Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
„Mein Online-Steuerkonto wurde gehackt, was mein Leben auf den Kopf gestellt hat. Jetzt verklage ich die CRA.“
Stephen Real ist einer von Tausenden Kanadiern, die im Jahr 2020 von einer massiven Sicherheitsverletzung betroffen waren. Drei Jahre später kann er seine Steuern nicht bezahlen, Betrüger versuchen, in seinem Namen Autos zu kaufen, und er erhält mehr als 20 Spam-Anrufe pro Tag
Von Stephen Real, erzählt an Anthony Milton | Fotografie von Yasin Osman | 8. Juni 2023
Von Stephen Real, erzählt an Anthony Milton | Fotografie von Yasin Osman | 08.06.2023
Ende Juli 2020 wurden kanadische Steuereintreiber gehackt – einem unbekannten Angreifer gelang es, sich mit Benutzernamen und Passwörtern, die er an anderer Stelle im Internet gestohlen hatte, bei Tausenden von Online-Konten anzumelden. Sie haben den Jackpot geknackt: Sozialversicherungsnummern, Telefonnummern, Adressen, Bankinformationen – alles, was Sie brauchen, um die Identität einer anderen Person anzunehmen, in ihrem Namen Betrug zu begehen und schnellen Zugriff auf CERB-Bargeld zu erhalten. Nun verklagen einige der Opfer die Bundesregierung in einer Sammelklage und behaupten, ein Fehler im System der Canada Revenue Agency habe es den Hackern ermöglicht, die Sicherheitsfragen der Benutzer zu umgehen – der Mädchenname der Mutter sei nicht erforderlich. Während die CRA ursprünglich sagte, dass nur 5.600 Konten von dem Verstoß betroffen seien, wird in der Klage behauptet, dass die tatsächliche Zahl bei über 26.000 liegen könnte. Hier erzählt uns einer der Kläger, Stephen Real, ein 66-jähriger Bewohner von Don Mills West und ehemaliger IT-Sicherheitsberater, von jahrelangem Chaos bei gestohlenen Identitäten.
Verwandt:Der Betrug, der Chaos und eine Betrugskultur im Queens Park offenbarte
Mein Albtraum begann vor drei Jahren in den frühen Morgenstunden. Es war 4:03 Uhr am Sonntag des langen Augustwochenendes im Jahr 2020, als mein Telefon auf meinem Nachttisch summte. Es war ein spezieller Ring, den ich für wichtige E-Mails eingerichtet hatte. Dieser stammte von der CRA – meine Direkteinzahlungsinformationen wurden geändert. Das hatte ich nicht getan. Etwas Seltsames geschah.
Ich habe sofort die CRA angerufen, aber natürlich war niemand im Einsatz. Also habe ich mich bei meinem CRA-Konto angemeldet, um herauszufinden, was los war. Ich stellte sofort fest, dass die Einzahlungsinformationen für eines meiner drei Konten von meiner Bank, CIBC, auf BMO geändert worden waren, eine Bank, die ich nie genutzt hatte. Ich habe angefangen, Screenshots zu machen.
Verwirrt ging ich zu einem anderen Teil des Online-Portals und fand einen Hinweis, dass ich mich für CERB beworben hatte. Das war unmöglich: Ich war gerade in Rente gegangen und erhielt den Rest meiner Arbeitslosenversicherung, also hatte ich keinen Anspruch. Außerdem hatte ich mich nie beworben. Innerhalb einer Stunde wurden meine beiden anderen Konten mit BMO-Filialen in Mississauga verknüpft. Ich habe weitere Screenshots gemacht. Jemand hatte mein Konto gehackt und jetzt hatte ich Beweise.
Den Rest des Wochenendes verbrachte ich damit, die CRA anzurufen und Nachrichten zu hinterlassen: „Hey, ich werde gehackt!“ Als ich mich am Dienstagmorgen endlich meldete, taten sie es ab und sagten, dass mich jemand zurückrufen würde. Es dauerte bis Donnerstag, bis sie mein Konto sperrten und mir sagten, ich solle Equifax, die Abteilung für Finanzkriminalität der Polizei von Toronto und das RCMP anrufen – alles, was ich tun konnte, um mich zu schützen.
In der Zwischenzeit beschloss ich, selbst Nachforschungen anzustellen. Ich besuchte die BMO-Filialen in Mississauga, wo ich offenbar Bankkonten hatte. Ich dachte, ich würde sagen: „Hey, ich habe meine Bankkarte verloren“ und dann weitermachen, aber sobald ich der Frau an der Rezeption meinen Ausweis gegeben hatte, sagte sie: „Oh, ich muss den Manager holen.“ " Eine Minute später kam er heraus und sagte: „Wir müssen Sie bitten zu gehen – wir dürfen diese Angelegenheit nicht besprechen.“ Sie gaben mir die Telefonnummer ihrer Zentrale und forderten mich auf, den Betrug zu melden. Das war es. Ich war wieder alleine.
Es wurde noch seltsamer. Meine Hacker hatten zwei CERB-Zahlungen per Direkteinzahlung beantragt und dabei betrügerisch 4.000 US-Dollar auf den Konten gelandet, die sie in meinem Namen erstellt hatten, aber ihre dritte 2.000-Dollar-Anfrage wurde von der Ratingagentur abgefangen, bevor sie ausgezahlt werden konnte. Aus irgendeinem unerklärlichen Grund schickte das System es stattdessen standardmäßig per Post an mich. Eine Woche nach dem Hack hielt ich einen CERB-Scheck in der Hand, den ich nie beantragt hatte. Ich rief erneut die Ratingagentur an und plötzlich fragten sie mich: „Wie sind Sie an diesen Scheck gekommen?“ Ich hatte das Gefühl, als würde man mich beschuldigen, der Betrüger zu sein.
Danach riefen mich drei verschiedene CRA-Mitarbeiter an und sagten alle unterschiedliche Dinge. Einer sagte, ich müsse den Scheck an die CRA-Zentrale in Quebec zurückschicken, also habe ich das per Einschreiben gemacht. Aus meiner Sendungsverfolgung weiß ich, dass es angekommen ist und unterschrieben wurde, aber selbst jetzt, drei Jahre später, fragt mich die CRA immer noch, wo es gelandet ist.
Mitte August 2020 begannen die Medien über den Hack zu berichten, und die CRA gab zu, dass er durch eine Schwachstelle in der Sicherheitssoftware der Behörde verursacht worden sei. Es hieß, dass etwa 5.600 Konten kompromittiert worden sein könnten. Als ich mich jedoch mit der Polizei von Toronto in Verbindung setzte, sagten sie, ihre Betrugsabteilung habe allein aus Toronto in zwei Tagen über 2.000 Anrufe erhalten. Es schien, als müsste es mehr Opfer geben, als die CRA behauptete.
Verwandt:„Mein Sohn wurde von der alternativen Schullotterie des TDSB ausgeschlossen. Jetzt erhebe ich rechtliche Schritte.“
Einen Monat später, im September 2020, erhielt ich einen Anruf von einem Acura-Händler. Die Frau am Telefon fragte mich, welches Fahrzeug ich derzeit fahre. Als ich nach dem Grund fragte, war sie überrascht – war ich nicht gerade in ihrem Woodbridge-Standort gewesen und wollte einen Acura 2020 kaufen? Ich antwortete mit Nein, und sie verstand es. Sie sagte mir, ich solle einen Betrug melden.
Das wäre nicht das letzte Mal. Ungefähr ein Jahr später versuchte jemand, unter meinem Namen einen Lexus im Wert von 65.000 US-Dollar zu kaufen. Seit dem Hack hat Equifax mein Konto gesperrt, daher bin ich mir nicht sicher, wie viele andere Käufe versucht wurden. Jedes Mal, wenn ich etwas Großes kaufe, muss ich selbst anrufen und es ihnen sagen.
Sechs Monate lang hat die CRA die Korrespondenz mit mir per E-Mail vollständig eingestellt. Schließlich begannen sie, mir Pro-forma-Notizen zu schicken, in denen sie mich aufforderten, mein Passwort ständig zu ändern und meine Bonitätshistorie zu überwachen. Es ist unglaublich – ihr System ist ausgefallen und es ist, als ob sie mir die schlechte Sicherheit vorwerfen würden.
Heutzutage klingelt mein Telefon ständig wegen Spam-Anrufen. Ich bekomme ungefähr 20 davon pro Tag, normalerweise zum Abendessen, mit der Angabe, dass sie von der CRA oder Visa sind und den Sicherheitsschlüssel für meine Kreditkarte benötigen. Sie werden professionell anfangen, aber ich habe angefangen zu sagen, dass ich selbst von der CRA bin. An diesem Punkt werden sie fluchen und auflegen. Ich weiß, was los ist: Die Hacker haben meine Nummer von der CRA bekommen und sie jetzt an Spammer verkauft.
An einem 1. Juni dieses Jahres erhielt ich einen Anruf von einer Frau, die für die CRA aus Vancouver arbeitet. Sie war zu Hause am Handy. Sie sagte, sie müsse einen Lichtbildausweis vorzeigen, um meine Identität zu überprüfen, aber es sei ihre erste Arbeitswoche gewesen und sie habe noch keinen Zugriff auf das interne System der CRA gehabt. Alles, was sie finden konnte, war mein Reisepass. Ich fragte, ob wir einen Zoom-Anruf tätigen könnten, damit sie mein Gesicht sehen könne. Sie weigerte sich, weil das gegen die Politik verstieß. Sie fragte, ob ich ihr Fotos von meinem anderen Ausweis faxen dürfe. Ich lehnte ab, weil das lächerlich war. Wer hat ein Faxgerät?
Schließlich fand sie meine Nexus-Karte in den Akten und wir kamen zum Kern des Anrufs. Anscheinend war mein Fall in den letzten zwei Jahren zwischen vier oder fünf verschiedenen Inspektoren verlagert worden, die immer wieder aufgaben und gingen, bevor sie den Fall lösen konnten. Sie sagte, dass die CRA darüber nachdenkt, mein Konto freizugeben, damit ich meine Steuern vom letzten Jahr bezahlen kann, dass sie aber ansonsten nichts tun könnten.
Zum jetzigen Zeitpunkt bin ich mir nicht sicher, ob sie etwas unternehmen. Vom ersten Tag an habe ich darum gebeten, dass mir jemand einen vollständigen Bericht darüber gibt, was passiert ist, aber es kommt nie. Ich arbeite seit 50 Jahren in der IT-Sicherheit – ich glaube nicht, dass sie uns die ganze Geschichte erzählen. Sie geben uns Steuerzahlern lieber die Schuld dafür, dass wir unsere Passwörter nicht geändert haben.
Im Oktober 2022 habe ich mich einer Sammelklage gegen die kanadische Regierung angeschlossen und behauptet, die Krone habe beim Schutz unserer Online-Informationen fahrlässig gehandelt. Hoffentlich führt es zu einer Entschädigung für all das Leid, das ich erlebt habe – und dazu, dass die Regierung die Verantwortung für dieses Schlamassel übernimmt.
Ich habe ein großes Maß an Vertrauen in die Regierung verloren. Die IT-Implementierung ist so schlecht gemacht – zuerst war es der Hack, der meine Daten kompromittiert hat, dann die fehlerhafte App ArrivalCAN, und dann wurde genau diese Woche die Regierung von Nova Scotia infiltriert und die Sozialversicherungsnummern von 100.000 Menschen preisgegeben. Mehrere Regierungsebenen haben sich als technologisch inkompetent erwiesen, und die CRA ist nur ein Beispiel.
Mit Ausnahme der Frau, die mich von zu Hause aus anrief, habe ich nichts von der CRA gehört. Wenn ich anrufe, antworten sie nicht. Zumindest hielten sie mich früher auf dem Laufenden oder schickten mir E-Mails. Jetzt bekomme ich nichts.
Ich möchte eine Entschuldigung. Ich möchte, dass meine Steuern bereinigt werden. Und ich brauche einen neuen Ausweis. Bis ich eines bekomme, werde ich immer wieder gehackt.
In einer Erklärung gegenüber Toronto Life sagte die CRA, sie könne sich zu dieser Geschichte aufgrund von Datenschutzbedenken und dem laufenden Rechtsstreit nicht äußern. Sie fügte hinzu, dass der Schutz von Steuerzahlerinformationen von größter Bedeutung sei und dass sie mit den betroffenen Personen zusammenarbeite, um schnell Schutzmaßnahmen zu ergreifen, wenn sie Kenntnis von möglichen Vorfällen von Identitätsdiebstahl oder Kontoverletzung erlangen.
Themen: CRA-Betrug, Identitätsbetrugsklage, Stephen Real, gestohlene Identität
Verwandt: Verwandt: