2026年加拿大11大最大的数据泄露事件

1. 简介：为什么数据泄露对加拿大组织构成风险？#

加拿大的数据泄露事件不断增加，影响了多个行业，引起了公众和组织的日益关注：加拿大人越来越担心数据安全问题，85%的人表示担忧，66%的人报告说与三年前相比焦虑感有所增加。这种担忧因备受瞩目的数据泄露事件以及国家支持的网络攻击和勒索软件等新兴威胁而加剧。

2024年，加拿大数据泄露的平均成本为466万美元，略低于全球平均水平的488万美元。在这篇博客中，我们将仔细研究加拿大最大的数据泄露事件，并分析它们是如何以及为何发生的。

2. 为什么加拿大是数据泄露的热门目标？#

加拿大成为数据泄露的热门目标，是由一系列因素共同驱动的，这些因素增加了其关键部门、组织和个人对网络犯罪活动的脆弱性：

1. 跨行业的高价值数据： 加拿大的医疗保健、金融服务、零售和能源行业管理着大量敏感信息，例如个人健康记录、金融交易和支付数据。正如组织必须战略性地保护关键资产一样，通过针对性的首席执行官人员配备来确保领导力，可以加强治理和危机应对准备。这类信息在黑市上极具价值，使这些行业成为网络犯罪分子的首要目标。数据之所以如此有价值，是因为它们可以被用于身份盗窃、保险欺诈，或者用来访问和掏空银行账户。

2. 地缘政治意义： 加拿大在七国集团（G7）和五眼联盟情报伙伴关系等全球联盟中的作用，使其成为国家支持的网络活动的十字路口。不同国家参与针对加拿大政府系统的高级网络间谍活动，旨在收集情报和窃取知识产权。此外，受其政治派别的影响，加拿大也面临来自敌对国家的网络威胁。

3. 加拿大最大的数据泄露事件#

在下文中，您将找到加拿大最大的数据泄露事件列表。数据泄露事件按受影响的客户账户数量降序排列。

3.1 LifeLabs 数据泄露 (2019)#

2019年10月，LifeLabs遭遇了一次重大勒索软件攻击，近1500万人的个人健康数据受到牵连，这成为加拿大历史上按数量计最大的数据泄露事件。攻击者未经授权访问了LifeLabs的系统并在索要赎金前窃取了敏感信息。该公司确认支付了赎金以试图确保被盗数据的安全，尽管它无法核实攻击者是否保留了副本。该漏洞引发了公众的担忧，这不仅是因为涉及的数据十分敏感，还因为LifeLabs推迟到12月才通知公众。

调查表明，该漏洞可能是由于软件过时、缺乏端到端加密以及对系统漏洞的监控不力造成的。该事件暴露了LifeLabs在网络安全态势方面的重大弱点，特别是考虑到健康数据的关键性质。

预防方法：

• 实施强大的加密并更新过时的系统
• 使用高级入侵检测和实时监控工具
• 维护安全的离线备份，以避免支付赎金

3.2 Desjardins 数据泄露 (2019)#

加拿大最大的金融合作社之一Desjardins Group遭遇了因内部人员引起的大规模数据泄露，近970万人的个人和财务细节被曝光。在一项内部调查发现一名前员工在至少26个月的时间里收集并泄露数据后，该漏洞才被发现。这些信息被转移到组织外部，并且在联邦隐私专员介入之前，一直未被Desjardins的监控系统检测到。

此次泄露的根源在于滥用合法的内部访问权限，这凸显了Desjardins内部控制的系统性弱点，特别是在用户活动监控、访问权限和数据泄露警报方面。它仍然是加拿大企业历史上内部威胁的最重要案例之一，尤其是因为漏洞持续的时间以及受损数据的敏感性。

预防方法：

• 强制实施严格的访问控制和最小权限策略
• 定期监控和审计员工对数据的访问
• 使用行为分析来检测异常活动

3.3 Yves Rocher 数据泄露 (2019)#

2019年，由于研究人员发现由第三方服务提供商托管的未受保护的Elasticsearch数据库，法国化妆品品牌Yves Rocher遭遇了涉及其加拿大客户群体的重大数据泄露。暴露的系统包含约250万人的记录，包括个人信息和内部公司数据。更令人担忧的是，数据库的配置允许读/写访问，这意味着未经授权的一方可以随意添加、更改或删除信息。

该数据泄露可追溯到访问权限设置不当，以及用于管理客户和运营数据的云托管平台缺乏身份验证。它表明，供应链和第三方供应商的安全失误可以直接危及即使是知名品牌。泄露的数据不仅包括客户个人身份信息（PII），还包括机密的商业洞察，例如商店业绩指标和产品成分数据。

预防方法：

• 对第三方供应商实施严格的安全协议
• 使用适当的身份验证和访问控制来保护云服务
• 定期审计暴露的数据库是否存在错误配置

3.4 现款买卖加拿大财务数据泄露 (2017)#

2017年12月，Nissan Canada Finance (NCF) 报告了一起数据泄露事件，暴露了通过该公司租赁或融资车辆的超过一百万现任和前任客户的个人信息。此次泄露涉及未经授权访问包含敏感客户数据的系统，其中包括财务和车辆特定信息。该公司在检测到异常活动后承认了此次数据泄露，并与执法部门和隐私管理机构启动了全面调查。

虽然NCF没有公开披露攻击的技术细节，但被访问的数据类型表明，该泄露可能是由于后端系统受到破坏，原因可能是凭证被盗、网络分段不良或加密协议不足。为了减轻伤害，NCF为受影响的客户提供了12个月的免费信用监控和身份盗窃保护。

预防方法：

• 加强后端系统身份验证（例如，使用防网络钓鱼的MFA）和分段
• 对所有客户数据进行加密，尤其是财务信息
• 持续监控系统以防未经授权的访问尝试

3.5 TIO Networks 数据泄露 (2017)#

PayPal旗下的加拿大账单支付处理商TIO Networks在发现其系统存在允许未经授权访问客户记录的漏洞后，于2017年底遭遇了数据泄露。在检测到异常活动后，PayPal暂停了TIO的运营并启动了正式调查，结果显示黑客渗透了网络中存储敏感数据的多个区域。受损的信息包括约160万用户的个人身份信息和财务账户详情。

此次泄露暴露了TIO基础设施的结构性弱点，包括过时的安全协议和不充分的网络分段。由于TIO的系统与PayPal的核心架构是分开的，此次泄露并未直接影响PayPal用户，但引发了人们对与收购相关的网络安全尽职调查的严重担忧。

预防方法：

• 在合并和收购期间进行全面的安全审计
• 隔离并加固遗留系统，使其脱离核心网络
• 实施多层访问控制和针对财务数据的加密

3.6 Bell Canada 数据泄露 (2017 & 2018)#

Bell Canada在八个月内经历了两次独立的数据泄露，第一次始于2017年5月，攻击者访问并泄露了约190万个电子邮件地址和1,700名附带电话号码的客户姓名。2018年1月的第二次泄露事件损害了额外的客户数据，影响了多达100,000人。在这两起事件中，Bell声称没有访问任何财务或密码数据，尽管细节表明其未能阻止对内部系统的未授权进入。

至少在其中一次泄露中，攻击者公开泄露了数据，并声称动机是为了向Bell施压以迫使其与他们合作，这暗示了某种形式的勒索企图。Bell在这两起案件中的延迟披露都受到了批评，因为最初的泄露并没有立即报告给客户。这些事件凸显了Bell在数据治理、泄露检测能力和客户沟通实践中存在的严重问题。

预防方法：

• 应用实时监控和事件响应协议
• 限制外部访问点并加强外围防御
• 实施具有明确时间表的客户数据泄露通知程序

3.7 加拿大税务局数据泄露 (2020)#

2020年8月，加拿大税务局（CRA）成为了两起独立网络攻击的受害者，这两起攻击共同导致了超过11,000个个人在线账户被攻破。这些攻击利用了凭据撞库技术，黑客利用从无关漏洞中窃取的用户名和密码，获取了对CRA账户的访问权限。一旦进入，攻击者就能查看敏感的纳税人信息，更改直接存款细节，并在某些情况下申请与疫情相关的政府救济金。

该漏洞暴露了CRA在用户端做法（例如密码重用）和系统级安全控制方面存在的重大缺陷。缺乏广泛的多因素身份验证和对可疑活动的实时检测，使得攻击者能够在大范围内利用这种常见的攻击媒介，尽管它是一种众所周知的攻击方法。

预防方法：

• 强制为在线服务实施多因素身份验证（例如，使用通行密钥）
• 实施速率限制和登录尝试的异常检测
• 实施抗网络钓鱼身份验证技术，如通行密钥

3.8 Rogers Communications 数据泄露 (2015/2018/2020)#

在五年的时间里，Rogers Communications经历了多次涉及内部员工账户和外部客户记录的数据泄露。最广为人知的事件发生在2015年，当时名为TeamHans的黑客组织在勒索企图失败后发布了内部的Rogers数据和电子邮件日志。据报道，随后在2018年和2020年的泄露事件涉及未经授权访问客户账户，但公开的细节仍然有限。至少在一种情况下，泄露的数据似乎源于一个受损的员工账户，该账户有权访问多个商业客户的记录。

这些频发的数据泄露反映了外部威胁和内部控制故障，特别是在电子邮件安全、访问权限和异常现象的及时检测方面。虽然与其他大规模事件相比受影响的人数相对较少，但攻击的频率和可见性引起了对Rogers整体网络安全态势的严重担忧。

预防方法：

• 实施电子邮件监控和异常检测工具
• 强制实施对内部账户的特权访问限制
• 培训员工识别和报告社会工程学企图

3.9 Home Depot 加拿大数据泄露 (2020)#

2020年11月，Home Depot加拿大公司遭遇了一起由于内部系统错误而非网络攻击引起的数据事件。该问题导致客户收到几十封，在某些情况下甚至是数百封本应发给其他人的包含订单确认的错误电子邮件。这些电子邮件包含部分支付信息和个人联系方式。尽管Home Depot表示只有少数客户受到影响，但泄露的性质为网络钓鱼或欺诈创造了潜在途径。

此次数据泄露是一个明显的例子，说明了自动化系统中的操作故障依然可能导致严重的隐私问题。这也说明了未能在生成面向客户的消息的系统中正确验证出站通信或分离用户数据的风险。

预防方法：

• 实施对外客户通信的保障措施
• 对订单和电子邮件系统进行例行测试
• 在面向客户的自动化工具中使用更严格的访问控制

3.10 TransUnion 加拿大数据泄露 (2019)#

在2019年，TransUnion Canada透露，约有37,000名加拿大人的个人数据被第三方通过受损的TransUnion企业客户登录凭据访问。攻击者并没有直接入侵TransUnion的系统，而是利用了一个合法用户的账户来访问高度敏感的信用信息。该泄露在被发现前持续了大约两个月。

该事件凸显了商业伙伴和客户可能对数据安全造成的重大风险，尤其是当他们被赋予对消费者数据的广泛访问权限时。这也强调了验证企业客户是否遵守与他们被允许访问的数据敏感度相匹配的安全标准的重要性。

预防方法：

• 强制实施严格的第三方访问政策和监控
• 为所有合作伙伴账户应用多因素身份验证
• 使用行为分析来标记异常的访问模式

3.11 Nova Scotia Power 数据泄露 (2025)#

2025年3月，Nova Scotia Power遭遇了勒索软件攻击，近280,000名客户的敏感个人和财务信息被暴露，这几乎是其客户群的一半。该漏洞在一个多月后才在4月下旬被发现，而此时被盗数据已被发布到网上。与其他案例不同，考虑到法律限制和执法机构的建议，该公共事业公司拒绝支付赎金。

此次攻击由于所收集数据的规模和敏感性而受到了严格审查，特别是包含社会保险号码（SIN）和预先授权支付的银行信息。考虑到身份盗窃的长期风险，专家们对存储此类敏感标识符的必要性提出了质疑。一些受影响的客户已经收到了关于其数据在暗网上流通的警报。尽管Nova Scotia Power通过TransUnion提供了两年免费信用监控，但批评者认为这不足以保护诸如社会保险号（SIN）这样永久性数据。公众的强烈反对促使联邦隐私专员展开调查，公司高管预计将在6月初在议员面前作证。目前已经根据《个人信息保护和电子文件法》（PIPEDA）启动了调查。

预防方法：

• 尽量减少收集和保留高风险个人标识符（例如，社会保险号）
• 针对勒索软件强制实施严格的访问控制和端点保护
• 使用威胁检测和响应工具持续监控系统
• 保持加密的、不可变的备份以支持快速恢复

4. 加拿大数据泄露趋势#

在回顾了截至2025年在加拿大发生的最大的数据泄露事件后，我们可以注意到在这些泄露事件中反复出现的一些现象：

4.1 内部人员和内部错误是一大主要威胁#

与黑客突破防火墙的戏剧性画面相反，加拿大许多破坏性最大的数据泄露是由内部人员或内部系统错误配置引起的。这类威胁特别难以发现，因为它们来自组织内受信任的来源。在某些情况下，比如Desjardins，数据泄露在被发现前持续了两年多。这凸显了企业在管理访问权限和监控内部活动方面存在的关键缺陷。实施强大的UBO验证流程可以帮助组织更好地识别和管理内部风险。

4.2 简单的错误可能会造成大规模的后果#

并非所有的数据泄露都是高级网络战的结果。事实上，一些最广泛的事件可归结为基本且可修复的问题，例如未受保护的数据库、配置不当的系统、未被发现的隐藏间谍应用或被遗忘的安全设置。这些漏洞往往直到为时已晚才会被注意到，然而它们也是通过定期审计最容易预防的问题。

4.3 勒索软件已成为破坏性最强的网络威胁之一#

曾经看起来像是一种小众的网络犯罪现在已成为数据泄露和运营关闭的主要原因。勒索软件攻击（即恶意行为者加密关键系统并要求支付赎金以恢复访问权限）已经袭击了从医疗保健到制造业的各个行业各种规模的公司。除了经济损失，这些攻击还能阻止日常运营，损害客户信任，并造成长期的声誉损害。

4.4 没有人能够幸免，连公共服务也受到攻击#

网络攻击不再局限于企业世界。我们看到数据泄露事件已经影响了医院、政府机构、执法部门和公用事业公司。当这些系统被破坏时，其后果不仅在于数字层面，还会影响真人的生活。

5. 结论#

加拿大不断增加的数据泄露事件列表揭示了一个清晰而紧迫的事实：从大型医疗保健提供商和金融机构，到政府机构和零售巨头，攻击者正在利用广泛的漏洞。技术差距、内部威胁乃至简单的错误配置都是大数据泄露的组成部分。后果不仅是财务上的，而且是非常私人的，影响了数百万数据被暴露或被盗的加拿大人。

最引人注目的是，只要采取基本的网络安全做法：强大的访问控制、员工培训、定期的系统审计和安全的配置，这些泄露事件中有许多都是可以预防的。与此同时，勒索软件和凭据撞库攻击日益复杂化表明，基础的防御措施是不够的。组织必须不断发展其安全策略，采用零信任模型、高级监控和事件响应计划。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

常见问题解答#

2020年，黑客如何在不直接破坏CRA系统的情况下，访问了加拿大税务局账户？#

攻击者利用凭据撞库手段，将以前盗取的用户名和密码对输入CRA登录门户。由于用户重复使用密码且CRA缺乏广泛的多因素身份验证，导致超过11,000个账户被攻破，攻击者得以更改直接存款细节并申请疫情相关的政府福利。

为什么Desjardins的数据泄露事件两年多未被发现？#

在至少26个月里，一名恶意内鬼收集并泄露了数据，而未能触发Desjardins的监控系统。直到联邦隐私专员介入后，此次数据窃取才被揭露，最终暴露了970万人的个人和财务细节，成为加拿大企业历史上最严重的内部威胁案例之一。

是什么原因使得Nova Scotia Power 2025年的勒索软件攻击与加拿大的其他泄露事件相比异常严重？#

此次攻击泄露了约14万名客户的社会保险号以及用于预先授权支付的银行账户详情，波及该公用事业公司近半数的客户群体。被盗数据在被发现前已被发布在网络上，批评人士指出，所提供的两年免费信用监控措施对于诸如社会保险号（SIN）等永久性标识符而言是不够的。

Yves Rocher在2019年发生的加拿大数据泄露事件，是如何在未直接遭到黑客入侵系统的情况下发生的？#

研究人员发现，由第三方供应商托管的一个未受保护的Elasticsearch数据库暴露了约250万个人的记录，这些记录允许读写访问，且无需任何身份验证。这一事件表明，供应商及供应链的安全漏洞会直接泄露客户数据，其中包括了产品配方以及商店业绩指标等机密商业信息。