加拿大2.8萬名醫護人員個人信息被盜

石瑩 井然 劉華偉

近日，加拿大廣播公司深度調查欄目《第五階層》披露，加拿大稅務局信息系統遭遇大規模黑客攻擊，超過2.8萬名不列顛哥倫比亞省政府下屬衛生系統醫護人員的敏感個人信息被盜。這些信息隨后在暗網上被非法交易和傳播，并用于提交虛假的退稅申請，對加拿大政府造成了重大經濟損失。

2.8萬名醫護人員稅務信息遭泄露，暴露出加拿大稅務局的信息安全機制存在隱患。圖為位于渥太華的加拿大稅務局總部。

一些被盜用信息的受害者發現，黑客不僅入侵了其稅務賬戶，更以其名義注冊空殼公司、偽造T4工資單（加拿大雇主為雇員出具的用于申報個人所得稅的年度收入和扣稅憑證），進而向稅務局提交虛假退稅申報表騙取退稅。在加拿大廣泛使用的報稅平臺——HR布洛克，常被不法分子用作虛假報稅的操作渠道。黑客攻擊事件曝光后，加拿大稅務局與第三方報稅平臺之間的安全合作機制遭到該國民眾質疑。

人沒出省，卻在外地“被報稅”

2022年，不列顛哥倫比亞省弗尼鎮的護士萊斯莉·華納的人生被一場突如其來的指控打亂。某日，她被警察帶到當地的皇家騎警分局，原因是她涉嫌參與一起發生在艾伯塔省的社會保險欺詐案件。

警方隨后對此事展開調查，很快就證明了華納的清白。原來早在2020年，一名黑客就入侵了華納在加拿大稅務局的稅務賬戶，并篡改了她的聯系方式、銀行賬戶和稅務資料，以她的名義提交了虛假的納稅申報表，還將HR布洛克報稅平臺指定為其授權報稅機構。在華納被篡改的稅務信息系統中，出現了“新增子女”等完全虛構的信息，她的銀行賬戶也被改為一個位于卡爾加里市的數字商業銀行賬戶。

在了解實情后，加拿大稅務局向位于艾伯塔省的幾家HR布洛克報稅平臺的線下門店寄送信件，發現這些門店中的某些稅務顧問曾被授權為“萊斯莉·華納”進行報稅操作。而在整個報稅過程中，華納本人從未踏足過艾伯塔省，也從未與上述平臺或人員有過任何聯系。

一名小鎮護士被盜用稅務信息的經歷，揭開了加拿大這場身份盜竊與稅務欺詐丑聞的冰山一角。

2.8萬名醫護人員信息泄露

《第五階層》欄目的調查顯示，萊斯莉·華納的遭遇并非孤例。在一份數據泄露名單中，除了華納，還有2003年—2009年在不列顛哥倫比亞省內陸衛生局任職的超2.8萬名員工。被泄露的信息包括他們的姓名、社會保險號、出生日期和家庭住址，敏感程度足以構成身份盜竊的罪名。

這份名單由一名自稱“匿名者”的人士提供。據其自述，他曾經參與過網絡犯罪，目前希望“通過曝光信息來幫助他人，彌補過錯”。在寫給《第五階層》欄目的郵件中，“匿名者”稱，這份名單是在2017年通過暗網上的加密群組以約1000美元價格購得的，名單上的信息在過去五六年內已被多次轉售、廣泛傳播。

盡管加拿大廣播公司尚無法驗證暗網加密群組的存在或信息交易的具體細節，但他們聯系名單中的多名當事人，當事人均確認自己曾在該衛生局供職，且泄露的信息與其真實信息完全一致。

面對持續發酵的信息泄露風波，不列顛哥倫比亞省內陸衛生局發布媒體聲明，聲稱警方掌握的相關名單僅涉及約2萬人，且根據其委托德勤加拿大外部網絡安全專家進行的調查結果顯示，“這些數據未出現在暗網”。

但這項聲明遭到了“匿名者”的直接駁斥。他聲稱：“我本人和其他人就是在加密群組和暗網論壇上購買的這些數據。內陸衛生局這樣說是想逃避責任，好讓事件看起來沒那么嚴重。”他還補充指出，暗網信息交易本身具有極強的不確定性，信息隨時可能上下架，不易進行長期追蹤。

部分受害者也對內陸衛生局的危機處置能力表示質疑。“我看到自己的信息被盜，卻從未收到過任何官方通知。難道他們早就知道，卻沒有告訴我們？”一位受害者憤怒地表示。

第三方報稅平臺成騙稅通道

除信息泄露事件本身外，報稅平臺HR布洛克在本次事件中扮演的角色也引發了公眾關注。

據報道，至少有7名醫護人員的身份信息，被HR布洛克位于艾伯塔省的線下門店用于提交虛假退稅申請。其中，一位來自彭蒂克頓的護士，其身份信息被注冊為兩家聯邦登記的空殼公司的唯一董事。隨后，這些公司以她的名義偽造T4工資單，并將其作為退稅依據提交至加拿大稅務局。其他受害者也報告稱，他們的信息被盜用于創建虛假納稅申報表，且系統將HR布洛克報稅平臺自動識別為其授權報稅機構。

盡管HR布洛克服務公司在回應媒體質詢時堅稱：“我們未發現有任何客戶因電子報稅憑證被濫用而導致稅務賬戶被黑客入侵。”但《第五階層》欄目掌握的多份HR布洛克服務公司內部備忘錄卻顯示，該公司早已知曉其報稅平臺被詐騙分子反復利用以提交虛假稅務申報表。

一份標題為《跨省納稅申報者》的內部備忘錄指出，冒充自不列顛哥倫比亞省遷往艾伯塔省的“客戶”數量顯著上升，公司注意到越來越多類似的稅務欺詐現象。

一位HR布洛克服務公司的員工曾向媒體透露，公司高層在今年初曾下達指令，禁止員工就此事件與外界溝通。“他們真正關心的，是如何減少公司的財務損失，而不是積極配合調查或查明真相。”

丑聞暴露稅務信息安全隱患

此次大規模身份信息泄露與虛假報稅丑聞，暴露出加拿大稅務局在信息安全機制方面的重大隱患，特別是在授權第三方報稅機構處理納稅人賬戶事務方面的風險。

長期以來，加拿大稅務局為了提升納稅便利度，將線上報稅權限下放至包括HR布洛克在內的眾多第三方機構。這一做法確實提高了稅務申報效率，但因缺乏嚴密監管和身份驗證機制，讓不法分子有了可乘之機。事實上，在許多身份盜用案件中，冒名者正是通過這些授權渠道成功侵入系統，獲取并篡改受害者的稅務信息。

更令人擔憂的是，許多當事人并非從官方渠道得知自己的信息遭到泄露，而是在申請貸款、收到陌生郵件或在登錄稅務賬戶時才發現異常。官方滯后的通知機制，嚴重影響了受害者的維權效率和心理安全感。

截至目前，加拿大皇家騎警仍在對此案展開調查。加拿大稅務局與不列顛哥倫比亞省內陸衛生局均表示，“案件仍處于司法程序階段”，不便對外透露更多細節。

這起稅務信息盜用事件不僅揭示出加拿大政府信息系統的脆弱性，更對當前加拿大稅務局與第三方報稅平臺之間的合作機制敲響了警鐘。