Канадский регулятор инвестиционной отрасли CIRO уточнил масштаб прошлогодней кибератаки. По итогам судебно-технического расследования, которое завершили 14 января 2026 года, под удар могли попасть персональные данные примерно 750 тысяч инвесторов. О самом инциденте организация сообщала еще 18 августа 2025-го, но тогда было ясно только одно: атака была, а вот сколько людей она задела, не понимал никто.
CIRO - это саморегулируемая организация, которая следит за участниками инвестиционного рынка Канады: инвестиционными дилерами, дилерами взаимных фондов и торговлей на долговых и фондовых рынках. Структура сравнительно новая, она появилась 1 января 2023 года после объединения двух предшественников. Но по роли это уже один из ключевых элементов рынка, через который проходят требования, проверки и дисциплина отрасли.
По данным CIRO, саму атаку они обнаружили 11 августа 2025 года. Тогда регулятор отключил часть некритичных систем и запустил расследование. Первые выводы касались данных фирм-членов и зарегистрированных сотрудников. То есть удар выглядел неприятным, но, казалось, локальным. Новая оценка показывает, что история шире: речь идет о клиентах компаний, которые входят в периметр CIRO, причем о нынешних и бывших.
Организация перечисляет категории данных, которые могли быть скомпрометированы. Это даты рождения, телефонные номера, сведения о годовом доходе, номера социального страхования, номера государственных удостоверений личности, номера инвестиционных счетов и выписки. При этом CIRO отдельно подчеркивает, что не хранит пароли, контрольные вопросы и PIN-коды, и эти данные не затронуты. Это снижает риск прямого входа через украденный пароль, но не исключает скрытые риски, когда личные сведения используют для правдоподобных звонков, подмены личности и точечного мошенничества.
CIRO утверждает, что потратила более 9000 часов на судебно‑технический анализ и привлекала независимых экспертов по кибербезопасности, чтобы понять реальный объем утечки. Президент и генеральный директор организации Эндрю Криглер принес извинения и сообщил, что CIRO собирается действовать корректно по отношению к пострадавшим и усиливать защиту. Отдельно говорится, что атака была результатом сложной фишинговой кампании и что о ней уведомили правоохранителей и профильные органы, включая комиссаров по защите персональных данных.
На данный момент CIRO не видит признаков того, что информация уже использовалась злоумышленниками или выставлялась на продажу. Мониторинг продолжается. С 14 января 2026 регулятор начал рассылать уведомления пострадавшим по электронной почте или обычной почтой, доставка может занять несколько недель. Пострадавшим предлагают два года бесплатного мониторинга кредитной истории и защиты от кражи личности через Equifax и TransUnion, крупнейшие кредитные бюро Канады.
Есть и юридическое продолжение. В октябре прошлого года в Верховный суд Квебека подали коллективный иск против CIRO. Истец обвиняет организацию в небрежности и утверждает, что уведомление об инциденте пришло не сразу, а спустя более 40 дней после обнаружения компрометации. Иск подан от имени всех лиц в Канаде, чьи персональные или финансовые данные хранились в CIRO и могли быть затронуты.
