黑客騙走退稅逾600萬 稅局拒絕解釋事件真相 H&R Block Canada否認資料外洩指控

[2024.10.29] 發表

【明報專訊】在今年的報稅季，加拿大稅務局(CRA)懷疑有黑客成功入侵加拿大最大報稅公司之一的H&R Block Canada，從中獲取客戶的機密資料，騙走稅局超過600萬元退稅。

被指遭黑客入侵的H&B公司矢口否認有此事，稱資料遭洩露的客戶都與該公司無關。

有消息人士匿名稱，黑客利用該公司的機密憑證，在未經授權的情況下進入數百個加拿大人的個人CRA帳戶，把這些客戶的退稅直接存款信息，改成黑客的賬戶，讓稅局的退稅款流入其口袋，總額超過600萬加元。

在其中一個案例中，黑客以合法的郵編號碼提交退稅表，但地址卻是子虛烏有的番茄街(Tomato Street)。

據該消息人士透露，這場危機迫使CRA向稅務部長比博(Marie Claude Bibeau)報告此事。CRA也為此安排了媒體專線，如果有人對H&R Block公司資料外洩以及稅務局為何會向騙子支付數百萬元提出質疑，稅務局能夠及時回應。

有關此事，稅務局一直保密，直到現在，公眾才知道發生過這樣嚴重的洩密事件。而且即使紙已經包不住火，比博部長和稅務局還都拒絕了媒體的採訪要求。

而H&R Block更是在一份聲明中表示，沒有證據顯示漏洞來自該公司。「全面的內部調查結論是，公司的數據、系統、軟件和安全均未受到損害。據本公司所知，受此次資料外洩事件影響的加拿大納稅人，並不是本公司的客戶。」

消息人士也證實，CRA迄今為止也未能確定黑客的身分，但排除了CRA自身系統被入侵或內部人員參與的可能性。現在誰入侵了這些資料，以及從哪裡入侵，仍然在查。

除納稅人資料外洩造成財務損失外，審計員和調查員則更擔心，公眾可能會對稅務局這個肩負保護納稅人金錢和個人資料的機構，從此失去信任，因為像此次資料洩密的事件，此前已經發生過不止一次。

魁北克市拉瓦爾大學(Laval University)的稅務副教授拉魯( André Lareau)認為，國會應對此進行調查，以確定問題的「嚴重性」，並迫使CRA和部長都作出回答。「他們都應該說明確實發生了什麼事，涉及多少錢。」

當發生重大的納稅人賬戶洩密事件時，CRA確有責任向國會的隱私專員報告相關情況。

在今年6月提交給國會的一份報告中，隱私專員稱今年的黑客入侵事件數量呈爆炸性增長。在截至3月31日的財政年度內，CRA遭受了71次黑客入侵。而在之前的3年中，總共也才發生42次。

雖然拒絕接受採訪，但CRA還是向CBC電視台承認，在2020年3月至2023年12月期間，已發生超過31,468宗重大隱私外洩事件，影響了62,000多名加拿大納稅人。

媒體想要追問隱私專員Philippe Dufresne，為何他在2024年6月向國會提交報告時，沒有提及大量增加的隱私洩密事件。專員拒絕了採訪，其辦公室出面擋駕解釋稱，CRA是在3月報告寫完之後才寄送資料，因此他會在明年的年報中加入新數字。

CRA則表示，它只是追溯性地報告了31,468宗隱私外洩事件。

更多要聞一