Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.
Le 21 mai 2026, McDonald’s France a confirmé une campagne de credential stuffing ayant détourné des comptes fidélité McDo+, des fraudeurs vidant les points accumulés pour des commandes gratuites ; aucune donnée bancaire n’a été touchée et un changement massif de mots de passe a été lancé.
Le 21 février 2026, Innovorder — éditeur français de logiciels SaaS d'encaissement et de gestion pour la restauration — a confirmé une fuite de données après la mise en vente, sur un forum, d'un jeu d'environ 41 000 enregistrements obtenu via des identifiants compromis lors d'une autre violation.
Fin octobre 2025, France Travail — l'agence publique française pour l'emploi — révèle une fuite : des attaquants ont utilisé des identifiants dérobés par des infostealers pour accéder à des comptes de demandeurs d'emploi et exfiltrer des données personnelles, d'identité et financières ; environ 16 479 enregistrements recensés.
En février 2025, la Caisse des dépôts a révélé que des pirates avaient utilisé des identifiants de connexion volés pour accéder à la plateforme de retraite Ircantec et dérober les données personnelles d'environ 70 000 agents contractuels du public, praticiens hospitaliers et près de 1 000 élus locaux.
En janvier 2025, l'enseigne française Kiabi a révélé une attaque par credential stuffing sur son site de seconde main (secondemain.kiabi.com) ayant exposé les nom, date de naissance, coordonnées et IBAN d'environ 20 000 clients.
En novembre 2024, la Compagnie des Transports Strasbourgeois (CTS) — opérateur de transport public de Strasbourg — a détecté des connexions frauduleuses sur une centaine de ses quelque 350 000 comptes clients, via une attaque par credential stuffing réutilisant des mots de passe volés lors de fuites externes.
Le 12 novembre 2024, l'enseigne de surgelés Picard a révélé une attaque par credential stuffing ayant compromis les comptes fidélité d'environ 45 000 clients, exposant des données personnelles et de fidélité ; aucune donnée bancaire n'était concernée et la CNIL a été notifiée.
AT&T a révélé que des attaquants avaient utilisé des identifiants volés par des infostealers pour s'authentifier auprès de son locataire d'entrepôt de données cloud Snowflake — dépourvu de MFA — et exfiltrer les métadonnées d'appels et de SMS couvrant la quasi-totalité de ses 110 millions de clients mobiles.
Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.
Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.
Des attaquants ont utilisé des identifiants réutilisés issus de fuites antérieures pour accéder à des comptes 23andMe, puis ont exploité la fonctionnalité « DNA Relatives » pour collecter des données de généalogie et de profils génétiques de 6,9 millions d'utilisateurs à partir des connexions de proches compromis.
L'acteur malveillant N4ughtySecTU a compromis TransUnion Afrique du Sud via un compte client protégé par le mot de passe « Password », puis a exigé une rançon de 15 millions de dollars. TransUnion a confirmé que les données personnelles de millions de consommateurs avaient été compromises.
Alors que les confinements liés à la pandémie portaient l'usage de Zoom à des niveaux records, plus de 500 000 identifiants de comptes Zoom récoltés par credential stuffing ont été vendus ou distribués gratuitement sur le dark web, tandis que des réunions ouvertes étaient détournées lors d'une vague d'incidents perturbateurs de « zoombombing ».
Un dump agrégé d'identifiants de 87 Go publié sur le service cloud MEGA a exposé 772,9 millions d'adresses e-mail uniques et 21,2 millions de mots de passe uniques, assemblés à partir de milliers de fuites antérieures pour alimenter des attaques de credential stuffing à l'échelle industrielle.
Victim
Internautes du monde entier (dump agrégé multi-fuites)