Canadian Investment Regulatory Organization (CIRO) mengonfirmasi bahwa insiden kebocoran data yang dialaminya tahun lalu berdampak pada sekitar 750.000 investor di Kanada. Kepastian ini disampaikan setelah organisasi tersebut menuntaskan investigasi forensik menyeluruh pada 14 Januari 2026.
CIRO merupakan badan pengatur mandiri nasional Kanada yang mengawasi dealer investasi, dealer reksa dana, serta aktivitas perdagangan. Dibentuk pada 2023, CIRO kini menjadi salah satu pilar utama dalam kerangka regulasi keuangan negara tersebut.
Insiden ini pertama kali diungkap pada 18 Agustus 2025. CIRO menjelaskan bahwa ancaman siber terdeteksi pada 11 Agustus, sehingga organisasi segera menonaktifkan sejumlah sistem non-kritis dan memulai penyelidikan. Temuan awal kala itu mengindikasikan adanya eksfiltrasi sebagian data pribadi milik perusahaan anggota serta karyawan terdaftar, namun cakupan penuh insiden baru dapat dipastikan setelah analisis lanjutan.
Dalam pembaruan terbarunya, CIRO menyatakan bahwa dampak kebocoran mencakup sekitar 750.000 investor—mewakili sebagian anggota CIRO saat ini maupun yang telah berstatus mantan anggota. Jenis data yang terpapar bervariasi untuk tiap individu dan dapat meliputi tanggal lahir, nomor telepon, informasi pendapatan tahunan, nomor asuransi sosial, nomor identitas pemerintah, nomor rekening investasi, hingga laporan rekening.
CIRO menegaskan bahwa kredensial login dan pertanyaan keamanan akun tidak terdampak, karena informasi tersebut tidak disimpan di sistem mereka. Organisasi ini juga menyampaikan telah menghabiskan lebih dari 9.000 jam untuk proses investigasi dan hingga kini tidak menemukan bukti penyalahgunaan data atau publikasi di forum gelap.
Sebagai langkah mitigasi risiko, CIRO akan menyediakan layanan pemantauan kredit dan perlindungan pencurian identitas gratis selama dua tahun bagi seluruh investor yang terdampak. Pemberitahuan langsung beserta instruksi pendaftaran akan dikirimkan kepada pihak yang terkonfirmasi terpengaruh. Sementara itu, individu yang tidak menerima pemberitahuan dapat menghubungi CIRO untuk memastikan status dampak.
Kebocoran data CIRO tercatat sebagai salah satu insiden keamanan siber terbesar di Kanada sepanjang tahun lalu, sejajar dengan sejumlah kasus besar lain yang menimpa organisasi dan perusahaan nasional.