ملايين مكشوفون: داخل تسريب البيانات الهائل لدى «كاناديان تاير»

اختراق واسع النطاق لدى «كاناديان تاير» كشف البيانات الشخصية لأكثر من 38 مليون عميل، مثيرًا أسئلة ملحّة حول أمن التجزئة السيبراني في كندا.

بدأ الأمر كيومٍ اعتيادي لعملاء «كاناديان تاير»؛ وبحلول الغروب، كان ملايين قد علموا أن معلوماتهم الخاصة جرى اجتياحها ضمن أحد أكبر اختراقات بيانات التجزئة في البلاد حتى الآن. في أكتوبر 2025، أصبح بائع التجزئة الكندي الأيقوني، إلى جانب شركاته التابعة، أحدث ضحية في قائمة متنامية من الهجمات السيبرانية البارزة، ما ترك أكثر من 38 مليون حساب مخترقًا وأمة تتساءل: إلى أي مدى بياناتنا آمنة حقًا؟

حقائق سريعة

اختراق أكثر من 38 مليون حساب لعملاء «كاناديان تاير» في أكتوبر 2025.
طال الاختراق قواعد بيانات التجارة الإلكترونية لـ«كاناديان تاير» و«سبورت تشِك» و«ماركز/لِكيبور» و«بارتي سيتي».
تشمل البيانات المسرّبة الأسماء وعناوين البريد الإلكتروني وكلمات المرور المُشفّرة، ولدى بعضهم تواريخ الميلاد ومعلومات جزئية عن بطاقات الائتمان.
تُدرج خدمة “Have I Been Pwned” 42 مليون سجل مكشوف، مع عناوين إضافية وأرقام هواتف وبيانات النوع الاجتماعي.
تؤكد «كاناديان تاير» أنه لم يتم الوصول إلى حسابات الدفع أو مكافآت الولاء.

خلف الاختراق: ماذا حدث؟

في 2 أكتوبر 2025، رصدت «كاناديان تاير» وصولًا غير مصرح به إلى قاعدة بيانات تجارتها الإلكترونية - خزنة لا تخص عملاءها فحسب، بل أيضًا المتسوقين لدى العلامات المرتبطة مثل «سبورت تشِك» و«ماركز/لِكيبور» و«بارتي سيتي». حاول البيان الأولي للشركة طمأنة الجمهور: لم يُكشف سوى بيانات شخصية أساسية، ولم تُخترق أرقام بطاقات ائتمان كاملة أو بيانات مالية. لكن مع ظهور التفاصيل، اتسع نطاق الواقعة.

ووفقًا لخدمة إشعارات الاختراق Have I Been Pwned، فإن الكنز المسرّب يتضمن 42 مليون سجل - أكثر من تقدير الشركة الأصلي. وإلى جانب الأساسيات (الأسماء، البريد الإلكتروني، كلمات المرور المُشفّرة)، تتضمن مجموعة البيانات المكشوفة عناوين فعلية وأرقام هواتف وبيانات النوع الاجتماعي، ولشريحة منها تواريخ الميلاد وتفاصيل جزئية لبطاقات الائتمان (بما في ذلك أرقام مُقنّعة وتواريخ انتهاء الصلاحية). وقد تعرّضت تواريخ الميلاد للاختراق لدى أقل من 150 ألف حساب، لكن مع هذا العدد الهائل من السجلات، فإن حتى نسبة “صغيرة” تعني آلافًا في دائرة الخطر.

تقنيًا، كانت كلمات المرور في الاختراق مخزنة باستخدام خوارزمية التجزئة PBKDF2 - وهي طريقة أكثر أمانًا من كثيرٍ غيرها، لكنها ليست منيعة. وتصرّ الشركة على أن تشفير البيانات الحساسة وتقنيعها يجعلانها غير قابلة للاستخدام في الاحتيال المباشر. غير أن خبراء الأمن يحذّرون من أن حتى البيانات الشخصية “الأساسية” يمكن تسليحها للتصيّد الاحتيالي أو الهندسة الاجتماعية أو سرقة الهوية، خصوصًا عند دمجها مع معلومات من اختراقات أخرى.

ردّت «كاناديان تاير» بإخطار العملاء عبر البريد الإلكتروني، لكنها لم تؤكد علنًا بعد الحجم الحقيقي. وفي الوقت نفسه، فإن إدراج هذه السجلات في قاعدة البيانات العالمية لـHave I Been Pwned يعني أن أي مستخدم متأثر يمكنه الآن التحقق مما إذا كانت تفاصيله ضمن البيانات المخترقة.

التداعيات وما تعنيه

ورغم عدم الإبلاغ عن معاملات احتيالية مباشرة، يسلّط الاختراق الضوء على تحدٍ متزايد أمام تجار التجزئة: يمكن أن يكون “نطاق الانفجار” لهجوم واحد هائلًا، خاصة عندما تجمع قواعد البيانات بيانات عبر علامات متعددة. ومع استهداف المجرمين السيبرانيين لعمالقة التجزئة على نحو متزايد، يشكّل حادث «كاناديان تاير» تذكيرًا صارخًا: حتى الأسماء المنزلية الموثوقة ليست بمنأى، وقد يتردد صدى التكلفة الحقيقية للاختراق لسنوات.

بالنسبة للعملاء، أصبحت اليقظة ضرورية الآن - مراقبة الرسائل المشبوهة، وإعادة تعيين كلمات المرور، والبقاء متنبّهين لسرقة الهوية. وبالنسبة لـ«كاناديان تاير» ونظرائها، فالاختراق جرس إنذار: الأمن القوي ليس خيارًا، والشفافية غير قابلة للتفاوض.

WIKICROOK

اختراق بيانات: اختراق البيانات هو عندما تصل أطراف غير مخوّلة إلى بيانات خاصة لمنظمة ما أو تسرقها، ما يؤدي غالبًا إلى كشف معلومات حساسة أو سرّية.
PBKDF2: PBKDF2 هي خوارزمية تشفيرية تُجزّئ كلمات المرور بأمان باستخدام «ملح» وتكرارات، ما يجعل كلمات المرور المخزنة أصعب في الكسر.
التصيّد الاحتيالي: التصيّد الاحتيالي جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
كلمة مرور مُشفّرة: كلمة المرور المُشفّرة هي كلمة مرور جرى تحويلها إلى صيغة مُرمّزة باستخدام علم التشفير لمنع الوصول غير المصرّح به وتعزيز الأمان.
الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لخداع الناس للكشف عن معلومات سرّية أو توفير وصول غير مصرح به إلى الأنظمة.