Loblaw zufolge verschaffte sich ein krimineller Dritter Zugang zu einem abgeschotteten, nicht kritischen Teil des IT-Netzwerks. „Nachdem das Unternehmen verdächtige Aktivitäten in einem abgeschotteten, nicht kritischen Teil seines IT-Netzwerks festgestellt hatte, hat es ermittelt, dass ein krimineller Dritter auf einige grundlegende Kundendaten wie Namen, Telefonnummern und E-Mail-Adressen zugegriffen hat", teilte der Konzern mit.

Bei diesen Angaben handelt es sich um personenbezogene Daten, die für Phishing-Angriffe und betrügerische Aktivitäten genutzt werden könnten. Loblaw rät seinen Kunden daher, bei verdächtiger Kommunikation von unbekannten Kontakten wachsam zu bleiben.

Nach dem bisherigen Stand der Untersuchung fand das Unternehmen keine Belege dafür, dass Finanzdaten wie Kreditkartendetails, Gesundheitsdaten oder Kontopasswörter abgeflossen sind. Vorsorglich meldete Loblaw dennoch alle Kunden automatisch aus ihren Konten ab. Wer die digitalen Dienste des Unternehmens nutzen möchte, muss sich erneut anmelden; den Kunden wird zudem empfohlen, ihre Passwörter zu ändern.

Die Ermittlungen deuten laut Konzern darauf hin, dass die Finanzdienstleistungsmarke PC Financial von dem Vorfall nicht betroffen ist.

Zum Zeitpunkt der Veröffentlichung konnte BleepingComputer keinen Angreifer ausmachen, der die Attacke öffentlich für sich reklamiert, und auch keine Loblaw-Daten, die in einschlägigen Foren angeboten würden.

Der Konzern verfügt über ein landesweites Netz von 2.500 Filialen und plant in diesem Jahr 70 weitere Standorte – Teil eines Fünfjahresplans, der bis 2030 Investitionen von zehn Milliarden Dollar vorsieht.