在今年报税季的高峰期，加拿大税务局（CRA）发现黑客窃取了加拿大最大的报税公司之一：H&R  Block Canada 的数据漏洞。

并被遭遇了严重的黑客攻击事件，其中有超过6万多加拿大纳税人的账号被黑客入侵，导致$600万元的虚假退税款流入骗子手中。

然而，加拿大税务局却从未向公众公开这一件事，直到CBC的调查节目《第五频道（The Fifth Estate）》和CBC的广播部（Radio-Canada）联合调查并于昨日揭露了真相。

根据报道，今年年初，加拿大税务局就已经发现，有黑客利用了H&R Block的密钥凭证，非法成功进入了数百个纳税人的CRA账户。

黑客进入账户后，直接更改了受害者的直接存款信息，并提交了虚假的退税申请，凭借这一操作，成功得到了超过$600万元的虚假退款。

为了提高真实性，黑客甚至伪造了假的邮政编码和地址，来冒充真实纳税人的信息，让加拿大税务局在短期内无法快速识别真伪。

比如，在一个案件中，黑客使用真实的邮政编码提交了报税申请，但地址却是一个虚构的“番茄街（Tomato Street）”。

魁北克拉瓦尔大学的税务副教授André Lareau表示，“显然，大门是敞开的，有些人正在渗透系统，但加拿大税务局似乎还没有找到锁门的钥匙。”

根据知情人士透露，这场危机让加拿大税务局不得不联系了税务部长Marie-Claude Bibeau。

并且该机构还准备好了一些应对媒体的回复，来回答可能关于H&R Block数据泄露，以及加拿大税务局为何向骗子支付数百万款项的问题。

尽管发生了这样严重的数据泄露事件，加拿大税务局并未打算主动对外发布公告。

而H&R Block则表示经过内部调查后，并没有发现其系统或数据存在任何安全问题。

黑客是谁？数据如何被泄露、窃取，至今仍是个谜。

黑客利用漏洞成功攻破加拿大税务局防线，并不是一个偶然事件。

事实上，在近年来，加拿大税务局的网络安全保障上出现了明显的漏洞。

根据调查发现，H&R Block事件只是税务局数据安全危机中的“冰山一角”。

加拿大税务局向《第五频道》承认，自2020年3月至2023年12月，税务局共发生了超过3,1468起“严重”隐私泄露事件，影响了约6,2000名加拿大纳税人。

这一数字远远超过了税务局之前向大家披露的数据。

加拿大隐私专员Philippe Dufresne原本应该在2024年6月的报告中向议会报告这些数据，但税务局称，“信息是在报告结束后提交给隐私专员的，因此隐私专员准备把这一数据放到明年的年度报告中。”

除此以外，加拿大税务局的声明中也表示，他们在 2020 年至 2024 年 10 月初，一共错误批准了超过$ 1.9 亿元相关虚假支付。

其中，2024 年税务局向“冒名顶替者”支付了总计 $300 万元，但知情人士透露，这个数字与今年 H&R Block 数据泄露事件中损失的 $600 万元并不一致。

并且，加拿大税务局积压了大量相似案例，尚未报告为“确诊”案例。

也就是说，大量真实的纳税人一直被蒙在鼓里，得不到退税款，而这些早就已经支付给了骗子们。

目前，加拿大税务部长Marie-Claude Bibeau拒绝了采访，税务局也没有对外公开此事相关的具体细节。

加拿大税务局的“先发后查”

其实加拿大税务局一直采用的是一种“先发后查（Pay and Chase）”的退税政策，也就是字面意思，大家先收到退税，之后机构再对可疑的退税进行审查，目的是提高工作效率。

也正是因为这个政策，骗子才有了可乘之机。

由于内部沟通不畅，税务局并未及时向相关金融机构通报这些异常账户，从而延误了冻结资金和追查黑客的机会。

税务局最后发现，2024年共有约$600万元的虚假退款流向了骗子的账户，而尚未支付的$1400万元被及时拦截，避免了更大损失。

面对此次黑客事件，税务局称，已加强了对个人账户的保护，并在发生数据泄露时为受影响的纳税人提供信用保护服务。

但公众普遍质疑税务局的透明度，认为作为一个管理国家税款的机构，税务局有责任更主动、透明地披露安全问题，并防止类似事件再次发生。

一些专家也建议，议会应设立独立调查委员会，来审查税务局的数据安全状况，并评估其反欺诈方法的实际效果。

这一调查应包括对具体事件的详细梳理，明确CRA究竟被窃取了多少资金，以及税务局和部长如何对此事进行沟通。

长按下面的二维码，就能扫描关注我们的公众号哦~