文章总结： 文档分析ManoMano与CanadianTire两起3800万级数据泄露事件，指出供应链外包安全薄弱、核心数据库防护不足及信息延迟披露等问题。事件揭示数据安全核心挑战已转向生态链风险管理，建议企业建立零信任架构，强化第三方监测与数据治理，超越合规底线构建整体防护体系以应对持续演进威胁。 综合评分： 80 文章分类： 数据泄露,安全建设,供应链安全,数据安全

两个3800万数据泄露事件带来的一点点启示

河南等级保护测评

2026年3月8日 00:00 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

一、ManoMano数据泄露事件总结

欧洲知名家居与DIY电商平台 ManoMano 近日披露一起大规模数据泄露事件，约3800万用户可能受到影响。攻击发生于今年1月，但公司直至近期才开始通知相关客户。事件源于客户服务分包商遭入侵，黑客疑似通过其客户支持系统（可能为 Zendesk 实例）获取数据。一名自称“Indra”的威胁行为者在地下论坛 BreachForums 宣称对此负责，并称窃取了约43GB数据，涉及3780万个用户账户、90多万条服务工单及上万份附件。被盗信息包括姓名、电子邮件地址、电话号码及客服沟通记录，覆盖法国、德国、意大利、西班牙和英国五国用户。事件再次凸显供应链与外包服务安全管理的薄弱环节，以及客户支持系统作为攻击入口的高风险性。

二、Canadian Tire数据泄露事件总结

2025年10月，加拿大零售巨头 Canadian Tire 发生数据泄露事件，影响超过3800万个电子商务账户。公司表示攻击于10月2日被发现，黑客未经授权访问了电商数据库。受影响品牌包括Canadian Tire、SportChek、Mark’s/L’Équipeur和Party City。泄露信息涵盖姓名、电子邮件地址、出生日期、加密密码以及部分不完整信用卡信息，其中出生日期涉及账户不足15万。公司强调密码采用PBKDF2算法加密，泄露的信用卡信息无法直接用于欺诈交易，且Canadian Tire Bank及Triangle Rewards数据未受影响。近期，相关数据被收录至Have I Been Pwned ，披露记录约4200万条，其中包括3830万个电子邮件地址及部分地址、电话和性别信息。该事件反映出大型零售企业在电商数据库访问控制与数据分级保护方面仍面临重大挑战。

ManoMano与Canadian Tire两起事件虽发生在不同国家、不同企业，但在攻击路径、数据类型和影响范围上呈现出高度相似性，对企业数据安全管理具有典型警示意义。

第一，供应链与外包安全是现实短板。

ManoMano事件并非直接源于核心电商平台，而是来自客户服务分包商被入侵，攻击者疑似通过Zendesk支持系统获取数据。这说明企业安全边界早已超出自身机房或云平台，外包商、客服系统、SaaS服务均属于“延伸资产”。如果第三方未纳入统一的安全评估、持续监测和审计机制，任何一个薄弱节点都可能成为突破口。

第二，客服与电商数据库成为高频攻击目标。

在Canadian Tire事件中，黑客直接访问电子商务数据库；而ManoMano则是客服工单与用户资料系统被攻破。两者都属于“高集中度数据仓库”，聚合了身份信息、联系方式、账户信息及交易记录。这类系统往往因业务高频访问而权限复杂，一旦访问控制或日志监测失效，风险会迅速扩大至千万级用户。

第三，数据“基本信息”同样具有高价值。

两起事件中，大量泄露的是姓名、邮箱、电话、出生日期等“看似基础”的个人信息，但这些数据可用于精准钓鱼、撞库攻击、社工欺诈以及跨平台关联画像。即便密码采用PBKDF2等算法加密，或信用卡号不完整，也无法消除组合利用带来的二次风险。数据安全不能仅围绕“是否泄露完整银行卡号”来判断风险，而应从“信息可被关联利用程度”进行评估。

第四，延迟披露与透明度问题影响信任。

ManoMano的攻击发生在1月，直至近期才通知用户；Canadian Tire虽然较早披露，但最终受影响记录数量与公开数字仍存在差异。这种时间差与信息不对称，可能削弱用户信任，也可能引发监管关注。快速、透明、分级的事件通报机制，已成为数据治理成熟度的重要体现。

第五，大规模用户平台必须建立“假设已被入侵”的安全模型。

两起事件影响均在3800万级别，说明集中化平台一旦失守，影响呈指数级扩散。企业应采用零信任架构、最小权限策略、数据分区隔离、脱敏存储和访问行为分析等手段，将“单点失守”转化为“局部可控”。

第六，数据治理不能停留在合规层面。

这些企业并非缺乏基础安全措施，但现实证明，仅满足法规或行业最低要求，并不足以应对持续演进的攻击环境。数据分类分级、供应链安全评估、第三方持续监测、渗透测试与红队演练，应成为常态化机制，而非事后补救。

总体而言，这两起事件共同揭示：在数字零售和平台化经济时代，数据安全的核心挑战已从“技术漏洞”转向“生态链风险管理”。真正的防护能力，不在于是否部署某个安全产品，而在于是否建立了覆盖自身与合作伙伴的整体数据治理体系。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 《两个3800万数据泄露事件带来的一点点启示》