加拿大投資監管組織CIRO證實未經授權存取事件，75萬投資人資料受影響

加拿大投資監管組織CIRO更新說明，證實其在2025年8月對外揭露的網路釣魚攻擊，經後續調查確認約有75萬名加拿大投資人受到影響。CIRO表示，將主動聯繫受影響投資人寄發通知信，並提供為期2年的信用監測與身分盜用防護服務，作為額外的預防措施。

可能受影響的資料範圍，包含出生日期、電話號碼、年收入、社會保險號碼SIN、政府核發身分證件號碼、投資帳戶號碼，以及帳戶對帳單等。CIRO同時強調，其不蒐集投資帳戶登入資訊，例如密碼、安全問題與個人識別碼PIN，因此這類登入資料不在此次風險範圍。

CIRO說明，這些可能受影響的投資人資料，是其在執行監管職責的過程中取得並保存，用途涵蓋投資人保護、調查、法令遵循評估與市場監理等工作。也因此該事件牽涉的不僅是一般個人資料，還包括監管機構在日常監理流程中掌握的部分投資帳戶相關資訊。

在處置方面，CIRO表示已迅速控制情勢，並立即採取措施確保系統安全，保護其所保管的資訊，同時通報執法機關與相關主管機關，包含隱私專員辦公室。CIRO也委託第三方資安鑑識調查單位，釐清受影響資訊的範圍與性質，並在外部資安專家的協助下展開調查。

對於外界關切資料是否已被用於不法用途，CIRO表示目前沒有證據顯示受影響資訊遭到濫用，並持續監控惡意活動，也沒有在暗網發現威脅活動或資料曝光跡象。不過，CIRO仍以預防角度，提供受影響投資人2年的信用監測與身分盜用防護服務，且由兩家主要信用機構提供。CIRO也強調，並非所有投資人都受到影響，僅限部分CIRO投資經銷商會員的當前或過去的客戶。

CIRO回顧調查進度指出，初步調查發現部分會員機構與受監管的註冊人士資料可能受影響，並已在當時對外說明，也直接通知會員與受影響的註冊人員。CIRO表示調查持續進行，並承諾在電子蒐證流程完成檢視後公布最終結果，CIRO這次更新指出，經逾9,000小時檢視後，現已能確認事件的完整影響範圍。