11 Pelanggaran Data Terbesar di Kanada [2026]

1. Pendahuluan: Mengapa Pelanggaran Data Menjadi Risiko bagi Organisasi di Kanada?#

Pelanggaran data sedang meningkat di Kanada, memengaruhi berbagai sektor dan menimbulkan kekhawatiran yang makin besar di kalangan warga negara dan organisasi: Warga Kanada makin khawatir tentang keamanan data, dengan 85 % menyatakan kekhawatiran dan 66 % melaporkan kecemasan yang meningkat dibandingkan tiga tahun lalu. Kekhawatiran ini diperkuat oleh pelanggaran tingkat tinggi dan ancaman yang muncul, seperti serangan siber yang disponsori negara dan ransomware.

Pada tahun 2024, biaya rata-rata pelanggaran data di Kanada adalah 4,66 juta dolar AS yang sedikit di bawah rata-rata global sebesar 4,88 juta dolar AS. Dalam blog ini, kita akan melihat lebih dekat pelanggaran data terbesar di Kanada dan menganalisis bagaimana dan mengapa hal itu terjadi.

2. Mengapa Kanada Menjadi Target Menarik untuk Pelanggaran Data?#

Kanada merupakan target yang menarik untuk pelanggaran data, didorong oleh kombinasi beberapa faktor yang meningkatkan kerentanan sektor penting, organisasi, dan individu terhadap aktivitas penjahat siber:

1. Data bernilai tinggi di seluruh industri: Sektor kesehatan, layanan keuangan, ritel, dan energi di Kanada mengelola sejumlah besar informasi sensitif, seperti catatan kesehatan pribadi, transaksi keuangan, dan data pembayaran. Sebagaimana organisasi harus secara strategis melindungi aset penting, memastikan kekuatan kepemimpinan melalui penyediaan staf CEO yang ditargetkan dapat memperkuat tata kelola dan kesiapan menghadapi krisis. Jenis informasi ini sangat berharga di pasar gelap, memosisikan industri ini sebagai target utama penjahat siber. Data ini sangat bernilai karena dapat digunakan untuk pencurian identitas, penipuan asuransi, atau untuk mengakses dan menguras rekening bank.

2. Signifikansi geopolitik: Peran Kanada dalam aliansi global seperti kemitraan intelijen G7 dan Five Eyes menempatkannya di garis bidik aktivitas siber yang disponsori negara. Berbagai negara terlibat dalam spionase siber canggih yang menargetkan sistem pemerintah Kanada, dengan tujuan untuk mengumpulkan intelijen dan mengeksfiltrasi kekayaan intelektual. Selain itu, Kanada terpapar ancaman siber dari negara-negara yang bermusuhan yang didorong oleh afiliasi politiknya.

3. Pelanggaran Data Terbesar di Kanada#

Berikut ini, Anda akan menemukan daftar pelanggaran data terbesar di Kanada. Pelanggaran data diurutkan berdasarkan jumlah akun pelanggan yang terkena dampak dalam urutan menurun.

3.1 Pelanggaran Data LifeLabs (2019)#

Pada bulan Oktober 2019, LifeLabs menjadi korban serangan ransomware yang signifikan yang menyusupi data kesehatan pribadi dari hampir 15 juta individu, menjadikannya pelanggaran terbesar yang pernah dilaporkan dalam sejarah Kanada berdasarkan volumenya. Penyerang memperoleh akses tidak sah ke sistem LifeLabs dan mengeksfiltrasi informasi sensitif sebelum menuntut uang tebusan. Perusahaan membenarkan bahwa mereka membayar tebusan dalam upaya mengamankan data yang dicuri, meskipun tidak dapat memverifikasi apakah penyerang telah membuat salinan. Pelanggaran ini memicu kekhawatiran publik tidak hanya karena sensitivitas data yang terlibat, tetapi juga karena LifeLabs menunda pemberitahuan kepada publik hingga Desember.

Investigasi menunjukkan bahwa pelanggaran ini mungkin diakibatkan oleh perangkat lunak yang kedaluwarsa, kurangnya enkripsi ujung ke ujung, dan pemantauan kerentanan sistem yang buruk. Insiden ini mengekspos kelemahan yang signifikan dalam postur keamanan siber LifeLabs, terutama mengingat sifat data kesehatan yang kritis.

Metode pencegahan:

• Terapkan enkripsi yang kuat dan perbarui sistem yang kedaluwarsa
• Gunakan deteksi intrusi canggih dan alat pemantauan waktu nyata
• Pertahankan cadangan offline yang aman untuk menghindari pembayaran uang tebusan

3.2 Pelanggaran Data Desjardins (2019)#

Desjardins Group, salah satu koperasi keuangan terbesar di Kanada, menderita pelanggaran data besar-besaran yang disebabkan oleh orang dalam yang mengekspos detail pribadi dan keuangan hampir 9,7 juta individu. Pelanggaran tersebut terungkap setelah penyelidikan internal mengungkapkan bahwa seorang mantan karyawan telah mengumpulkan dan membocorkan data selama setidaknya 26 bulan. Informasi tersebut ditransfer ke luar organisasi dan tidak terdeteksi oleh sistem pemantauan Desjardins sampai Komisaris Privasi federal ikut campur tangan.

Sifat pelanggaran ini, yang berakar pada penyalahgunaan akses internal yang sah, menyoroti kelemahan sistemis dalam kontrol internal Desjardins, terutama seputar pemantauan aktivitas pengguna, hak akses, dan peringatan eksfiltrasi data. Hal ini tetap menjadi salah satu contoh paling signifikan dari ancaman orang dalam dalam sejarah perusahaan Kanada, terutama karena durasi pelanggaran dan sensitivitas data yang disusupi.

Metode pencegahan:

• Terapkan kontrol akses yang ketat dan kebijakan hak istimewa terkecil (least privilege)
• Pantau dan audit akses data karyawan secara teratur
• Gunakan analitik perilaku untuk mendeteksi aktivitas yang tidak biasa

3.3 Pelanggaran Data Yves Rocher (2019)#

Pada tahun 2019, merek kosmetik Prancis Yves Rocher mengalami pelanggaran data yang signifikan yang melibatkan basis pelanggan Kanada-nya ketika para peneliti menemukan basis data Elasticsearch yang tidak dilindungi yang di-host oleh penyedia layanan pihak ketiga. Sistem yang terekspos tersebut berisi catatan dari sekitar 2,5 juta individu, termasuk detail pribadi dan data internal perusahaan. Yang lebih mengkhawatirkan adalah bahwa konfigurasi basis data tersebut memungkinkan akses baca/tulis, yang berarti pihak tidak sah dapat dengan bebas menambah, mengubah, atau menghapus informasi.

Pelanggaran tersebut ditelusuri kembali ke izin akses yang tidak tepat dan kurangnya autentikasi pada platform berbasis cloud yang digunakan untuk mengelola pelanggan dan data operasional. Ini mendemonstrasikan bagaimana kesalahan keamanan vendor pihak ketiga dan rantai pasokan dapat secara langsung menyusupi bahkan merek yang sudah mapan. Data yang diekspos tidak hanya mencakup PII pelanggan tetapi juga wawasan bisnis rahasia, seperti metrik kinerja toko dan data komposisi produk.

Metode pencegahan:

• Terapkan protokol keamanan yang ketat untuk vendor pihak ketiga
• Amankan layanan cloud dengan autentikasi dan kontrol akses yang tepat
• Audit basis data yang terekspos secara teratur untuk kesalahan konfigurasi

3.4 Pelanggaran Data Nissan Canada Finance (2017)#

Pada bulan Desember 2017, Nissan Canada Finance (NCF) melaporkan pelanggaran data yang mengekspos informasi pribadi lebih dari satu juta pelanggan saat ini dan pelanggan sebelumnya yang telah menyewa atau membiayai kendaraan melalui perusahaan. Pelanggaran tersebut melibatkan akses tidak sah ke sistem yang berisi data pelanggan sensitif, termasuk informasi keuangan dan khusus kendaraan. Perusahaan tersebut mengakui adanya pelanggaran setelah mendeteksi aktivitas yang tidak biasa dan meluncurkan penyelidikan berskala penuh dengan penegak hukum dan otoritas privasi.

Meskipun NCF tidak mengungkapkan secara terbuka spesifikasi teknis serangan tersebut, jenis data yang diakses menunjukkan bahwa pelanggaran tersebut kemungkinan diakibatkan oleh penyusupan sistem backend, mungkin melalui pencurian kredensial, segmentasi jaringan yang buruk, atau protokol enkripsi yang tidak memadai. Untuk mengurangi kerugian, NCF menawarkan layanan perlindungan pencurian identitas dan pemantauan kredit gratis selama 12 bulan kepada pelanggan yang terkena dampak.

Metode pencegahan:

• Perkuat autentikasi sistem backend (misalnya dengan MFA yang tahan phising) dan segmentasinya
• Enkripsi seluruh data pelanggan, terutama informasi keuangan
• Pantau sistem secara terus-menerus untuk setiap percobaan akses yang tidak sah

3.5 Pelanggaran Data TIO Networks (2017)#

TIO Networks, pemroses pembayaran tagihan Kanada yang dimiliki oleh PayPal, mengalami pelanggaran data pada akhir tahun 2017 setelah sistemnya ditemukan memiliki kerentanan yang memungkinkan akses tidak sah ke catatan pelanggan. Setelah mendeteksi aktivitas yang tidak biasa, PayPal menangguhkan operasi TIO dan meluncurkan penyelidikan resmi, mengungkapkan bahwa peretas telah menyusup ke banyak area jaringan tempat data sensitif disimpan. Informasi yang disusupi mencakup informasi yang dapat mengidentifikasi individu dan detail akun keuangan dari sekitar 1,6 juta pengguna.

Pelanggaran ini menunjuk pada kelemahan struktural dalam infrastruktur TIO, termasuk protokol keamanan yang kedaluwarsa dan segmentasi jaringan yang tidak memadai. Karena sistem TIO terpisah dari arsitektur inti PayPal, pelanggaran tersebut tidak memengaruhi pengguna PayPal secara langsung, tetapi memunculkan kekhawatiran yang signifikan tentang uji tuntas (due diligence) keamanan siber terkait akuisisi.

Metode pencegahan:

• Lakukan audit keamanan komprehensif selama merger dan akuisisi
• Isolasi dan amankan sistem warisan (legacy) dari jaringan inti
• Terapkan kontrol akses berlapis dan enkripsi untuk data keuangan

3.6 Pelanggaran Data Bell Canada (2017 & 2018)#

Bell Canada mengalami dua pelanggaran data terpisah dalam kurun waktu delapan bulan, dimulai pada Mei 2017 ketika penyerang mengakses dan membocorkan sekitar 1,9 juta alamat email dan 1.700 nama pelanggan beserta nomor telepon. Pelanggaran kedua pada Januari 2018 menyusupi data pelanggan tambahan, yang memengaruhi hingga 100.000 individu. Dalam kedua insiden tersebut, Bell mengeklaim bahwa tidak ada data keuangan atau kata sandi yang diakses, meskipun perinciannya menunjukkan kegagalan mencegah entri tidak sah ke sistem internal.

Para penyerang dalam setidaknya satu dari pelanggaran tersebut secara publik membocorkan data dan mengeklaim motifnya adalah untuk menekan Bell agar bekerja sama dengan mereka, yang mengimplikasikan semacam bentuk upaya pemerasan. Bell dikritik karena penundaan penyingkapannya dalam kedua kasus tersebut, karena pelanggaran awal tidak segera dilaporkan kepada pelanggan. Peristiwa ini menyoroti masalah serius dalam tata kelola data Bell, kemampuan deteksi pelanggaran, dan praktik komunikasi pelanggan.

Metode pencegahan:

• Terapkan pemantauan waktu nyata (real-time) dan protokol respons insiden
• Batasi titik akses eksternal dan perketat pertahanan perimeter
• Terapkan prosedur pemberitahuan pelanggaran kepada pelanggan dengan jangka waktu yang jelas

3.7 Pelanggaran Data Canada Revenue Agency (2020)#

Pada bulan Agustus 2020, Canada Revenue Agency (CRA) menjadi korban dari dua serangan siber terpisah yang bersama-sama menyebabkan kompromi pada lebih dari 11.000 akun daring (online) individu. Serangan tersebut memanfaatkan teknik credential stuffing, tempat peretas menggunakan nama pengguna dan kata sandi yang dicuri sebelumnya dari pelanggaran yang tidak berkaitan untuk mendapatkan akses ke akun CRA. Setelah masuk, penyerang dapat melihat informasi wajib pajak yang sensitif, mengubah detail setoran langsung, dan dalam beberapa kasus, mengajukan tunjangan pemerintah terkait pandemi.

Pelanggaran ini mengekspos kelemahan yang signifikan dalam praktik dari sisi pengguna (seperti penggunaan kembali kata sandi) dan kontrol keamanan di tingkat sistem pada CRA. Tidak adanya autentikasi multifaktor yang luas dan deteksi aktivitas mencurigakan secara waktu nyata memungkinkan penyerang untuk mengeksploitasi vektor umum pada skala besar, meskipun ini merupakan metode serangan yang sudah diketahui dengan baik.

Metode pencegahan:

• Terapkan autentikasi multifaktor yang diwajibkan (misalnya dengan kunci sandi) untuk layanan daring
• Terapkan pembatasan laju (rate limiting) dan deteksi anomali untuk upaya masuk
• Terapkan teknologi autentikasi yang tahan phising seperti kunci sandi

3.8 Pelanggaran Data Rogers Communications (2015/2018/2020)#

Selama kurun waktu lima tahun, Rogers Communications mengalami berbagai pelanggaran data yang melibatkan akun internal karyawan dan catatan eksternal pelanggan. Insiden yang paling banyak dipublikasikan terjadi pada tahun 2015 ketika grup peretas bernama TeamHans menerbitkan data internal Rogers dan log email setelah upaya pemerasan gagal. Pelanggaran selanjutnya pada tahun 2018 dan 2020 dilaporkan melibatkan akses yang tidak sah ke akun pelanggan, tetapi perincian publiknya tetap terbatas. Dalam setidaknya satu kasus, data yang bocor tampaknya berasal dari akun karyawan yang disusupi yang memiliki akses ke berbagai catatan klien bisnis.

Pelanggaran yang berulang ini mencerminkan ancaman eksternal dan kegagalan kontrol internal, terutama seputar keamanan email, izin akses, dan pendeteksian anomali secara tepat waktu. Meskipun jumlah individu yang terkena dampak relatif moderat dibandingkan dengan insiden skala besar, frekuensi dan visibilitas serangan tersebut menimbulkan kekhawatiran serius tentang postur keamanan siber Rogers secara keseluruhan.

Metode pencegahan:

• Terapkan pemantauan email dan alat pendeteksi anomali
• Terapkan larangan akses istimewa untuk akun internal
• Latih karyawan untuk mengenali dan melaporkan upaya rekayasa sosial (social engineering)

3.9 Pelanggaran Data Home Depot Canada (2020)#

Pada bulan November 2020, Home Depot Canada mengalami insiden data yang bermula dari kesalahan sistem internal daripada serangan siber. Masalah tersebut menyebabkan pelanggan menerima lusinan, dalam beberapa kasus ratusan, email yang keliru berisi konfirmasi pesanan yang ditujukan untuk orang lain. Email ini memuat sebagian informasi pembayaran dan detail kontak pribadi. Meskipun Home Depot menyatakan bahwa hanya sedikit pelanggan yang terkena dampak, sifat eksposur ini menciptakan vektor potensial untuk phising atau penipuan.

Pelanggaran ini adalah contoh jelas tentang bagaimana gangguan operasional dalam sistem otomatis masih dapat mengakibatkan masalah privasi yang serius. Hal ini juga mengilustrasikan risiko bila tidak memvalidasi komunikasi keluar atau memisahkan data pengguna di dalam sistem dengan tepat yang menghasilkan pesan yang menghadap ke pelanggan.

Metode pencegahan:

• Terapkan perlindungan untuk komunikasi pelanggan keluar
• Lakukan pengujian sistem pemesanan dan email secara berkala
• Gunakan kontrol akses yang lebih ketat pada alat otomatisasi yang berhubungan langsung dengan pelanggan

3.10 Pelanggaran Data TransUnion Canada (2019)#

Pada tahun 2019, TransUnion Canada menyingkapkan bahwa data pribadi sekitar 37.000 warga Kanada telah diakses oleh pihak ketiga melalui kredensial masuk yang disusupi dari salah satu pelanggan bisnis TransUnion. Para penyerang tidak secara langsung meretas sistem TransUnion, tetapi malah mengeksploitasi akun pengguna yang sah untuk mengakses informasi kredit yang sangat sensitif. Pelanggaran ini berlangsung selama kurang lebih dua bulan sebelum akhirnya terdeteksi.

Insiden ini menyoroti risiko signifikan yang dapat ditimbulkan mitra bisnis dan klien pada keamanan data, khususnya saat mereka diberi akses luas ke data konsumen. Hal ini juga menggarisbawahi pentingnya memastikan bahwa klien perusahaan mematuhi standar keamanan yang cocok dengan sensitivitas data yang dapat mereka akses.

Metode pencegahan:

• Tegakkan kebijakan pemantauan dan akses pihak ketiga yang ketat
• Terapkan autentikasi multifaktor untuk semua akun mitra
• Gunakan analitik perilaku untuk menandai pola akses yang tidak wajar

3.11 Pelanggaran Data Nova Scotia Power (2025)#

Pada bulan Maret 2025, Nova Scotia Power mengalami serangan ransomware yang mengekspos informasi pribadi dan keuangan yang sensitif dari hampir 280.000 pelanggan, yang merupakan hampir setengah dari basis pelanggannya. Pelanggaran tersebut tidak terdeteksi selama lebih dari sebulan sebelum teridentifikasi pada akhir April, pada saat data yang dicuri tersebut telah dipublikasikan secara daring. Tidak seperti kasus lainnya, pihak utilitas menolak untuk membayar uang tebusan dengan mengutip pembatasan hukum dan panduan dari lembaga penegak hukum.

Serangan ini telah menarik perhatian besar karena besarnya skala dan sensitivitas data yang dikumpulkan, terutama pencantuman Nomor Asuransi Sosial (SIN) dan detail rekening bank untuk pembayaran prapengesahan. Para ahli mempertanyakan perlunya menyimpan pengidentifikasi sensitif tersebut mengingat risiko jangka panjang pencurian identitas. Sejumlah pelanggan yang terkena dampak telah menerima peringatan perihal beredarnya data mereka di dark web. Meski Nova Scotia Power telah menawarkan dua tahun pengawasan kredit gratis via TransUnion, banyak kritikus berpendapat langkah tersebut kurang memadai guna melindungi data permanen layaknya SIN. Penolakan dari publik memancing Komisaris Privasi federal untuk melakukan penyelidikan, dan para eksekutif perusahaan diperkirakan bakal bersaksi di hadapan para pembuat undang-undang di awal bulan Juni. Sebuah investigasi kemudian diluncurkan di bawah Personal Information Protection and Electronic Documents Act (PIPEDA).

Metode pencegahan:

• Minimalkan pengumpulan dan penyimpanan pengidentifikasi pribadi berisiko tinggi (misalnya, SIN)
• Terapkan kontrol akses ketat dan perlindungan titik akhir terhadap ransomware
• Pantau sistem secara terus-menerus dengan alat deteksi dan respons ancaman
• Pelihara cadangan yang tidak dapat diubah (immutable) dan dienkripsi untuk mendukung pemulihan yang cepat

4. Tren pada Pelanggaran Data di Kanada#

Setelah mengamati pelanggaran data terbesar yang terjadi di Kanada hingga tahun 2025, kami dapat mencatat beberapa temuan berulang di seputar peretasan ini:

4.1 Orang Dalam dan Kesalahan Internal merupakan Ancaman Besar#

Berlawanan dengan gambaran dramatis tentang peretas yang menembus firewall, banyak pelanggaran paling merusak di Kanada disebabkan oleh orang dalam atau oleh miskonfigurasi sistem internal. Jenis ancaman ini sangatlah sulit dideteksi karena berasal dari sumber-sumber tepercaya yang berada di dalam organisasi. Dalam beberapa kasus, seperti Desjardins, peretasan yang terjadi telah berlangsung lebih dari dua tahun sebelum diketahui. Hal ini menyoroti kesenjangan kritis dalam cara perusahaan mengelola akses dan memantau kegiatan internalnya. Pelaksanaan prosedur verifikasi UBO yang kuat bakal membantu organisasi mengidentifikasi serta mengelola risiko orang dalam (insider) dengan lebih baik.

4.2 Kesalahan Sederhana bisa berdampak Massif#

Bukanlah segala macam pelanggaran data yang diakibatkan kecanggihan peperangan siber. Malah faktanya sebagian besar insiden yang meluas ini terjadi dikarenakan permasalahan dasar yang sebetulnya gampang diperbaiki, seperti database yang tidak aman, sistem dengan konfigurasi buruk, aplikasi pengintai (spy apps) tersembunyi yang tak terdeteksi, maupun terlupakannya pengaturan keamanan. Kerentanan macam ini kerapnya terabaikan hingga saat semua telah terlambat. Namun sejatinya celah ini merupakan hal termudah yang bisa dicegah melalui audit secara berkala.

4.3 Ransomware telah Berubah menjadi Salah satu Ancaman Siber Paling Merusak#

Berbagai aktivitas kejahatan siber yang semulanya dianggap cuma bersifat spesifik (niche), belakangan justru beralih peran sebagai penyebab utama pelanggaran data dan penutupan operasional. Serangan ransomware di mana pelaku mengenkripsi sistem kritis dan menuntut adanya bayaran untuk memulihkan akses, telah membidik berbagai perusahaan dari semua ukuran, di lintas industri mulai dari kesehatan hingga manufaktur. Di luar kerugian finansial, serangan ini dapat menghentikan operasi sehari-hari, merusak kepercayaan pelanggan, dan menciptakan kerugian reputasi jangka panjang.

4.4 Tak ada yang Kebal, bahkan Layanan Publik juga Mengalami Serangan#

Tindak agresi siber kini tidak lagi terbatas buat dunia korporat. Kita telah melihat pelanggaran memengaruhi rumah sakit, instansi pemerintah, penegak hukum dan utilitas publik. Saat sistem-sistem tersebut terganggu, konsekuensinya bukan hanya dari segi digital saja, tetapi itu sungguh-sungguh ikut mengubah hidup masyarakat nyata.

5. Kesimpulan#

Bertambahnya daftar tentang pelanggaran data di Kanada mengungkapkan kebenaran yang jelas dan mendesak: Mulai layanan penyedia kesehatan berskala besar dan lembaga keuangan hingga instansi pemerintahan dan perusahaan ritel raksasa, para penyerang sedang mengeksploitasi berbagai macam kerentanan. Kesenjangan teknis, ancaman dari dalam, dan bahkan kesalahan konfigurasi sederhana lazim terjadi pada skenario pelanggaran data berlevel besar. Konsekuensinya tidak hanya sekadar bersifat finansial melainkan juga hal personal, yang memengaruhi jutaan warga Kanada yang datanya telah terekspos atau dicuri.

Satu hal yang menonjol adalah bagaimana banyak pelanggaran ini sebenarnya dapat dicegah dengan praktik keamanan siber fundamental: kontrol akses yang kuat, pelatihan karyawan, audit sistem secara teratur, dan konfigurasi yang aman. Di saat yang sama, meningkatnya kecanggihan serangan ransomware dan credential stuffing menunjukkan bahwa pertahanan dasar belumlah cukup. Organisasi harus terus mengembangkan strategi keamanan mereka, mengadopsi model zero-trust, pemantauan canggih, dan rencana respons insiden.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan (FAQ)#

Bagaimana peretas mengakses akun Canada Revenue Agency pada tahun 2020 tanpa meretas langsung sistem CRA?#

Penyerang menggunakan teknik credential stuffing, memasukkan pasangan nama pengguna dan kata sandi yang dicuri sebelumnya ke portal login CRA. Karena pengguna menggunakan ulang kata sandi dan CRA tidak memiliki autentikasi multifaktor yang luas, lebih dari 11.000 akun disusupi, yang memungkinkan penyerang mengubah detail setoran langsung dan mengajukan tunjangan pemerintah terkait pandemi.

Mengapa pelanggaran data Desjardins tidak terdeteksi selama lebih dari dua tahun?#

Orang dalam yang berniat jahat mengumpulkan dan membocorkan data selama setidaknya 26 bulan tanpa memicu sistem pemantauan Desjardins. Eksfiltrasi tersebut baru terungkap setelah Komisaris Privasi federal terlibat, yang pada akhirnya mengekspos detail pribadi dan keuangan 9,7 juta orang, menjadikannya salah satu kasus ancaman orang dalam yang paling signifikan dalam sejarah perusahaan Kanada.

Apa yang membuat serangan ransomware Nova Scotia Power tahun 2025 menjadi sangat parah dibandingkan dengan pelanggaran di Kanada lainnya?#

Serangan tersebut mengekspos Nomor Asuransi Sosial untuk sekitar 140.000 pelanggan dan detail rekening bank untuk pembayaran prapengesahan, yang mencakup hampir setengah dari basis pelanggan utilitas tersebut. Data yang dicuri dipublikasikan secara online sebelum terdeteksi, dan para kritikus berpendapat bahwa tawaran pemantauan kredit gratis selama dua tahun tidak cukup untuk pengidentifikasi permanen seperti Nomor Asuransi Sosial (SIN).

Bagaimana pelanggaran data Yves Rocher Kanada 2019 terjadi meskipun tidak ada peretasan langsung ke sistem milik perusahaan?#

Para peneliti menemukan basis data Elasticsearch yang tidak dilindungi yang di-host oleh penyedia pihak ketiga, yang mengekspos catatan sekitar 2,5 juta individu dengan akses baca/tulis dan tanpa memerlukan autentikasi. Insiden ini menunjukkan bahwa kegagalan keamanan vendor dan rantai pasokan dapat secara langsung mengekspos data pelanggan termasuk informasi bisnis rahasia seperti formula produk dan metrik kinerja toko.