在今年报税季的高峰期,加拿大税务局发现黑客窃取了加拿大最大的报税公司之一 H&R Block Canada 所使用的机密数据。
据报道,CBC的《The Fifth Estate》栏目和Radio-Canada的调查发现,有黑客利用了公司的机密凭证,在未经授权的情况下访问了数百名加拿大人的CRA个人账户,更改直接存款信息,提交虚假报税表,并从公款中窃取了 600 多万加元的虚假退税款项。在其中一个案例中,黑客提交的退税单上使用了一个合法的邮政编码,但地址却是一个不存在的Tomato Street上的假地址。“魁北克市拉瓦尔大学税务副教授André Lareau在接受采访时表示:“很明显,系统的大门是敞开的,有些人正在渗透到这个系统中。但 CRA 似乎还没有找到锁门的钥匙。”据知情人士透露,这场危机促使 CRA 联系了税务部长 Marie-Claude Bibeau 的办公室。该机构准备了媒体专线,以便在有人对 H&R Block 数据泄露事件以及该机构为何向骗子支付数百万提出疑问时,能够对询问做出回应。最终,公众从并未获悉这一情况或得到相关警报。税务部长 Bibeau 拒绝了CBC的采访要求。H&R Block 公司在一份声明中表示,没有证据表明数据泄露来自该公司。该税务公司称,经过“全面的内部调查 ”,其 “数据、系统、软件和安全 ”均未受到任何损害。H&R Block 表示,该公司不认为受此次数据泄露事件影响的加拿大纳税人是其客户。据知情人士透露,CRA 未能确定黑客的身份,但排除了自身系统被入侵或内部人员参与的可能性。最终,谁入侵了这些数据以及从哪里入侵的仍然不得而知。税务部长和 CRA 的媒体关系办公室都没有回应有关 H&R Block 数据泄露的问题。CBC没有透露消息来源,因为他们没有被授权公开发言。
电子密钥泄露并非所有针对CRA的欺诈都涉及侵犯隐私。骗子还经常用自己的账户进行虚假索赔。据消息人士透露,涉及H&R Block的案件是CRA不堪重负、资源不足和被耍得团团转的一个缩影,黑客和骗子利用CRA无法发现大量的纳税申报欺诈行为而趁虚而入。消息人士称,加拿大税务局内部所谓的“先付款后追讨”文化,使该机构打击欺诈性退税的努力复杂化的。这种政策旨在尽快向公众发放退税,然后再对差异进行审计。Lareau表示,CRA喜欢推广其“高效”机构的“形象”,即 “尽可能快地 ”退税。消息人士表示,这种做法给欺诈者留下了可乘之机。CRA的官员最初似乎是在四月份注意到暗网上有出售非法获取的 H&R Block 数据的帖子后发现了问题。黑客获得了CRA提供的H&R Block电子申报凭证——本质上是该公司的会计师代表纳税人提交申报表时使用的机密电子密钥。据CBC报道,最终发现,被盗的H&R Block信息帮助黑客获得了加拿大人的报税信息,更改了银行信息,甚至他们的地址,以申请虚假退税和税收抵免。据消息人士透露,CRA意识到它向同一银行账户发放了多笔不相关的虚假退款。CRA审计员得出结论,他们在2024年被骗支付了600多万加元,然后又阻止了1400万加元支付给冒名顶替者。
6万多名纳税人受影响CBC调查发现,H&R Block数据泄露事件只是加拿大税务局面临的众多问题之一,审计人员和调查人员担心,公众可能会对这个负责保护纳税人资金和个人信息的机构失去信任。在该机构内部忙于应对所谓的威胁行为者之际,CBC的调查发现,公众对于被盗金额的惊人数量以及该机构检测欺诈的能力存在巨大缺陷上基本一无所知。Lareau表示,应该进行议会调查,以确定问题的“严重程度”,并迫使CRA和部长作出答复。他说:“他们都应该清楚地说明到底发生了什么,以及涉及多少钱。”CRA也有责任向隐私专员报告纳税人账户的“重大”数据泄露事件。在回答CBC的问题时,CRA承认,从2020年3月到2023年12月,其发生了超过31,468起“重大”隐私泄露事件,影响了6.2万名加拿大纳税人。CRA表示,当发生信息泄露时,个人纳税人会得到通知,他们将获得“必要的信用保护”,CRA“非常重视”保护加拿大人的税务信息。机构内外缺乏沟通据知情人士透露,CRA 并不总是与金融机构共享关键信息,即使怀疑欺诈者正在使用他们的某个银行账户。消息人士补充说,该机构还担心缺乏内部沟通会拖慢追捕黑客的速度。加拿大税务局在其声明中表示,报告的违规事件急剧增加要追溯到2020年以及COVID-19紧急福利金的推出。该机构表示,已采取应对措施,为纳税人个人账户更强有力的保护,并保护其在线服务。加拿大税务局发言人表示,“已经制定了相关流程和程序,以便在出现漏洞时快速做出反应,减轻对纳税人信息和纳税人账户的威胁”。该机构发言人 Kim Thiffault 说:“随着欺诈者不断调整其手法,CRA 也在不断进行调整。”