Wyciek danych Canadian Tire: choćby 38,3 mln kont e-commerce w zestawie opublikowanym w sieci

Wprowadzenie do problemu / definicja luki

Canadian Tire Corporation (CTC) potwierdziła incydent bezpieczeństwa dotyczący bazy e-commerce, w której znajdowały się dane klientów kilku marek detalicznych. Sprawa wróciła na nagłówki pod koniec lutego 2026 r., gdy zestaw danych związany z tym incydentem został dodany do serwisu Have I Been Pwned (HIBP), co ułatwiło weryfikację, czy konkretne adresy e-mail znalazły się w wycieku.

W praktyce nie mówimy tu o „jednym sklepie”, tylko o wspólnej infrastrukturze kont online dla m.in. Canadian Tire, SportChek, Mark’s/L’Équipeur i Party City, co znacząco zwiększa skalę oddziaływania incydentu.

W skrócie

• Incydent wykryto 2 października 2025 r. i dotyczył konkretnej bazy e-commerce (nie całej infrastruktury).
• Według HIBP wyciek obejmuje ok. 42 mln rekordów, w tym 38,3 mln unikalnych adresów e-mail.
• Dane zawierają m.in. imię i nazwisko, e-mail, a w opublikowanym zestawie także adresy i numery telefonów; hasła były przechowywane jako hashe PBKDF2.
• CTC podkreśla, iż incydent nie obejmował Canadian Tire Bank ani programu lojalnościowego Triangle Rewards.

Kontekst / historia / powiązania

CTC poinformowała o incydencie w komunikacji z października 2025 r., wskazując na nieautoryzowany dostęp do bazy danych związanej z kontami e-commerce. W komunikacie opisano kategorie danych i zapewniono, iż podatność została usunięta oraz iż firma współpracuje z zewnętrznymi ekspertami, by wzmocnić zabezpieczenia.

W lutym 2026 r. temat ponownie zyskał rozgłos, bo HIBP dodał wpis „Canadian Tire” z opisem skali oraz struktury danych (m.in. PBKDF2 dla haseł) i liczebności unikalnych adresów e-mail.

Analiza techniczna / szczegóły luki

1) Co zostało naruszone (warstwa danych):
CTC wskazywała na „basic personal information” powiązane z kontami e-commerce (w tym m.in. e-mail i hasła w postaci zaszyfrowanej/zhashowanej) oraz – dla części osób – informacje o dacie urodzenia i ucięte dane kart płatniczych.

2) Co pokazuje materiał w HIBP (warstwa „wyciek w obiegu”):
HIBP opisuje zestaw jako ok. 42 mln rekordów i 38 mln+ unikalnych e-maili, z polami takimi jak: imię i nazwisko, telefon, adres, oraz hasła jako PBKDF2. Dla części rekordów mają występować także daty urodzenia oraz „partial credit card data” (np. typ karty, data ważności, zamaskowany numer).

3) Dlaczego PBKDF2 ma znaczenie (i dlaczego nie jest „tarczą absolutną”):
PBKDF2 to funkcja KDF zaprojektowana do spowalniania łamania haseł. jeżeli jednak użytkownik miał słabe/krótkie hasło albo hasło było ponownie użyte gdzie indziej, atakujący mogą:

• próbować crackingu offline (w zależności od parametrów PBKDF2),
• stosować credential stuffing w innych serwisach,
• budować bardzo wiarygodny phishing na podstawie danych kontaktowych.
  Same hashe PBKDF2 to lepiej niż „plain text”, ale przy skali dziesiątek milionów rekordów presja atakujących na automatyzację rośnie.

Praktyczne konsekwencje / ryzyko

Najbardziej prawdopodobne scenariusze nadużyć po takim wycieku to:

• Phishing i vishing „pod markę” (Canadian Tire / SportChek / Mark’s / Party City): mając e-mail, telefon i adres, przestępcy mogą przygotować wiadomości podszywające się pod „weryfikację konta”, „dopłatę do przesyłki”, „zwrot” czy „podejrzaną transakcję”.
• Credential stuffing: jeżeli użytkownik reuse’ował hasło, ryzyko przejęcia kont w innych usługach jest realne (nawet jeżeli samo konto Canadian Tire ma dodatkowe zabezpieczenia).
• Uwiarygodnianie kradzieży tożsamości: data urodzenia (nawet w podzbiorze) w połączeniu z adresem i telefonem zwiększa „jakość” profilu ofiary do oszustw finansowych i socjotechniki.
• Ataki na kanały odzyskiwania dostępu: numer telefonu bywa wykorzystywany w próbach przejęcia numeru (SIM-swap) lub w podszywaniu się w kontakcie z helpdeskiem.

Warto też zaznaczyć, iż CTC komunikowała brak wpływu na bank i Triangle Rewards, co ogranicza zakres potencjalnych nadużyć w tych konkretnych ekosystemach.

Rekomendacje operacyjne / co zrobić teraz

Jeśli kiedykolwiek zakładałeś(aś) konto e-commerce u Canadian Tire / SportChek / Mark’s/L’Équipeur / Party City:

1. Zmień hasło (w tym serwisie) na długie i unikalne; najlepiej wygenerowane w menedżerze haseł.
2. Jeśli to hasło było używane gdziekolwiek indziej: zmień je wszędzie, zaczynając od poczty e-mail i kont finansowych.
3. Włącz MFA/2FA tam, gdzie to możliwe (zwłaszcza e-mail).
4. Sprawdź swój adres e-mail w HIBP i potraktuj wynik jako sygnał do „higieny haseł” w całym swoim ekosystemie kont.
5. Uważaj na kontakty „z działu bezpieczeństwa” proszące o kod, dopłatę, „potwierdzenie danych” — szczególnie przez SMS/telefon.

Z perspektywy organizacji (blue team / SOC / IAM):

• dodaj domeny i brandy do reguł antyphishingowych (słowa kluczowe, szablony tematów),
• wprowadź wymuszenie resetu haseł + detekcję credential stuffing (rate limiting, bot mitigation),
• przeanalizuj parametry KDF (koszt PBKDF2, unikalne sól, rotacja) i politykę haseł,
• oceń ekspozycję danych w systemach e-commerce (minimalizacja pól, retencja, segmentacja baz).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Wyciek „e-commerce database” vs. ekosystem finansowy/lojalnościowy: CTC podkreśla, iż incydent nie dotyczył Canadian Tire Bank ani Triangle Rewards — to częsty podział w dużych grupach: osobne systemy i osobne rejestry ryzyka.
• Hashe PBKDF2 vs. hasła jawne: PBKDF2 znacząco utrudnia masowe łamanie haseł, ale przy takiej skali i typowych praktykach użytkowników (reuse) przez cały czas należy zakładać wysoki poziom wtórnych nadużyć.
• Różnice w liczbach: firma opisywała zakres incydentu w kategoriach „kont/danych” w komunikacji październikowej, natomiast HIBP agreguje i normalizuje zestaw danych „w obiegu” (rekordy, unikalne e-maile), co bywa źródłem rozbieżności w narracji liczbowej.

Podsumowanie / najważniejsze wnioski

Incydent Canadian Tire to przykład, jak „jedna” baza e-commerce może w praktyce oznaczać dziesiątki milionów użytkowników wielu marek. choćby jeżeli nie doszło do naruszenia systemów bankowych i lojalnościowych, sam pakiet PII (e-mail/telefon/adres) plus hashe haseł (PBKDF2) jest wystarczający do szeroko zakrojonych kampanii phishingowych i prób przejęć kont przez credential stuffing.

Źródła / bibliografia

• SecurityWeek – opis skali (38,3 mln e-maili / ~42 mln rekordów) i kontekstu dodania do HIBP (28 lutego 2026). (SecurityWeek)
• Have I Been Pwned – wpis „Canadian Tire” (typy danych, PBKDF2, liczby rekordów). (Have I Been Pwned)
• Canadian Tire Corporation – strona „Cyber Incident” (zakres systemów i zapewnienia dot. Bank/Triangle Rewards). (corp.canadiantire.ca)
• Canadian Tire Corporation – komunikat prasowy z 14 października 2025 r. (oś czasu i charakter incydentu). (corp.canadiantire.ca)
• Digital Commerce 360 – kontekst biznesowy i streszczenie ujawnionych kategorii danych (15 października 2025). (Digital Commerce 360)