黑客騙走退稅逾600萬 稅局拒絕解釋事件真相
H&R Block Canada否認資料外洩指控
【明報專訊】在今年的報稅季,加拿大稅務局(CRA)懷疑有黑客成功入侵加拿大最大報稅公司之一的H&R Block Canada,從中獲取客戶的機密資料,騙走稅局超過600萬元退稅。
被指遭黑客入侵的H&B公司矢口否認有此事,稱資料遭洩露的客戶都與該公司無關。
有消息人士匿名稱,黑客利用該公司的機密憑證,在未經授權的情況下進入數百個加拿大人的個人CRA帳戶,把這些客戶的退稅直接存款信息,改成黑客的賬戶,讓稅局的退稅款流入其口袋,總額超過600萬加元。
在其中一個案例中,黑客以合法的郵編號碼提交退稅表,但地址卻是子虛烏有的番茄街(Tomato Street)。
據該消息人士透露,這場危機迫使CRA向稅務部長比博(Marie Claude Bibeau)報告此事。CRA也為此安排了媒體專線,如果有人對H&R Block公司資料外洩以及稅務局為何會向騙子支付數百萬元提出質疑,稅務局能夠及時回應。
有關此事,稅務局一直保密,直到現在,公眾才知道發生過這樣嚴重的洩密事件。而且即使紙已經包不住火,比博部長和稅務局還都拒絕了媒體的採訪要求。
而H&R Block更是在一份聲明中表示,沒有證據顯示漏洞來自該公司。「全面的內部調查結論是,公司的數據、系統、軟件和安全均未受到損害。據本公司所知,受此次資料外洩事件影響的加拿大納稅人,並不是本公司的客戶。」
消息人士也證實,CRA迄今為止也未能確定黑客的身分,但排除了CRA自身系統被入侵或內部人員參與的可能性。現在誰入侵了這些資料,以及從哪裡入侵,仍然在查。
除納稅人資料外洩造成財務損失外,審計員和調查員則更擔心,公眾可能會對稅務局這個肩負保護納稅人金錢和個人資料的機構,從此失去信任,因為像此次資料洩密的事件,此前已經發生過不止一次。
魁北克市拉瓦爾大學(Laval University)的稅務副教授拉魯( André Lareau)認為,國會應對此進行調查,以確定問題的「嚴重性」,並迫使CRA和部長都作出回答。「他們都應該說明確實發生了什麼事 ,涉及多少錢。」
當發生重大的納稅人賬戶洩密事件時,CRA確有責任向國會的隱私專員報告相關情況。
在今年6月提交給國會的一份報告中,隱私專員稱今年的黑客入侵事件數量呈爆炸性增長。在截至3月31日的財政年度內,CRA遭受了71次黑客入侵。而在之前的3年中,總共也才發生42次。
雖然拒絕接受採訪,但CRA還是向CBC電視台承認,在2020年3月至2023年12月期間,已發生超過31,468宗重大隱私外洩事件,影響了62,000多名加拿大納稅人。
媒體想要追問隱私專員Philippe Dufresne,為何他在2024年6月向國會提交報告時,沒有提及大量增加的隱私洩密事件。專員拒絕了採訪,其辦公室出面擋駕解釋稱,CRA是在3月報告寫完之後才寄送資料,因此他會在明年的年報中加入新數字。
CRA則表示,它只是追溯性地報告了31,468宗隱私外洩事件。