Der Vorfall ereignete sich nach Angaben von Canadian Tire im Oktober 2025 und wurde am 2. Oktober entdeckt. Ursache war ein unbefugter Zugriff auf eine E-Commerce-Datenbank des Konzerns. Betroffen sind Kunden mit einem E-Commerce-Konto bei einer oder mehreren der Marken Canadian Tire, SportChek, Mark’s/L’Équipeur und Party City.
Nach der ursprünglichen Mitteilung des Unternehmens umfassten die kompromittierten Informationen Namen, E-Mail-Adressen, Geburtsdaten, verschlüsselte Passwörter sowie in einzelnen Fällen unvollständige Kreditkartennummern. Geburtsdaten waren demnach bei weniger als 150.000 Konten betroffen.
Canadian Tire stellte heraus, dass sich die Passwort- und Kreditkartendaten nicht nutzen ließen, um auf Konten zuzugreifen oder betrügerische Transaktionen und Käufe durchzuführen. Außerdem seien keine Daten der Canadian Tire Bank und keine Informationen aus dem Treueprogramm Triangle Rewards abgeflossen.
In dieser Woche wurde der mit dem Vorfall verbundene Datensatz auf der Benachrichtigungsplattform Have I Been Pwned veröffentlicht. Dort ist von rund 42 Millionen kompromittierten Datensätzen die Rede, darunter 38,3 Millionen E-Mail-Adressen. Über die von Canadian Tire genannten Angaben hinaus enthalten die geleakten Daten laut der Plattform auch Anschriften, Telefonnummern und Angaben zum Geschlecht.
Nach Darstellung von Have I Been Pwned wurden die Passwörter als PBKDF2-Hashes gespeichert. Für einen Teil der Datensätze seien zusätzlich Geburtsdaten und teilweise Kreditkartendaten enthalten, konkret Kartentyp, Ablaufdatum und maskierte Kartennummer.
Canadian Tire hat die Betroffenen per E-Mail benachrichtigt, die Zahl der Opfer bislang aber nicht öffentlich bestätigt. SecurityWeek hat das Unternehmen um eine Stellungnahme gebeten.
