De Canadese retailer Canadian Tire heeft de persoonlijke gegevens van ruim 38 miljoen klanten gelekt. Het gaat om namen, adresgegevens, telefoonnummers, e-mailadressen, geboortedata, geslacht, gedeeltelijke creditcardgegevens (kaarttype, verloopdatum en gemaskeerd kaartnummer) en hashes van wachtwoorden die met het PBKDF2-algoritme waren gemaakt. De gegevens werden door criminelen gestolen en vervolgens verspreid via internet.

Canadian Tire maakte het datalek eind vorig jaar al bekend, waarbij het stelde dat de gegevens uit een "e-commerce database" waren gestolen. Hoe de inbraak mogelijk was liet de retailer niet weten. Wel stelde het bedrijf dat "de kwetsbaarheid" was verholpen en dat het investeringen heeft gedaan om de beveiliging van klantgegevens te verbeteren. Verdere details werden niet gegeven.

De in totaal 38,3 miljoen gestolen e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via de website kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bij Canadian Tire gestolen e-mailadressen was 86 procent al via een ander datalek bij de zoekmachine bekend. Canadian Tire had vorig jaar een omzet van omgerekend 10 miljard euro.