露”。