11 Maiores Vazamentos de Dados no Canadá [2026]

1. Introdução: por que os vazamentos de dados são um risco para as organizações canadenses?#

Os vazamentos de dados estão aumentando no Canadá, impactando vários setores e causando preocupação crescente entre cidadãos e organizações: os canadenses estão cada vez mais preocupados com a segurança dos dados, com 85 % expressando preocupação e 66 % relatando maior ansiedade em comparação com três anos atrás. Essa preocupação é ampliada por vazamentos de grande repercussão e ameaças emergentes, como ataques cibernéticos patrocinados por estados e ransomware.

Em 2024, o custo médio de um vazamento de dados no Canadá foi de 4,66 milhões de dólares americanos, o que está um pouco abaixo da média global de 4,88 milhões de dólares americanos. Neste artigo, examinaremos mais de perto os maiores vazamentos de dados no Canadá e analisaremos como e por que eles aconteceram.

2. Por que o Canadá é um alvo atraente para vazamentos de dados?#

O Canadá é um alvo atraente para vazamentos de dados, impulsionado por uma combinação de fatores que aumentam a vulnerabilidade de seus setores críticos, organizações e indivíduos à atividade cibercriminosa:

1. Dados de alto valor em todos os setores: os setores de saúde, serviços financeiros, varejo e energia do Canadá gerenciam grandes volumes de informações confidenciais, como registros pessoais de saúde, transações financeiras e dados de pagamento. Assim como as organizações devem proteger estrategicamente ativos críticos, garantir a força da liderança por meio de um recrutamento de CEO direcionado pode reforçar a governança e a prontidão para crises. Esse tipo de informação é extremamente valioso no mercado paralelo, posicionando esses setores como alvos principais de cibercriminosos. Os dados são tão valiosos porque podem ser usados para roubo de identidade, fraude de seguros ou para acessar e esvaziar contas bancárias.

2. Significado geopolítico: o papel do Canadá em alianças globais, como o G7 e a parceria de inteligência Five Eyes, coloca o país na mira de atividades cibernéticas patrocinadas por estados. Diferentes países se envolvem em espionagem cibernética avançada visando os sistemas do governo canadense, com o objetivo de coletar inteligência e exfiltrar propriedade intelectual. Além disso, o Canadá está exposto a ameaças cibernéticas de estados hostis motivadas por suas afiliações políticas.

3. Os maiores vazamentos de dados no Canadá#

Abaixo, você encontra uma lista dos maiores vazamentos de dados no Canadá. Os vazamentos de dados estão classificados pelo número de contas de clientes afetadas em ordem decrescente.

3.1 Vazamento de dados da LifeLabs (2019)#

Em outubro de 2019, a LifeLabs foi vítima de um ataque de ransomware significativo que comprometeu os dados pessoais de saúde de quase 15 milhões de indivíduos, tornando-se o maior vazamento relatado na história do Canadá em volume. Os invasores obtiveram acesso não autorizado aos sistemas da LifeLabs e exfiltraram informações confidenciais antes de exigir um resgate. A empresa confirmou que pagou o resgate em um esforço para proteger os dados roubados, embora não pudesse verificar se os invasores haviam feito cópias. O vazamento gerou preocupação pública não apenas devido à sensibilidade dos dados envolvidos, mas também porque a LifeLabs demorou a notificar o público até dezembro.

As investigações sugeriram que a violação pode ter resultado de software desatualizado, falta de criptografia de ponta a ponta e monitoramento deficiente das vulnerabilidades do sistema. O incidente expôs pontos fracos significativos na postura de segurança cibernética da LifeLabs, especialmente considerando a natureza crítica dos dados de saúde.

Métodos de prevenção:

• Implementar criptografia forte e modernizar sistemas desatualizados
• Usar detecção de intrusão avançada e ferramentas de monitoramento em tempo real
• Manter backups seguros e offline para evitar o pagamento de resgates

3.2 Vazamento de dados da Desjardins (2019)#

O Desjardins Group, uma das maiores cooperativas financeiras do Canadá, sofreu um enorme vazamento de dados causado por um membro interno que expôs os detalhes pessoais e financeiros de quase 9,7 milhões de indivíduos. A violação foi descoberta depois que uma investigação interna revelou que um ex-funcionário estava coletando e vazando dados por um período de pelo menos 26 meses. As informações estavam sendo transferidas para fora da organização e não foram detectadas pelos sistemas de monitoramento da Desjardins até o envolvimento do Comissário de Privacidade federal.

A natureza desse vazamento, enraizada no abuso de acesso interno legítimo, destacou falhas sistêmicas nos controles internos da Desjardins, principalmente em torno do monitoramento da atividade do usuário, direitos de acesso e alertas de exfiltração de dados. Continua sendo um dos exemplos mais significativos de uma ameaça interna na história corporativa canadense, especialmente devido à duração do vazamento e à sensibilidade dos dados comprometidos.

Métodos de prevenção:

• Impor controles de acesso rígidos e políticas de privilégio mínimo
• Monitorar e auditar o acesso aos dados dos funcionários regularmente
• Usar análises comportamentais para detectar atividades incomuns

3.3 Vazamento de dados da Yves Rocher (2019)#

Em 2019, a marca de cosméticos francesa Yves Rocher sofreu um vazamento de dados significativo envolvendo sua base de clientes canadenses, quando pesquisadores descobriram um banco de dados Elasticsearch desprotegido hospedado por um provedor de serviços terceirizado. O sistema exposto continha registros de aproximadamente 2,5 milhões de indivíduos, incluindo dados pessoais e dados corporativos internos. Ainda mais alarmante era o fato de que a configuração do banco de dados permitia acesso de leitura/gravação, o que significa que partes não autorizadas poderiam ter adicionado, alterado ou excluído informações à vontade.

O vazamento foi rastreado até permissões de acesso inadequadas e falta de autenticação em uma plataforma hospedada em nuvem usada para gerenciar clientes e dados operacionais. Isso demonstrou como erros de segurança da cadeia de suprimentos e fornecedores terceirizados podem comprometer diretamente até marcas consolidadas. Os dados expostos incluíam não apenas informações de identificação pessoal (PII) dos clientes, mas também insights de negócios confidenciais, como métricas de desempenho das lojas e dados de composição de produtos.

Métodos de prevenção:

• Impor protocolos de segurança rígidos para fornecedores terceirizados
• Proteger os serviços em nuvem com autenticação adequada e controles de acesso
• Auditar regularmente bancos de dados expostos quanto a configurações incorretas

3.4 Vazamento de dados da Nissan Canada Finance (2017)#

Em dezembro de 2017, a Nissan Canada Finance (NCF) relatou um vazamento de dados que expôs as informações pessoais de mais de um milhão de clientes atuais e antigos que haviam feito leasing ou financiado veículos por meio da empresa. A violação envolveu acesso não autorizado a sistemas contendo dados confidenciais de clientes, incluindo informações financeiras e específicas de veículos. A empresa reconheceu o vazamento após detectar atividades incomuns e lançou uma investigação em grande escala com as autoridades policiais e de privacidade.

Embora a NCF não tenha divulgado publicamente os detalhes técnicos do ataque, o tipo de dados acessados sugere que o vazamento provavelmente resultou de um comprometimento dos sistemas de backend, possivelmente via roubo de credenciais, segmentação de rede deficiente ou protocolos de criptografia insuficientes. Para mitigar os danos, a NCF ofereceu aos clientes afetados 12 meses de monitoramento de crédito gratuito e proteção contra roubo de identidade.

Métodos de prevenção:

• Fortalecer a autenticação (por exemplo, com MFA resistente a phishing) e a segmentação de sistemas de backend
• Criptografar todos os dados dos clientes, especialmente informações financeiras
• Monitorar sistemas continuamente em busca de tentativas de acesso não autorizado

3.5 Vazamento de dados da TIO Networks (2017)#

A TIO Networks, uma processadora de pagamentos de contas canadense de propriedade da PayPal, sofreu um vazamento de dados no final de 2017 depois que foi descoberto que seus sistemas tinham vulnerabilidades que permitiam acesso não autorizado a registros de clientes. Após detectar atividades incomuns, o PayPal suspendeu as operações da TIO e lançou uma investigação formal, revelando que os hackers haviam se infiltrado em várias áreas da rede onde dados confidenciais estavam armazenados. As informações comprometidas incluíam informações de identificação pessoal e detalhes de contas financeiras de aproximadamente 1,6 milhão de usuários.

A violação apontou para falhas estruturais na infraestrutura da TIO, incluindo protocolos de segurança desatualizados e segmentação de rede inadequada. Como os sistemas da TIO eram diferentes da arquitetura principal do PayPal, a violação não afetou os usuários do PayPal diretamente, mas levantou preocupações significativas sobre a devida diligência de segurança cibernética relacionada a aquisições.

Métodos de prevenção:

• Realizar auditorias de segurança abrangentes durante fusões e aquisições
• Isolar e fortalecer os sistemas legados das redes principais
• Implementar controle de acesso em várias camadas e criptografia para dados financeiros

3.6 Vazamento de dados da Bell Canada (2017 e 2018)#

A Bell Canada sofreu dois vazamentos de dados separados em um intervalo de oito meses, começando em maio de 2017, quando invasores acessaram e vazaram cerca de 1,9 milhão de endereços de e-mail e 1.700 nomes de clientes com números de telefone. Um segundo vazamento em janeiro de 2018 comprometeu dados adicionais de clientes, afetando até 100.000 indivíduos. Em ambos os incidentes, a Bell alegou que não houve acesso a dados financeiros ou senhas, embora os detalhes sugerissem uma falha em impedir a entrada não autorizada em sistemas internos.

Os invasores, em pelo menos um dos vazamentos, vazaram publicamente os dados e alegaram que o motivo era pressionar a Bell a cooperar com eles, sugerindo algum tipo de tentativa de extorsão. A Bell foi criticada pelo atraso em divulgar os casos, pois a violação inicial não foi comunicada imediatamente aos clientes. Esses eventos evidenciaram sérios problemas na governança de dados da Bell, em suas capacidades de detecção de violações e nas práticas de comunicação com o cliente.

Métodos de prevenção:

• Aplicar protocolos de monitoramento e resposta a incidentes em tempo real
• Limitar pontos de acesso externo e reforçar as defesas de perímetro
• Implementar procedimentos de notificação de violações a clientes com prazos claros

3.7 Vazamento de dados da Agência da Receita do Canadá (2020)#

Em agosto de 2020, a Agência da Receita do Canadá (CRA) foi vítima de dois ataques cibernéticos separados que, juntos, levaram ao comprometimento de mais de 11.000 contas online individuais. Os ataques tiraram vantagem da técnica de preenchimento de credenciais (credential stuffing), na qual hackers usaram nomes de usuário e senhas roubados de vazamentos não relacionados para obter acesso às contas da CRA. Uma vez dentro, os invasores conseguiram ver as informações confidenciais dos contribuintes, alterar os detalhes do depósito direto e, em alguns casos, solicitar benefícios do governo relacionados à pandemia.

A violação expôs falhas significativas nas práticas dos usuários (como a reutilização de senhas) e nos controles de segurança em nível de sistema na CRA. A ausência de autenticação multifator generalizada e de detecção de atividades suspeitas em tempo real permitiu que os invasores explorassem um vetor comum em grande escala, apesar de ser um método de ataque bastante conhecido.

Métodos de prevenção:

• Exigir autenticação multifator obrigatória (por exemplo, com chaves de acesso) para serviços online
• Implementar limite de taxa e detecção de anomalias em tentativas de login
• Implementar tecnologia de autenticação resistente a phishing, como chaves de acesso

3.8 Vazamento de dados da Rogers Communications (2015/2018/2020)#

Ao longo de cinco anos, a Rogers Communications sofreu vários vazamentos de dados envolvendo contas de funcionários internos e registros de clientes externos. O incidente mais divulgado ocorreu em 2015, quando um grupo de hackers chamado TeamHans publicou dados internos da Rogers e registros de e-mail após uma tentativa de extorsão fracassada. Vazamentos posteriores em 2018 e 2020 supostamente envolveram acesso não autorizado a contas de clientes, mas os detalhes públicos permaneceram limitados. Em pelo menos um caso, os dados vazados pareciam se originar de uma conta de funcionário comprometida que tinha acesso a vários registros de clientes empresariais.

Essas violações recorrentes refletem ameaças externas e falhas de controle interno, principalmente em torno da segurança de e-mail, permissões de acesso e detecção precoce de anomalias. Embora o número de indivíduos afetados tenha sido relativamente moderado em comparação com incidentes de maior escala, a frequência e a visibilidade dos ataques levantaram sérias preocupações sobre a postura geral de segurança cibernética da Rogers.

Métodos de prevenção:

• Implementar ferramentas de monitoramento de e-mail e detecção de anomalias
• Impor restrições de acesso privilegiado a contas internas
• Treinar funcionários para reconhecer e relatar tentativas de engenharia social

3.9 Vazamento de dados da Home Depot Canada (2020)#

Em novembro de 2020, a Home Depot Canada sofreu um incidente com dados decorrente de um erro do sistema interno em vez de um ataque cibernético. O problema fez com que os clientes recebessem dezenas, e em alguns casos centenas, de e-mails errôneos contendo confirmações de pedidos destinadas a outras pessoas. Esses e-mails incluíam informações parciais de pagamento e detalhes de contato pessoal. Embora a Home Depot tenha afirmado que apenas um pequeno número de clientes foi afetado, a natureza da exposição criou um vetor potencial para phishing ou fraude.

Esse vazamento foi um exemplo claro de como falhas operacionais em sistemas automatizados podem resultar em sérias preocupações de privacidade. Também ilustrou os riscos de não validar adequadamente as comunicações de saída ou de segregar os dados do usuário em sistemas que geram mensagens direcionadas aos clientes.

Métodos de prevenção:

• Implementar salvaguardas em comunicações de saída aos clientes
• Realizar testes de rotina de pedidos e sistemas de e-mail
• Usar controles de acesso mais rígidos em ferramentas de automação voltadas para o cliente

3.10 Vazamento de dados da TransUnion Canada (2019)#

Em 2019, a TransUnion Canada divulgou que os dados pessoais de cerca de 37.000 canadenses haviam sido acessados por terceiros através das credenciais de login comprometidas de um dos clientes corporativos da TransUnion. Os invasores não violaram os sistemas da TransUnion diretamente, mas, em vez disso, exploraram a conta de um usuário legítimo para acessar informações de crédito altamente confidenciais. A violação persistiu por aproximadamente dois meses antes de ser detectada.

Esse incidente destacou o risco significativo que parceiros de negócios e clientes podem representar para a segurança dos dados, especialmente quando recebem amplo acesso aos dados do consumidor. Também enfatizou a importância de verificar se os clientes corporativos seguem padrões de segurança que correspondam à sensibilidade dos dados que eles têm permissão para acessar.

Métodos de prevenção:

• Impor políticas rígidas de acesso a terceiros e de monitoramento
• Aplicar autenticação multifator a todas as contas de parceiros
• Usar análises comportamentais para sinalizar padrões de acesso incomuns

3.11 Vazamento de dados da Nova Scotia Power (2025)#

Em março de 2025, a Nova Scotia Power sofreu um ataque de ransomware que expôs informações pessoais e financeiras confidenciais de quase 280.000 clientes, o que representa quase metade da sua base de clientes. O vazamento permaneceu sem ser detectado por mais de um mês antes de ser identificado no final de abril, momento em que os dados roubados já haviam sido publicados online. Ao contrário de outros casos, a empresa de serviços públicos se recusou a pagar o resgate, citando restrições legais e orientações de agências de aplicação da lei.

O ataque atraiu um forte escrutínio devido à escala e sensibilidade dos dados coletados, em particular a inclusão de Números de Seguro Social (SINs) e detalhes bancários para pagamentos pré-autorizados. Especialistas questionaram a necessidade de armazenar esses identificadores sensíveis, dados os riscos de longo prazo de roubo de identidade. Alguns clientes afetados já receberam alertas de que seus dados estão circulando na dark web. Embora a Nova Scotia Power tenha oferecido dois anos de monitoramento de crédito gratuito por meio da TransUnion, os críticos argumentam que essa é uma proteção insuficiente para dados permanentes como SINs. A reação pública levou a investigações pelo Comissário de Privacidade federal, e espera-se que os executivos testemunhem perante os legisladores no início de junho. Uma investigação foi lançada sob a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA).

Métodos de prevenção:

• Minimizar a coleta e retenção de identificadores pessoais de alto risco (por exemplo, SINs)
• Impor controles de acesso rígidos e proteção de endpoint contra ransomware
• Monitorar continuamente os sistemas com ferramentas de detecção e resposta a ameaças
• Manter backups imutáveis e criptografados para oferecer suporte a uma rápida recuperação

4. Tendências nos vazamentos de dados no Canadá#

Depois de observar os maiores vazamentos de dados ocorridos no Canadá até 2025, podemos notar algumas características recorrentes nesses eventos:

4.1 Erros internos e ameaças internas são as maiores ameaças#

Ao contrário da imagem dramática de hackers invadindo firewalls, muitos dos vazamentos mais prejudiciais no Canadá foram causados por pessoas mal-intencionadas internamente ou por configurações erradas nos sistemas internos. Esses tipos de ameaças são especialmente difíceis de detectar porque vêm de fontes confiáveis de dentro da organização. Em alguns casos, como no da Desjardins, a violação durou mais de dois anos antes de ser descoberta. Isso destaca uma lacuna crítica na forma como as empresas gerenciam o acesso e monitoram a atividade interna. A implementação de fortes processos de verificação de UBO (Ultimate Beneficial Ownership) pode ajudar as organizações a identificar e gerenciar melhor os riscos internos.

4.2 Erros simples podem ter consequências gigantescas#

Nem todos os vazamentos de dados são o resultado de uma guerra cibernética avançada. Na verdade, alguns dos incidentes mais generalizados se resumiram a problemas básicos e fáceis de corrigir, como bancos de dados desprotegidos, sistemas mal configurados, aplicativos espiões ocultos não detectados ou configurações de segurança esquecidas. Essas vulnerabilidades muitas vezes passam despercebidas até que seja tarde demais e, ainda assim, estão entre as mais fáceis de evitar com auditorias regulares.

4.3 O ransomware se tornou uma das ameaças cibernéticas mais destrutivas#

O que antes parecia ser um crime cibernético de nicho agora se tornou a principal causa de vazamentos de dados e paralisações operacionais. Os ataques de ransomware, em que agentes mal-intencionados criptografam sistemas críticos e exigem pagamento para restaurar o acesso, atingiram empresas de todos os tamanhos, em vários setores, desde saúde até manufatura. Além das perdas financeiras, esses ataques podem interromper as operações do dia a dia, prejudicar a confiança dos clientes e causar danos à reputação a longo prazo.

4.4 Ninguém está imune: até mesmo serviços públicos sofrem ataques#

Os ataques cibernéticos não estão mais restritos ao mundo corporativo. Vimos invasões afetarem hospitais, agências do governo, forças de segurança e empresas de serviços públicos. Quando esses sistemas são interrompidos, as consequências não são apenas digitais, mas afetam a vida real das pessoas.

5. Conclusão#

A crescente lista de vazamentos de dados no Canadá revela uma verdade clara e urgente: desde grandes prestadores de cuidados de saúde e instituições financeiras a agências governamentais e gigantes do varejo, os invasores estão explorando uma ampla gama de vulnerabilidades. Lacunas técnicas, ameaças internas e até mesmo erros simples de configuração são as causas de grandes vazamentos de dados. As consequências não são apenas financeiras, mas profundamente pessoais, afetando milhões de canadenses cujos dados foram expostos ou roubados.

O que se destaca é o número de violações que poderiam ter sido evitadas com práticas fundamentais de segurança cibernética: controles de acesso rígidos, treinamento de funcionários, auditorias regulares do sistema e configurações seguras. Ao mesmo tempo, a crescente sofisticação dos ataques de ransomware e preenchimento de credenciais mostra que as defesas básicas não são suficientes. As organizações devem evoluir continuamente suas estratégias de segurança, adotando modelos zero-trust, monitoramento avançado e planos de resposta a incidentes.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas Frequentes#

Como os hackers acessaram as contas da Agência da Receita do Canadá em 2020 sem invadir diretamente os sistemas da CRA?#

Os invasores usaram preenchimento de credenciais (credential stuffing), inserindo pares de nome de usuário e senha roubados anteriormente no portal de login da CRA. Como os usuários reutilizavam senhas e a CRA não possuía autenticação multifator generalizada, mais de 11.000 contas foram comprometidas, permitindo que os invasores alterassem os detalhes de depósito direto e solicitassem benefícios do governo relacionados à pandemia.

Por que a violação de dados da Desjardins não foi detectada por mais de dois anos?#

Um membro interno mal-intencionado coletou e vazou dados por pelo menos 26 meses sem acionar os sistemas de monitoramento da Desjardins. A exfiltração só foi descoberta após o envolvimento do Comissário de Privacidade federal, expondo, em última instância, os detalhes pessoais e financeiros de 9,7 milhões de indivíduos, tornando este um dos casos de ameaça interna mais significativos na história corporativa canadense.

O que tornou o ataque de ransomware da Nova Scotia Power em 2025 excepcionalmente grave em comparação com outras violações canadenses?#

O ataque expôs Números de Seguro Social (SINs) de aproximadamente 140.000 clientes e detalhes de contas bancárias para pagamentos pré-autorizados, cobrindo quase metade da base de clientes da empresa de serviços públicos. Os dados roubados foram publicados online antes da detecção, e os críticos argumentam que os dois anos de monitoramento de crédito gratuito oferecidos são insuficientes para identificadores permanentes como os SINs.

Como ocorreu o vazamento de dados da Yves Rocher no Canadá em 2019, apesar de não ter havido um hack direto nos sistemas da própria empresa?#

Pesquisadores descobriram um banco de dados Elasticsearch desprotegido hospedado por um provedor terceirizado, expondo registros de aproximadamente 2,5 milhões de indivíduos com acesso de leitura/gravação e sem necessidade de autenticação. O incidente mostra que falhas de segurança de fornecedores e da cadeia de suprimentos podem expor diretamente os dados dos clientes, incluindo informações comerciais confidenciais, como fórmulas de produtos e métricas de desempenho das lojas.