Canadian Tire'dan Veri İhlali Uyarısı: Şifreler ve Kredi Kartı Bilgileri Tehlikeye Girdi

Canadian Tire Corporation (CTC), SportChek, Mark’s/L’Équipeur ve Party City mağazalarının çevrim içi hesaplarını etkileyen bir veri ihlali yaşandığını duyurdu. Şirket, 2 Ekim 2025 tarihinde bir e-ticaret veritabanında yetkisiz erişim tespit ettiğini ve olayla ilgili incelemelerin tamamlandığını açıkladı.

CTC, bu ihlalin sadece çevrim içi veri tabanını etkilediğini ve Canadian Tire Bank hesapları veya Triangle Rewards sadakat programı verilerinin güvende olduğunu belirtti. Şirket, fiziksel mağaza işlemlerinin etkilenmediğini ve tüm e-ticaret sistemlerinin şu anda güvenli şekilde çalıştığını duyurdu.

Saldırı sonucunda açığa çıkan veriler arasında kullanıcı adı, adres, e-posta, doğum yılı gibi temel kişisel bilgiler bulunuyor. Şifreler şifrelenmiş şekilde ele geçirilmiş olsa da, şirket bu şifrelerin doğrudan hesaplara erişim sağlamadığını ifade etti. Bazı kullanıcılara ait kredi kartı bilgileri ise yalnızca kısmi (truncated) olarak ele geçirildi; yani kart numaralarının tamamı ya da güvenlik kodları (CVV) saldırganların eline geçmedi.

CTC, doğum tarihi bilgisi dahil olan yaklaşık 150.000 hesabı tespit ettiğini ve bu kullanıcılara önümüzdeki günlerde kredi izleme hizmeti sunmak için doğrudan ulaşacağını belirtti. Olay, ilgili gizlilik denetim kurumlarına da rapor edildi.

Şirketin siber güvenlik olayına dair SSS (Sıkça Sorulan Sorular) sayfasına göre, etkilenen kullanıcılara gelecek hafta içinde TransUnion aracılığıyla bilgilendirme e-postası gönderilecek. Şu anda şifre değiştirme zorunluluğu bulunmasa da, kullanıcıların güçlü ve benzersiz şifreler kullanması, mümkünse iki faktörlü kimlik doğrulama (MFA) etkinleştirmesi öneriliyor.

CTC, kart değişikliği yapılmasının gerekli olmadığını da vurguladı. Çünkü ele geçirilen veriler yalnızca fişlerde görünen düzeyde ve alışveriş ya da hesap erişimi için kullanılabilir nitelikte değil.

Bu olay, son aylarda Kanada'daki büyük şirketleri etkileyen bir dizi siber saldırının son halkası oldu. Ağustos ayında WestJet yolcu verilerini içeren bir veri ihlali yaşarken, yatırım platformu WealthSimple da benzer bir ihlal sonrası toplu dava ile karşı karşıya kalmıştı.