近日，加拿大广播公司深度调查栏目《第五阶层》披露，加拿大税务局信息系统遭遇大规模黑客攻击，超过2.8万名不列颠哥伦比亚省政府下属卫生系统医护人员的敏感个人信息被盗。这些信息随后在暗网上被非法交易和传播，并用于提交虚假的退税申请，对加拿大政府造成了重大经济损失。

一些被盗用信息的受害者发现，黑客不仅入侵了其税务账户，更以其名义注册空壳公司、伪造T4工资单（加拿大雇主为雇员出具的用于申报个人所得税的年度收入和扣税凭证），进而向税务局提交虚假退税申报表骗取退税。在加拿大广泛使用的报税平台——HR布洛克，常被不法分子用作虚假报税的操作渠道。黑客攻击事件曝光后，加拿大税务局与第三方报税平台之间的安全合作机制遭到该国民众质疑。

人没出省，却在外地“被报税”

2022年，不列颠哥伦比亚省弗尼镇的护士莱斯莉·华纳的人生被一场突如其来的指控打乱。某日，她被警察带到当地的皇家骑警分局，原因是她涉嫌参与一起发生在艾伯塔省的社会保险欺诈案件。

警方随后对此事展开调查，很快就证明了华纳的清白。原来早在2020年，一名黑客就入侵了华纳在加拿大税务局的税务账户，并篡改了她的联系方式、银行账户和税务资料，以她的名义提交了虚假的纳税申报表，还将HR布洛克报税平台指定为其授权报税机构。在华纳被篡改的税务信息系统中，出现了“新增子女”等完全虚构的信息，她的银行账户也被改为一个位于卡尔加里市的数字商业银行账户。

在了解实情后，加拿大税务局向位于艾伯塔省的几家HR布洛克报税平台的线下门店寄送信件，发现这些门店中的某些税务顾问曾被授权为“莱斯莉·华纳”进行报税操作。而在整个报税过程中，华纳本人从未踏足过艾伯塔省，也从未与上述平台或人员有过任何联系。

一名小镇护士被盗用税务信息的经历，揭开了加拿大这场身份盗窃与税务欺诈丑闻的冰山一角。

2.8万名医护人员信息泄露

《第五阶层》栏目的调查显示，莱斯莉·华纳的遭遇并非孤例。在一份数据泄露名单中，除了华纳，还有2003年—2009年在不列颠哥伦比亚省内陆卫生局任职的超2.8万名员工。被泄露的信息包括他们的姓名、社会保险号、出生日期和家庭住址，敏感程度足以构成身份盗窃的罪名。

这份名单由一名自称“匿名者”的人士提供。据其自述，他曾经参与过网络犯罪，目前希望“通过曝光信息来帮助他人，弥补过错”。在写给《第五阶层》栏目的邮件中，“匿名者”称，这份名单是在2017年通过暗网上的加密群组以约1000美元价格购得的，名单上的信息在过去五六年内已被多次转售、广泛传播。

尽管加拿大广播公司尚无法验证暗网加密群组的存在或信息交易的具体细节，但他们联系名单中的多名当事人，当事人均确认自己曾在该卫生局供职，且泄露的信息与其真实信息完全一致。

面对持续发酵的信息泄露风波，不列颠哥伦比亚省内陆卫生局发布媒体声明，声称警方掌握的相关名单仅涉及约2万人，且根据其委托德勤加拿大外部网络安全专家进行的调查结果显示，“这些数据未出现在暗网”。

但这项声明遭到了“匿名者”的直接驳斥。他声称：“我本人和其他人就是在加密群组和暗网论坛上购买的这些数据。内陆卫生局这样说是想逃避责任，好让事件看起来没那么严重。”他还补充指出，暗网信息交易本身具有极强的不确定性，信息随时可能上下架，不易进行长期追踪。

部分受害者也对内陆卫生局的危机处置能力表示质疑。“我看到自己的信息被盗，却从未收到过任何官方通知。难道他们早就知道，却没有告诉我们？”一位受害者愤怒地表示。

第三方报税平台成骗税通道

除信息泄露事件本身外，报税平台HR布洛克在本次事件中扮演的角色也引发了公众关注。

据报道，至少有7名医护人员的身份信息，被HR布洛克位于艾伯塔省的线下门店用于提交虚假退税申请。其中，一位来自彭蒂克顿的护士，其身份信息被注册为两家联邦登记的空壳公司的唯一董事。随后，这些公司以她的名义伪造T4工资单，并将其作为退税依据提交至加拿大税务局。其他受害者也报告称，他们的信息被盗用于创建虚假纳税申报表，且系统将HR布洛克报税平台自动识别为其授权报税机构。

尽管HR布洛克服务公司在回应媒体质询时坚称：“我们未发现有任何客户因电子报税凭证被滥用而导致税务账户被黑客入侵。”但《第五阶层》栏目掌握的多份HR布洛克服务公司内部备忘录却显示，该公司早已知晓其报税平台被诈骗分子反复利用以提交虚假税务申报表。

一份标题为《跨省纳税申报者》的内部备忘录指出，冒充自不列颠哥伦比亚省迁往艾伯塔省的“客户”数量显著上升，公司注意到越来越多类似的税务欺诈现象。

一位HR布洛克服务公司的员工曾向媒体透露，公司高层在今年初曾下达指令，禁止员工就此事件与外界沟通。“他们真正关心的，是如何减少公司的财务损失，而不是积极配合调查或查明真相。”

丑闻暴露税务信息安全隐患

此次大规模身份信息泄露与虚假报税丑闻，暴露出加拿大税务局在信息安全机制方面的重大隐患，特别是在授权第三方报税机构处理纳税人账户事务方面的风险。

长期以来，加拿大税务局为了提升纳税便利度，将线上报税权限下放至包括HR布洛克在内的众多第三方机构。这一做法确实提高了税务申报效率，但因缺乏严密监管和身份验证机制，让不法分子有了可乘之机。事实上，在许多身份盗用案件中，冒名者正是通过这些授权渠道成功侵入系统，获取并篡改受害者的税务信息。

更令人担忧的是，许多当事人并非从官方渠道得知自己的信息遭到泄露，而是在申请贷款、收到陌生邮件或在登录税务账户时才发现异常。官方滞后的通知机制，严重影响了受害者的维权效率和心理安全感。

截至目前，加拿大皇家骑警仍在对此案展开调查。加拿大税务局与不列颠哥伦比亚省内陆卫生局均表示，“案件仍处于司法程序阶段”，不便对外透露更多细节。

这起税务信息盗用事件不仅揭示出加拿大政府信息系统的脆弱性，更对当前加拿大税务局与第三方报税平台之间的合作机制敲响了警钟。