CRA黑客事件赔偿来了最高赔5千元

（加西网综合）加拿大联邦政府将支付870万加元，与一宗涉及数万名加拿大人的集体诉讼达成和解。该案件源于黑客在2020年入侵政府网站账户，包括加拿大税务局（CRA）在线系统，导致大量敏感个人信息被盗或泄露。

这起和解协议已于去年12月达成，并在本周二获得联邦法院正式批准。

超4.7万人信息泄露涉及疫情补助申请

根据法院文件，2020年疫情初期，黑客在数月内多次入侵政府账户系统，主要目的是以受害者名义申请紧急财政援助，包括加拿大紧急救助金（CERB）和学生紧急补助（CESB）。

仅在当年夏季，就有超过47,000名加拿大人的个人及财务信息遭到泄露，其中包括社会保险号码、家庭地址以及银行账户信息等敏感资料。

法院指出，黑客利用这些信息冒充受害者提交虚假申请，或将真实补助资金转入其他账户。

黑客手法：密码“撞库攻击”+系统漏洞

调查显示，入侵方式主要为“撞库攻击”（credential stuffing），即黑客利用其他网站泄露的用户名和密码，尝试登录政府账户。

通常，CRA账户还需第二步安全验证，但在此次事件中，黑客利用系统配置漏洞绕过了安全问题验证。

CRA在2020年8月6日接到执法机构警告后才发现问题，并在4天后修复漏洞并加强系统安全。

🆕

Canadian government to pay $8.7M to settle data breach class-action involving CRA accounts

Hackers targeted online government accounts largely to apply for COVID-19 benefits
___________________

· Rhianna Schmunk· CBC News ·https://t.co/FVyJ4Uu88L
— Tony MacIntyre 🎙🎧☕️ 🇨🇦🇺🇦 (@Tony_MacIntyre) May 7, 2026

加拿大多平台受影响系统一度关闭

除CRA外，My Service Canada等政府账户系统也受到类似攻击影响。

当年8月，CRA一度暂停线上服务，以应对不断增加的安全风险报告。

原告方在BC省提起诉讼，指控CRA未能及时防护和发现漏洞，导致用户权益受损。

非常罕见伊朗总统透露与最高领袖见了面

罕见!最高法院公开对拜登提名的大法官严厉批评

16岁少女坠崖死亡事件,不只是意外那么简单

法院：和解“公平合理”但赔偿有限

联邦法院法官理查德·索斯科特（Richard Southcott）裁定，该和解协议“在整体上公平、合理，并符合集体利益”。

不过他也承认，对于遭受严重经济和精神损失的部分受害者来说，赔偿可能并不充分。

赔偿细则：最高可获5000加元

和解资金中约600万加元用于受影响用户赔偿，其余用于法律费用、管理成本及主要原告补偿。

符合条件的受害者可申请：

每小时20加元补偿，最多4小时（最高80加元）
若遭遇虚假CERB申请或资金转移，可额外申请最高200加元
与身份盗用相关的实际支出（如信用卡损失等），最高可获5000加元赔偿

Canadians can soon claim up to $5,000 in CRA data breach settlement 💵https://t.co/JKLOpJd7aP
— Daily Hive Vancouver (@DailyHiveVan) May 7, 2026

如果最终仍有未领取资金，将不会返还政府，而是捐赠给隐私与访问权相关研究机构。

此次共有29人对和解提出异议，但法院指出，多数反对意见认为赔偿金额过低。

法官同时指出，部分受害者可能确实遭受严重损失，但集体诉讼的目的在于为整体群体提供“合理补偿”

CRA回应：任何机构都无法完全避免网络攻击

加拿大税务局在声明中表示，保护纳税人信息是“首要任务”，并强调已建立监测和防御机制。

🔒 Your trust matters.

We regularly check for at-risk CRA user IDs and passwords. If there’s an issue, we take action by revoking the credentials. If you’re affected, you will get instructions on how to regain access to your CRA account. https://t.co/8iqS7gNs2G #CdnTax pic.twitter.com/3i4ycdRxWf
— Canada Revenue Agency (@CanRevAgency) May 7, 2026

CRA表示：“没有任何组织可以完全免受网络攻击或欺诈行为影响”。