Le fournisseur de matériel médical à domicile AdaptHealth a divulgué un incident de cybersécurité majeur : une attaque par ingénierie sociale visant un sous-traitant a permis à un acteur malveillant d'accéder à ses systèmes cloud et aux informations personnelles et de santé de patients.
Le fabricant de dispositifs médicaux Medtronic a commencé à notifier environ 3,8 millions de personnes d'une fuite de données liée à l'intrusion du groupe d'extorsion ShinyHunters dans ses systèmes en avril 2026.
Le département américain de la Sécurité intérieure a confirmé que des pirates avaient compromis le Homeland Security Information Network, une plateforme non classifiée servant à partager des informations sensibles avec des partenaires fédéraux, étatiques, locaux et du secteur privé.
Kubota North America a révélé qu'un tiers non autorisé avait eu un accès d'un mois à son réseau début 2026, atteignant des fichiers RH contenant les données personnelles d'employés et d'ayants droit.
Aflac a révélé que des attaquants ayant compromis le portail des assurés de sa filiale japonaise avaient exfiltré les données personnelles d'environ 4,38 millions de clients et d'agents d'assurance.
Les activités de Nissan sur le continent américain ont révélé que des attaquants exploitant une faille zero-day d'Oracle PeopleSoft avaient accédé à des données sensibles d'employés actuels et anciens aux États-Unis, au Canada, au Mexique et au Brésil.
Une faille dans un logiciel tiers a permis de compromettre la plateforme e-mail mutualisée que KDDI exploite pour six FAI japonais, exposant jusqu'à 14,22 millions d'identifiants e-mail.
Tata Electronics a confirmé une cyberattaque après la publication par World Leaks de plus de 200 000 fichiers volés, dont des documents évoquant Apple et Tesla selon des chercheurs.
Des attaquants ont utilisé un compte client pour exploiter une vulnérabilité des systèmes du distributeur canadien London Hydro, accédant potentiellement aux noms, coordonnées et informations de compte d'autres clients.
Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme RH tierce qu'elle utilisait, après que le groupe SHADOWBYT3$ a prétendu avoir exfiltré environ 859 Mo de données et réclamé une rançon de 2 millions de dollars — tout en soulignant que les systèmes et les données clients de Nintendo n'avaient pas été touchés.
Une compromission du prestataire tiers qui traite la vente des permis de chasse et de pêche du Texas a exposé les numéros de permis de conduire, de passeport et les coordonnées de plus de trois millions de Texans, l'État précisant toutefois que les numéros de sécurité sociale et les données financières n'ont pas été dérobés.
L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.
Le groupe d'extorsion ShinyHunters a publié des données qu'il affirme avoir volées à Madison Square Garden Sports — propriétaire des Knicks et des Rangers — après l'expiration d'une échéance de rançon impayée.
Le groupe d'extorsion ShinyHunters a affirmé avoir dérobé quelque 297 Go de fiches de paie, de données RH et financières appartenant à plus de 10 000 employés, anciens et actuels, du Conseil de l'Europe en exploitant la faille zero-day Oracle PeopleSoft CVE-2026-35273, poussant l'organisation intergouvernementale à enquêter.
Le géant pharmaceutique danois Novo Nordisk a révélé que des attaquants avaient copié hors de ses systèmes informatiques internes des informations pseudonymisées de patients issues de certains de ses essais cliniques, l'amenant à mettre certains systèmes hors ligne le temps de son enquête.
L'Université de Nottingham a confirmé un incident informatique après que le groupe d'extorsion ShinyHunters a affirmé avoir volé environ 40 Go de données de son système de dossiers étudiants, exposant quelque 455 000 adresses e-mail ainsi que des noms, numéros de passeport et informations de paiement des frais.
Le groupe d'extorsion FulcrumSec affirme avoir volé environ 4,8 téraoctets de données à la fondation singapourienne Global Schools Foundation après avoir exploité des identifiants de base de données restés inchangés depuis une fuite de 2022, diffusant 33 088 numéros de passeport d'enfants et de parents ainsi qu'environ 9,4 millions de messages internes lorsque les négociations sur la rançon ont échoué.
Après l'échec des négociations, le groupe d'extorsion ShinyHunters a publié des données qu'il affirme avoir volées dans les systèmes Salesforce et SharePoint de Baker Distributing, exposant plus de 100 000 adresses e-mail de clients et enregistrements de contact.
L'administrateur de prestations dentaires DentaQuest a confirmé une intrusion sur son réseau après que le groupe d'extorsion ShinyHunters a diffusé environ 234 Go de données volées, exposant des informations personnelles, d'identité et d'assurance santé liées à environ 2,6 millions de comptes.
Le Programme alimentaire mondial de l'ONU a révélé que des attaquants avaient accédé sans autorisation à son application d'auto-enregistrement pour la Palestine, exposant noms, numéros d'identité et de téléphone et données de localisation d'environ 600 000 foyers de Gaza, ce qui constituerait la plus grande fuite connue de données de bénéficiaires humanitaires.
En mai 2026, le service de triche pour GTA V et CS2 Atlas Menu a subi une fuite de données. Un attaquant a affirmé avoir obtenu l'accès à tous les systèmes d'Atlas et a publié la base de données du service dans un dépôt GitHub public.
En mai 2026, l'entreprise de gestion de voyages d'affaires BCD Travel a été présentée comme victime de la campagne d'extorsion « payer ou divulguer » de ShinyHunters. Des données prétendument obtenues auprès de BCD ont ensuite été publiées publiquement début juin et contenaient 396 000 adresses e-mail uniques.
Fin mai 2026, une base commerciale B2B attribuée au distributeur français de produits bio Nature & Cie a été diffusée sur un forum cybercriminel, exposant environ 5 635 magasins, plus de 1 500 contacts professionnels et près de 1 500 comptes-rendus de visites liés à des partenaires Biocoop, Naturalia et La Vie Claire.
Le 24 mai 2026, le camping 4 étoiles Les Embruns d’Oléron, au Château-d’Oléron, a été victime d’une fuite de données exposant environ 39 Go de fichiers internes, dont les coordonnées et réservations d’au moins 1 832 vacanciers issus des séjours 2024-2026.
Le 23 mai 2026, AVEA Vacances, association française organisant des séjours éducatifs et colonies de vacances pour enfants et adolescents, a été visée par une fuite sur forum d'environ 46 000 enregistrements (128 Mo), dont un fichier de 18 140 lignes de données de postiers et CSE ainsi que des documents de réservation et comptables.
Le 23 mai 2026, l’association de colonies de vacances Avea Vacances a été désignée par le cybercriminel ChimeraZ, qui a publié environ 46 000 enregistrements (128 Mo) sur un forum cybercriminel, dont des documents d’organisation de séjours et un fichier de plus de 18 000 agents de La Poste.
Camping-Car Plus, e-commerçant français d’accessoires pour camping-cars et vans aménagés, a informé ses clients en mai 2026 d’une fuite de données exposant noms, adresses postales et e-mail, numéros de téléphone et identifiants de connexion avec mots de passe ; aucune donnée bancaire n’est concernée.
En mai 2026, l'entreprise de télécommunications Charter Communications (la société mère de la marque grand public de haut débit et de câble Spectrum) a été nommée par le groupe ShinyHunters dans une campagne d'extorsion de type "payer ou divulguer".
Une fuite de données visant Delko, réseau français de garages et centres d’entretien automobile, est actuellement revendiquée le groupe cybercriminel LAPSUS$, connu pour ses opérations d’extorsion…
Le spécialiste français du reconditionnement high-tech Largo informe ses clients avoir été victime d’un incident de sécurité ayant affecté une partie de
En mai 2026, l’opérateur français de tiers payant santé Almerys a révélé une fuite après la mise en vente, sur un forum cybercriminel, d’une base de plus de 44 millions de lignes contenant 15,4 millions de numéros de sécurité sociale uniques, des noms, dates de naissance et données d’assurance.
Le 22 mai 2026, une base de données contenant les informations personnelles d'environ 5,9 millions de clients de l'enseigne d'optique Atol Mon Opticien a été mise en vente sur un forum cybercriminel, exposant noms, dates de naissance, e-mails, téléphones et adresses postales.
Le 22 mai 2026, une base de données contenant prétendument 5 924 215 fiches clients de la coopérative d'opticiens française Atol a été mise en vente sur un forum cybercriminel, exposant noms, dates de naissance, adresses postales, e-mails et numéros de téléphone.
Le 22 mai 2026, une base de données contenant les fiches d’environ 218 000 clients d’Auchan Optique — noms, dates de naissance, adresses postales, numéros de téléphone et identifiants de compte — a été mise en vente sur un forum cybercriminel, dans le cadre d’une vague coordonnée de fuites visant les opticiens français.
Le 22 mai 2026, une base de données attribuée à l’enseigne d’optique française Jimmy Fairly a été mise en vente sur un forum cybercriminel, exposant les données personnelles de plus de 357 000 clients : noms, adresses postales complètes, e-mails et dates de naissance.
En mai 2026, le réseau de la Médiathèque départementale numérique de la Haute-Garonne (media31.mediatheques.fr) a confirmé une intrusion après que l'acteur AplaGroup a exploité des vulnérabilités critiques et extrait les données de comptes d'environ 765 personnes.
Victim
Médiathèque départementale numérique de la Haute-Garonne
Le 22 mai 2026, l'organisme de formation professionnelle Move Up Formation (moveup-formation.fr) est apparu sur un forum cybercriminel, où des attaquants affirment avoir dérobé sa base SQL complète, ses fichiers clients, l'intégralité du code source du site et un accès administrateur Stripe.
Nemea Groupe, exploitant français de résidences étudiantes, de résidences de tourisme et d'appart'hôtels, a confirmé une fuite de données touchant ses candidats locataires après l'exfiltration par le pirate ChimeraZ d'une base concernant environ 12 590 personnes, exposant identités, coordonnées, données bancaires et pièces d'identité scannées.
Un acteur malveillant a mis en vente sur un forum du dark web une base de données d'ATOA — fintech française de tokenisation immobilière et d'investissement fractionné — exposant environ 23 685 enregistrements d'utilisateurs et financiers ainsi que 326 archives KYC complètes (passeports, pièces d'identité, données bancaires).
Le 19 mai 2026, un cybercriminel connu sous le nom de ChimeraZ a revendiqué la fuite d'une base de données de l'opérateur français de locations de vacances Lagrange Vacances, exposant prétendument les réservations de plus de 44 000 vacanciers via une faille IDOR.
Le 18 mai 2026, MediaVacances, plateforme française de locations de vacances entre particuliers, a vu une base d'environ 256 000 factures clients couvrant 2005 à 2026 publiée sur un forum cybercriminel, exposant noms, adresses, données de paiement et informations d'annonces.
Le 17 mai 2026, le réseau de tourisme rural Gîtes de France a révélé une fuite de données exposant les réservations de 389 129 clients — noms, coordonnées, adresses postales et détails des séjours — issue d'un accès frauduleux lié à un prestataire informatique partagé.
Le 15 mai 2026, plus de 25 Go de données internes de la plateforme française de gestion documentaire Djaboo (djaboo.com) ont été publiés sur un forum cybercriminel, dont un export complet de base de données et les enregistrements de 12 378 comptes CRM, 6 372 entreprises clientes et 13 578 personnes.
En mai 2026, le groupe touristique français Pierre & Vacances-Center Parcs a révélé une fuite de données touchant sa plateforme « La France du Nord au Sud » (marque maeva), exposant les données personnelles d'environ 1,6 million de réservations et jusqu'à 4,5 millions de clients : noms, dates de naissance, numéros de téléphone et détails de séjour.
Les clients de Pierre & Vacances-Center Parcs sont concernés par une fuite de données confirmée par le groupe, liée à la plateforme de réservation La France du Nord au Sud, utilisée notamment pour…
Le 14 mai 2026, un acteur malveillant connu sous le nom de ChimeraZ a revendiqué la fuite d'environ 1 600 profils de chercheurs et de personnels du Collège de France, ainsi que de plusieurs centaines de mégaoctets de fichiers internes issus d'une instance Nextcloud.
Le 14 mai 2026, l’acteur ChimeraZ a diffusé des données d’EFC Formation (École Française de Comptabilité), publiant une archive de 1,3 Go concernant environ 49 000 étudiants et mettant en vente un second lot de 41 Go regroupant 60 683 documents administratifs et bancaires.
Le 13 mai 2026, un acteur malveillant sous le pseudonyme lazasec123 a mis en vente une base d'environ 2,3 millions de profils liés à des licences moto françaises et à FFMOTO.org, exposant noms, dates de naissance, adresses postales, e-mails et numéros de téléphone, proposée pour 150 euros.
Le 14 mai 2026, le cybercriminel ChimeraZ a publié environ 11 000 documents (près de 8,6 Mo de fichiers JSON et PDF) attribués à l’UPPCTSC (Union-prof.asso.fr), exposant des conventions de centres de formation, des informations d’établissements, des adresses e-mail professionnelles et des journaux de téléchargement horodatés.
Le 13 mai 2026, un acteur malveillant connu sous le pseudonyme ChimeraZ a publié sur un forum cybercriminel un fichier JSON d'environ 1 Mo censé contenir près de 5 500 profils clients du commerçant français de matériel informatique Akitatek, exposant noms, adresses postales et numéros de téléphone.
Le 13 mai 2026, une base de 256 319 enregistrements attribuée à la plateforme française de livraison Woop (woopit.fr) a été mise en vente sur un forum cybercriminel, exposant noms, adresses postales, numéros de téléphone, e-mails, dates de naissance et données bancaires.
BWH Hotels, maison mère de Best Western, a révélé en mai 2026 qu'un tiers non autorisé avait eu accès à une application web de réservation du 14 octobre 2025 au 22 avril 2026, exposant noms, e-mails, téléphones, adresses postales et détails de réservation ; les données de paiement n'ont pas été touchées.
Le 11 mai 2026, un jeu de données attribué à CalendrIDEL, plateforme française de gestion d'agenda pour infirmiers libéraux, a été publié sur un forum cybercriminel, exposant les e-mails, numéros de mobile, codes postaux et noms de profil d'environ 1 400 infirmiers.
En mai 2026, un acteur utilisant le pseudonyme lazasec a affirmé avoir compromis la CARMF, caisse de retraite et de prévoyance des médecins libéraux français, et divulgué une base pouvant atteindre 2,4 millions d’enregistrements (noms, codes cotisant, adresses postales et dates de dernière déclaration) ; la CARMF a qualifié les données exposées de publiques et non sensibles.
Le 11 mai 2026, le fournisseur coopératif d'énergie renouvelable Enercoop a subi un incident de sécurité au cours duquel des adresses e-mail liées à des comptes clients, prospects et sociétaires ont été compromises puis utilisées pour envoyer des messages frauduleux usurpant son service client.
Le 12 mai 2026, un acteur malveillant connu sous le pseudonyme ChimeraZ a publié un fichier JSON de 85 Mo contenant environ 6 410 profils issus d'une plateforme de confiance numérique liée à LuxTrust et Thales, exposant noms, e-mails, téléphones, organisations et rôles de comptes.
En mai 2026, une base de données attribuée à la marque française de dermo-cosmétique Nuhanciam a été repérée sur un forum cybercriminel, exposant plus de 156 000 enregistrements clients : noms, e-mails, dates de naissance, adresses postales, téléphones et mots de passe hachés.
La Ville de Roubaix a révélé une fuite de données sur sa plateforme Kiosque famille du service Éducation après la compromission de deux comptes utilisateurs, exposant l’identité et la scolarité de 165 enfants scolarisés et de leurs familles ; aucune donnée bancaire n’est concernée.
Le 12 mai 2026, un acteur connu sous le pseudonyme ChimeraZ a publié un fichier JSON de 85 Mo contenant environ 6 400 profils utilisateurs liés au groupe français de défense Thales ; les données provenaient de LuxTrust, un prestataire externe de signature électronique, et exposaient noms, e-mails, téléphones, organisations et rôles de comptes.
Le 10 mai 2026, une base de 187 927 enregistrements attribuée à la parfumerie de niche parisienne Kams Paris a été mise en vente sur un forum cybercriminel, exposant noms, adresses postales, téléphones, dates de naissance et IBAN de clients.
Le 11 mai 2026, Once For All a signalé un accès non autorisé à sa plateforme de conformité B2B Actradis, exposant des données de contact professionnelles (noms, e-mails pro, téléphones et coordonnées) ; une base diffusée depuis début mai comptait environ 305 000 enregistrements.
En mai 2026, le parti La France Insoumise a vu les données de sa plateforme militante Action Populaire dérobées et publiées sur un forum pirate, exposant environ 120 000 adresses email, 20 000 numéros de téléphone, des adresses postales et l'activité des militants de 2017 à 2026.
Une base de données liée à Monservicederemplacement.fr, plateforme du Service de Remplacement France (remplacement agricole), a circulé en ligne en mai 2026, exposant 213 477 enregistrements concernant environ 184 724 personnes, dont noms, coordonnées, dates de naissance et numéros de sécurité sociale.
Le 8 mai 2026, le e-commerçant français de cigarettes électroniques Arsène Valentin a révélé qu’un code malveillant injecté sur son site avait exposé des données clients — noms, e-mails, adresses postales, téléphones, dates de naissance et historique de commandes ; l’incident a été signalé à la CNIL.
Le 8 mai 2026, la chaîne de boulangeries Boulangerie Ange a confirmé une fuite de données exposant les noms, numéros de téléphone et villes d'environ 812 000 clients inscrits à ses services numériques, après qu'un jeton d'authentification exposé a permis d'accéder à sa base via l'API.
Le 7 mai 2026, un hacker sous le pseudonyme « fuzzeddffmepg » affirme avoir compromis Action Populaire, la plateforme militante de La France Insoumise, exposant environ 120 000 adresses e-mail, 20 000 numéros de téléphone, des messages privés et des données de paiement couvrant 2017-2026.
En mai 2026, Bilov — exploitant du réseau français de boulangeries Ange — a révélé une fuite de données exposant les coordonnées personnelles (nom, ville, numéro de téléphone) d'environ 812 000 clients, après qu'un jeton d'authentification actif a permis un accès non autorisé à une API.
Le 6 mai 2026, un acteur malveillant utilisant le pseudonyme Lagui a publié une base de 367 462 clients du programme de fidélité Leroy&moi de Leroy Merlin France — noms, dates de naissance, coordonnées, adresses postales et données de compte — qui auraient été collectées par scraping automatisé de la plateforme Leroy&moi.
Cetelem, la marque de crédit à la consommation de BNP Paribas Personal Finance, a confirmé une cyberattaque survenue le 20 avril 2026 ayant exposé les adresses email de plusieurs centaines de milliers de clients ; aucune donnée bancaire, de paiement ni mot de passe n'aurait été compromis.
En mai 2026, la société de services immobiliers Cushman & Wakefield a été la cible d'une campagne d'extorsion « payer ou divulguer » menée par le groupe ShinyHunters. Après la menace, le groupe a publiquement diffusé des données qu'il prétendait avoir obtenues auprès de la société, composées principalement d'adresses e-mail C&W ainsi que…
Le 4 mai 2026, Auto École du Lys — une auto-école de Dammarie-les-Lys — a subi une fuite de données confirmée exposant les fichiers de ses 220 candidats, dont des enregistrements très récents avec des dates d'examen remontant jusqu'en avril 2026.
L'Auto École du Moulin, une auto-école de La Rochelle, a subi une fuite de données révélée le 4 mai 2026 qui a exposé les dossiers personnels de 428 candidats, dont leur historique d'examens du permis de conduire.
Le 4 mai 2026, une fuite de données confirmée chez École de conduite Vincent, une auto-école d'Ancenis-Saint-Géréon (France), a exposé les dossiers d'environ 1 556 candidats, dont noms, dates de naissance, emails, numéros NEPH et historiques détaillés de passage du permis.
Le 4 mai 2026, un acteur sous le pseudonyme Spirigatito affirme publier environ 55 Go attribués à l’École de Psychologues Praticiens (Psycho-Prat), incluant une base d’étudiants, des pièces d’identité, des IBAN et le code source complet du site.
Le 4 mai 2026, l'acteur malveillant DumpsecV2 a revendiqué une fuite de données du distributeur automobile français Groupe GCA, exposant les données d'environ 65 000 clients et 2 500 employés, dont noms, coordonnées et informations sur les véhicules (immatriculation, VIN).
Les clients de Groupe GCA, réseau de concessions automobiles, seraient concernés par une fuite revendiquée touchant près de 67 500 personnes, selon la revendication. Le collectif Dumpsec affirme…
En mai 2026, un acteur malveillant utilisant le pseudonyme lowiq a mis en vente une base d'environ 1 223 520 enregistrements attribuée au e-commerçant français i-Run, mais l'entreprise a établi après enquête que ces données ne provenaient pas de ses propres systèmes.
Le 3 mai 2026, un acteur malveillant sous le pseudonyme Lagui a publié une base de données attribuée à Actradis, plateforme française de gestion de documents de conformité, exposant environ 82 611 fiches clients et 222 473 suivis internes.
En avril 2026, la Fédération Française de Basketball (FFBB) a subi une fuite de données après qu'un attaquant a détourné un compte utilisateur compromis de son outil de gestion des licenciés, exposant les données d'identité et de contact de près de 2 millions de licenciés et d'environ 900 000 représentants légaux.
Une cyberattaque de décembre 2025 contre Eurail B.V., opérateur des pass Interrail et Eurail, a exposé les données personnelles d'environ 308 000 voyageurs — noms, coordonnées, dates de naissance et numéros de passeport — revendues sur le dark web en 2026.
Un acteur malveillant connu sous le pseudonyme Lagui a publié une base de données attribuée au cabinet de recrutement français Profil Search, contenant environ 100 642 entrées et exposant noms, emails, téléphones, adresses postales et informations professionnelles.
Un hacker se présentant sous le pseudonyme Cybernox affirme mettre en vente une base de données attribuée au Ministère des Sports, de la Jeunesse et de la
Le 2 mai 2026, une base de données attribuée au site français de cadeaux publicitaires ObjetRama.fr a été publiée par un pirate utilisant l'alias ChimeraZ, exposant environ 209 000 enregistrements de commandes et de factures liés à près de 80 000 clients distincts.
L’Agence du Service Civique a révélé une violation de données personnelles touchant la plateforme de formation de ses structures d’accueil, après la publication sur un forum cybercriminel d’une base de contacts d’organismes accrédités : noms, e-mails, adresses postales, numéros de téléphone et numéros d’habilitation.
Le 1er mai 2026, un hacker affirme avoir compromis Faco Paris, établissement d'enseignement supérieur privé, et diffusé une archive d'environ 12 Go contenant plus de 11 000 documents sensibles, 27 000 fichiers de code source, pièces d'identité, IBAN et données d'étudiants.
ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.
Le 1er mai 2026, une base de données de 543 124 enregistrements clients attribuée à boutique-jourdefete.com — la boutique en ligne de l'enseigne française de fournitures de fête Jour de Fête — a été publiée sur un forum cybercriminel, exposant noms, e-mails, adresses postales, téléphones et jetons de connexion.
Le 1er mai 2026, la chaîne de pizzerias française La Pizza de Nico a été citée dans une revendication de fuite non vérifiée affirmant qu'une base de 67 767 clients aurait été publiée, exposant les coordonnées de près de 68 000 personnes.
Le 1er mai 2026, une base de données attribuée au site e-commerce français Madeindesign.com a été publiée sur un forum cybercriminel par un acteur malveillant connu sous le nom de ChimeraZ, exposant environ 464 000 comptes clients dans un fichier JSON d'environ 205 Mo ; l'entreprise n'a pas confirmé officiellement la fuite.
Le 30 avril 2026, le studio français de jeux vidéo Ankama (Dofus, Wakfu) a révélé une cyberattaque ayant donné un accès non autorisé à des données de comptes — noms, emails, villes, adresses IP, historique de commandes et numéros de carte partiels — touchant des centaines de milliers de joueurs.
Une base de données attribuée à AQUAES, un annuaire de bureaux d’études environnementaux français, a circulé en ligne le 30 avril 2026, exposant noms des cabinets, noms des responsables, adresses complètes, téléphones, e-mails, sites web et coordonnées GPS.
Révélée le 30 avril 2026, une fuite de données chez le fabricant français de domotique Delta Dore a exposé les données personnelles d’au moins 374 personnes inscrites sur son portail de formation professionnelle, formation-pro.deltadore.fr, donnant lieu à des notifications aux personnes concernées.
En avril 2026, la communauté de jeu Reborn Gaming a subi une fuite de données due à une vulnérabilité dans cPanel et WebHost Manager (WHM). La fuite a exposé 126 adresses e-mail uniques ainsi que des adresses IP et des identifiants Steam. Reborn Gaming a elle-même soumis les données à Have I Been Pwned.
Le 30 avril 2026, un pirate a affirmé mettre en vente une base de 443 000 enregistrements liée à la plateforme française d’épargne en ligne Yomoni, exposant noms, coordonnées, dates de naissance et résidence fiscale ; Yomoni a contesté la fuite après enquête.
Victim
Yomoni conteste la fuite de données portant sur 443 000 clients
Le 29 avril 2026, l’association française de critique des médias Acrimed a révélé une cyberattaque visant sa boutique en ligne, exposant les adresses e-mail, mots de passe chiffrés et historiques de commandes des clients ; noms, adresses postales, téléphones et données bancaires seraient épargnés.
Aréli, association de logement social basée à Lille, a révélé par un courrier adressé à ses partenaires qu’une cyberattaque survenue le 12 janvier 2026 a exposé les coordonnées et les informations bancaires (RIB) de structures partenaires, touchant moins de 2 % des données hébergées sur ses serveurs.
Le 29 avril 2026, un acteur malveillant a mis en ligne une base partielle issue de toucan.campusfrance.org, la plateforme de candidature de l'agence publique Campus France, exposant environ 18 000 dossiers d'étudiants étrangers (près de 430 Mo au format JSON) incluant noms, e-mails et formations visées.
En avril 2026, le groupe d'extorsion ShinyHunters a inscrit Vimeo sur son portail d'extorsion dans le cadre de sa campagne « payer ou divulguer ». Il a ensuite publié des centaines de gigaoctets de données, composées principalement de titres de vidéos, de données techniques et de métadonnées.
Un acteur malveillant a diffusé une base extraite du portail de taxe de séjour de Bordeaux Métropole, exposant noms, e-mails, téléphones et adresses des biens d'environ 11 000 déclarants de locations touristiques ; la métropole a confirmé la fuite.
Le 27 avril 2026, la marque française de lunettes écoresponsables vendues en ligne L’Opticienne Verte a été citée dans une fuite de données non vérifiée portant sur 13 039 enregistrements clients — noms, e-mails, téléphones, adresses postales et dates de naissance ; l’entreprise conteste toute intrusion.
Le 27 avril 2026, un groupe se présentant sous le nom LunarisSec a revendiqué le piratage de l'Université de Toulouse et la fuite d'une base de profils académiques—noms, e-mails, téléphones et données de recherche d'enseignants, doctorants et personnels—sans confirmation officielle de l'université.
En avril 2026, des données prétendument obtenues auprès de CTT, le service postal national du Portugal, ont été publiées sur un forum de piratage public. Les données comprenaient 468 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des numéros de suivi de colis pouvant être utilisés pour récupérer l'historique de suivi du colis.
Le 26 avril 2026, une base de 1 154 profils liés au ministère de la Transition écologique a été publiée en ligne, exposant noms d’agents, adresses e-mail professionnelles @developpement-durable.gouv.fr, dates de connexion et appartenances à des groupes.
Le 26 avril 2026, le hacker Angel_Batista a republié un jeu de données concernant environ 59 000 membres de la Gendarmerie nationale — noms, téléphones, e-mails personnels et professionnels, affectations et données de compte — extrait en 2025 de la plateforme interministérielle Resana.
Le 26 avril 2026, un acteur malveillant connu sous le nom de ChimeraZ a mis en ligne la base de données de Sejourneur.com, plateforme française de gestion de locations saisonnières, exposant environ 53 000 réservations, plus de 7 000 factures PDF et les données de plus de 46 000 personnes.
Le 25 avril 2026, un pirate utilisant le pseudonyme ChimeraZ affirme avoir dérobé et publié la base de données de la plateforme française de logement étudiant Adele.org, exposant environ 261 000 dossiers de demande (~560 Mo) contenant cartes d’identité scannées, passeports, cartes Vitale, coordonnées bancaires et documents fiscaux.
Le 25 avril 2026, une fuite de données confirmée a exposé des données personnelles de clients — noms, adresses email, numéros de téléphone, adresses postales et mots de passe hashés — du distributeur français de carrelage et décoration céramique Céram Décor.
Le 25 avril 2026, IFprofs — le réseau social mondial des professionnels de l'enseignement du français géré par l'Institut français — a vu une base d'environ 90 000 comptes de membres publiée en ligne par un acteur malveillant nommé ChimeraZ, exposant profils et activité sur la plateforme.
L'ANFR, l'agence française qui gère le spectre des fréquences, a révélé qu'une intrusion dans son téléservice Radiomaritime a exposé les données personnelles — noms, adresses postales, téléphones, emails et dates de naissance — d'environ 330 000 usagers ; un échantillon a été mis en vente en ligne.
Le 24 avril 2026, un hacker anonyme a affirmé sur Telegram avoir compromis l’infrastructure de supervision de STOR Solutions, opérateur de datacenter à La Réunion, revendiquant l’accès à des consoles de supervision internes et à plus de 120 000 onduleurs ; ces affirmations restent non vérifiées.
En avril 2026, la coopérative de distribution Système U a révélé une compromission de son espace fidélité magasins-u.com : des attaquants ont obtenu un accès non autorisé à des comptes clients, exposant noms, coordonnées et numéros de carte de fidélité, mais aucune donnée bancaire.
En avril 2026, la société de formation en ligne Udemy a été victime d'une tentative d'extorsion de type « payer ou divulguer » perpétrée par le groupe ShinyHunters. Les données ont ensuite été divulguées publiquement et contenaient 1,4 million d'adresses e-mail uniques appartenant à des clients et à des formateurs.
Le 23 avril 2026, un acteur malveillant utilisant le pseudonyme « undef » affirme mettre en vente une base de données de l'enseigne française de fitness Bodyhit, exposant les données personnelles et bancaires de plus de 218 000 clients, dont plus de 42 000 IBAN.
Suite de l'affaire de la fuite de données d'avril 2026 chez France Titres (ANTS), l'agence française des titres sécurisés : au-delà des quelque 11,7 millions de comptes officiellement confirmés, l'attaquant revendique désormais l'accès à environ 600 millions de lignes de données, dont des mots de passe en clair, des clés d'API et de chiffrement, et du code source.
Le 23 avril 2026, un attaquant affirme avoir compromis le site interne de la boulangerie La Mie Câline de Biscarrosse (France) et diffusé une base de données clients locale ainsi que des identifiants administrateur sur un forum cybercriminel.
Le courtier en assurance Wazari informe ses clients d’un incident de sécurité lié à une attaque externe ayant touché un outil de gestion et de stockage
Le 22 avril 2026, la marque néerlandaise de cosmétiques et parfums d’intérieur Rituals a révélé un téléchargement non autorisé de sa base d’adhérents fidélité, exposant noms, dates de naissance, sexe, adresses postales et email et numéros de téléphone ; aucun mot de passe ni donnée de paiement n’a été touché.
Le 22 avril 2026, le groupe LunarisSec a revendiqué une fuite de données de l'Université Aix-Marseille, diffusant des captures de listes internes d'utilisateurs contenant noms, adresses e-mail institutionnelles et informations de profil d'étudiants, doctorants, stagiaires et personnels ; l'université a coupé son réseau et affirmé que l'intégrité de ses systèmes et données était préservée.
Un hacker affirme avoir 6 Go d’images liées à plusieurs centrales nucléaires françaises exploitées par EDF, après une revendication publiée sur un forum
Le 21 avril 2026, une base contenant environ 6 700 profils uniques liés au réseau immobilier français Ledil Immobilier a été mise en téléchargement sur un forum cybercriminel, exposant noms, coordonnées, données CRM internes et informations sur les biens et transactions.
En avril 2026, la coopérative de distribution Magasins U a informé les détenteurs d'une carte de fidélité qu'un accès non autorisé à l'espace client magasins-u.com avait exposé des données personnelles (identité, coordonnées, numéro de carte de fidélité), les données bancaires n'étant pas concernées.
En avril 2026, l'entreprise de sécurité résidentielle ADT a confirmé une fuite de données par ShinyHunters, qui avait inscrit l'entreprise sur son site web dans le cadre d'une tentative d'extorsion « payer ou divulguer ». La fuite a touché 5,5 M d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses postales.
En avril 2026, la marque d'hôtels ultra-luxe Aman a été désignée par ShinyHunters comme la cible d'une campagne d'extorsion de type « payer ou divulguer », les données ayant prétendument été obtenues depuis leur CRM Salesforce. Les données ont ensuite été divulguées publiquement et contenaient plus de 200 000 adresses e-mail uniques.
France Titres (ANTS), l'agence publique délivrant les titres d'identité sécurisés, a révélé une fuite de données de son portail moncompte.ants.gouv.fr via une faille IDOR de l'API ; les autorités confirment 11,7 millions de comptes exposés (noms, dates de naissance, e-mails, adresses), tandis qu'un pirate revendique jusqu'à 19 millions d'enregistrements.
En avril 2026, Canada Life a été victime d'une campagne d'extorsion de type « payer ou divulguer » menée par le groupe ShinyHunters. Le groupe a ensuite publié les données qui contenaient plus de 200 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses physiques et, dans certains cas, des tickets de support client.
En avril 2026, le collectif de piratage ShinyHunters a affirmé avoir obtenu des données de Pitney Bowes dans le cadre d'une campagne d'extorsion plus large qui a également nommé plusieurs autres organisations.
Le 19 avril 2026, le groupe hacktiviste algérien LunarisSec a revendiqué l'extraction d'une base d'utilisateurs de l'Université de Bourgogne, exposant noms, adresses e-mail et données d'activité d'étudiants et de personnels ; l'ampleur n'a pas été précisée et l'université n'a pas confirmé.
En avril 2026, le célèbre collectif de pirates ShinyHunters a affirmé avoir obtenu un volume important de données appartenant à l'exploitant de croisières Carnival et a tenté d'extorquer l'organisation pour empêcher la divulgation des données.
Le 18 avril 2026, l'acteur malveillant ChimeraZ a revendiqué la publication d'une base de données clients dérobée à Comptoir du Rêve, librairie toulousaine spécialisée dans la BD et le manga, contenant 42 606 enregistrements liés à 38 085 individus.
Le 18 avril 2026, un groupe de hackers affirme sur un forum cybercriminel mettre en vente le logiciel « Smart Card Middleware Desktop » attribué à IN Groupe (ex-Imprimerie Nationale), entreprise publique française spécialisée dans les titres sécurisés.
Le 18 avril 2026, la marque française de jouets et de puériculture Moulin Roty a alerté ses clients par email qu'une cyberattaque visant sa plateforme e-commerce Magento mutualisée pouvait avoir exposé identité, contact, identifiants de compte, historique d'achats et préférences marketing, sans compromission confirmée et sans atteinte aux données bancaires.
Le 17 avril 2026, la boutique en ligne Bazar du Manga a confirmé que des données d'identité et de contact de ses clients avaient été extraites sans autorisation de sa base, puis exploitées par un tiers, Panda Manga, à des fins de démarchage ; aucune donnée bancaire n'était concernée.
Le 17 avril 2026, le site e-commerce de la librairie française ComptoirDuReve.fr aurait subi une fuite de données exposant une base de près de 42 000 clients, dont noms, civilités et adresses postales complètes exploitables pour des fraudes ciblées.
Le 17 avril 2026, la Fédération Française de Basket-ball (FFBB) a révélé qu'un accès frauduleux à un compte utilisateur avait permis à un attaquant (alias HexDex) d'extraire les données d'identité, de contact et de licence de près de 1,9 million de membres et d'environ 800 000 parents.
La Clinique de l'Yvette de Longjumeau serait visée par une cyberattaque, avec mise en ligne de données et revendication d’un accès administrateur par un
Le 16 avril 2026, un acteur malveillant connu sous le pseudonyme ChimeraZ a affirmé diffuser une base d'environ 6 600 enregistrements volée à ETAI (Infopro Digital Automotive), exposant identifiants d'entreprise, coordonnées et mots de passe hachés de garages français.
En avril 2026, le groupe DumpSec a affirmé avoir dérobé environ 150 Go de données à Assuréa, courtier en assurance auto du groupe Meilleurtaux, exposant près de 139 000 clients, des contrats et plus de 11 000 documents contenant des IBAN.
Le 15 avril 2026, l'acteur malveillant HexDex a mis en vente une base de données dérobée à la chaîne hôtelière française Brit Hotel, exposant 682 662 membres du programme fidélité ainsi que des e-mails, numéros de téléphone, adresses postales et dix ans d'historique de réservations (2016-2026).
En avril 2026, la société américaine de holding d'assurance Kemper Corporation a été nommée par le groupe de rançongiciels ShinyHunters dans une campagne d'extorsion de type « payer ou divulguer ».
Le 15 avril 2026, Pompes Funèbres Musulmanes Toulouse, un prestataire funéraire musulman, a subi une fuite de données revendiquée par un acteur nommé « ntmpd » qui a publié sur un forum un export de 1 178 fiches et des identifiants d'administration valides, exposant clients et défunts.
En avril 2026, la marque de mode Zara figurait parmi plusieurs organisations ciblées par le groupe d'extorsion ShinyHunters dans le cadre de sa campagne « payer ou être divulgué ».
En avril 2026, l'éditeur de logiciels fintech Abrigo a été visé par une tentative d'extorsion « payer ou divulguer » menée par le groupe ShinyHunters. Peu après, des données prétendument issues de l'instance Salesforce de l'entreprise ont été publiées et contenaient plus de 700 000 adresses e-mail uniques appartenant à la fois à Abrigo…
Le 14 avril 2026, un pirate connu sous le pseudonyme HexDex a revendiqué le vol et la mise en vente des données personnelles de 598 154 membres du programme de fidélité ETIK de Logis Hotels, couvrant 2012 à 2026 (identité, contact, facturation, identifiants).
En avril 2026, la chaîne de salles de sport Basic-Fit a révélé qu'une intrusion dans son système d'enregistrement des passages avait exposé les données personnelles et bancaires d'environ 1 million de membres en France, Belgique, Allemagne, Espagne, Luxembourg et aux Pays-Bas.
Après la fuite massive évoquant EduConnect, une nouvelle alerte circule autour de École Directe, une plateforme largement utilisée dans les établissements
En avril 2026, le cabinet de courtage en immobilier commercial Marcus & Millichap a été désigné comme l'une des multiples victimes présumées du groupe de piratage et d'extorsion ShinyHunters.
En avril 2026, la plateforme de commerce électronique de mode de luxe Mytheresa a été désignée comme victime du groupe d'extorsion ShinyHunters pratiquant le « payez ou nous divulguons ». Une fois le délai de la rançon expiré, le groupe a publié les données qui contenaient 84 000 adresses e-mail uniques.
En avril 2026, un hacker utilisant le pseudonyme Cybernox a revendiqué la compromission d’un lycée parisien rattaché à l’Académie de Paris, exposant les données de plus de 5 500 personnes — dont 1 701 élèves mineurs et 3 811 responsables — avec noms, adresses, numéros INE, photos d’identité et IBAN des responsables.
Le hacker Cybernox affirme détenir une base de données liée à l’ADMR (Aide à Domicile en Milieu Rural), contenant plusieurs milliers de profils. Selon les
Le 11 avril 2026, une base présentée comme un export français de véhicules d’occasion portant sur 70 551 véhicules, ainsi que les acheteurs et fournisseurs qui y figurent, a été mise en avant dans une fuite revendiquée mais non vérifiée.
Un hacker affirme détenir une base de données associée à EduConnect, le système officiel de l’Éducation nationale permettant de suivre la scolarité des
En avril 2026, un acteur malveillant a revendiqué sur DarkForums le vol de la base de données de FranceVerif.fr, exposant au moins 3 204 comptes uniques d'auteurs d'avis et de boutiques, dont noms, emails, téléphones, adresses postales et identifiants d'entreprise (SIRET/TVA).
Vers le 10 avril 2026, un acteur malveillant a mis en vente DB Telecom (Service Telecom) — opérateur de téléphonie IP basé à Marseille sur le réseau Orange/Or-Tel — divulguant une base d'environ 41 470 clients et 2 835 372 enregistrements (noms, contacts, mots de passe en clair et e-mails internes).
Les clients d'EasyLounge sont concernés par une fuite de données confirmée par l'entreprise, après un incident de cybersécurité communiqué aux personnes concernées. La société, revendeur Hi‑Fi et…
En avril 2026, l'entreprise éducative McGraw Hill a confirmé une fuite de données à la suite d'une tentative d'extorsion. Attribué à une mauvaise configuration de Salesforce, l'incident a, selon l'entreprise, exposé « un ensemble limité de données provenant d'une page web hébergée par Salesforce sur sa plateforme ».
Le 10 avril 2026, le distributeur français de hi-fi et home-cinéma Son-Video.com (et sa marque sœur EasyLounge) a notifié à ses clients une fuite de données consécutive à un accès non autorisé, exposant noms, coordonnées, adresses postales et historique de commandes, mais ni données bancaires ni mots de passe.
Les personnes ayant passé le DCL (Diplôme de Compétence en Langue) seraient concernées, selon la revendication, par la mise en vente d’un fichier contenant les données personnelles de 93 061…
En avril 2026, 7-Eleven a été victime d'une campagne d'extorsion « payer ou divulguer » menée par ShinyHunters, les données ayant été publiées plus tard dans le mois. L'incident a exposé 185 000 adresses e-mail uniques, ainsi que des noms, des adresses postales, des dates de naissance et des numéros de téléphone.
Le 8 avril 2026, une base de données liée à l’académie de Nice a été repérée en diffusion en ligne, exposant près de 19 000 enregistrements de professeurs et d’agents, dont noms, courriels professionnels, affectations et lieux de travail.
Le prestataire français de sécurité email Alinto a laissé un cluster Elasticsearch non sécurisé exposant plus de 40 millions d’enregistrements SMTP (environ 4,5 millions d’adresses uniques) — métadonnées d’emails de L’Oréal, Renault, Carrefour, DHL et 14 000 comptes de l’État français.
La DGFiP a révélé qu’un attaquant, à l’aide des identifiants usurpés d’un fonctionnaire, a accédé au fichier national des comptes bancaires FICOBA entre fin janvier et début avril 2026, exposant IBAN/RIB, identités et adresses pour environ 1,2 million de comptes.
Les membres du programme de fidélité Colonel Club de KFC France ont reçu un e-mail les informant d'une violation de leurs données personnelles. KFC France a indiqué dans ce message que le nombre…
En avril 2026, la plateforme de petite amie IA pour adultes My Lovely AI a subi une fuite de données qui a exposé plus de 100 000 utilisateurs. Les données comprenaient des invites créées par les utilisateurs et des liens vers les images générées par IA correspondantes, ainsi qu'un petit nombre de noms d'utilisateur Discord et X.
En avril 2026, AlumnForce — la plateforme SaaS française qui gère les réseaux d’anciens élèves de dizaines d’universités et de grandes écoles — a subi une fuite de données exposant environ 2,7 millions de profils, dont noms, e-mails, numéros de téléphone et données de carrière détaillées, ensuite mis en vente sur des forums criminels.
En avril 2026, le réseau commercial de proxys résidentiels et FAI LegionProxy a subi une fuite de données. L'incident a exposé 10 k adresses e-mail, des hachages de mots de passe bcrypt, des noms et des achats.
Le 5 avril 2026, le groupe DumpSec a mis en vente une base qu'il présente comme concernant 35 millions de patients français liés aux Agences Régionales de Santé (ARS), plus de 130 hôpitaux et l'AP-HP, exposant identités, numéros de sécurité sociale et données de santé.
À la suite de notre article publié le 5 avril 2026, la société Nosho a souhaité apporter plusieurs précisions sur l’incident : Une attaque sur notre base
En avril 2026, une base de plus de 820 000 comptes clients d'Alltricks (environ 105 Mo) a été mise en vente sur des forums du dark web, exposant noms, e-mails, dates de naissance, adresses postales, numéros de mobile et données de fidélité ; l'enseigne conteste que les données proviennent de ses systèmes.
Le 4 avril 2026, Or en Cash, acteur français du rachat et de la revente d’or, a confirmé une fuite de données exposant les informations personnelles de plus de 70 000 clients — identités, pièces d’identité, coordonnées et historique de transactions — quelques jours après une attaque similaire visant Gold Union.
En avril 2026, le groupe de pirates ShinyHunters a affirmé avoir compromis Amtrak. Le groupe compromet généralement les instances Salesforce des organisations avant de réclamer une rançon puis, à défaut de paiement, de divulguer publiquement les données.
Début avril 2026, la conserverie française La Quiberonnaise a confirmé qu'un accès non autorisé à ses systèmes avait exposé des données personnelles de clients — noms, adresses postales, adresses email et numéros de téléphone — l'entreprise notifiant les clients concernés par email et signalant la violation à la CNIL.
En avril 2026, la plateforme de jeu de blind test musical SongTrivia2 a subi une fuite de données publiée sur un forum cybercriminel, exposant environ 291 000 comptes : adresses e-mail, noms, identifiants, avatars, jetons d'authentification et hachages bcrypt de mots de passe.
Le 2 avril 2026, une base contenant les données personnelles de 1 048 991 membres de la Fédération Nationale des Chasseurs (FNC) — noms, adresses postales, téléphones, e-mails et informations de permis de chasse — a été mise en vente sur le dark web.
En avril 2026, le négociant français de métaux précieux Gold Union a subi une fuite de données exposant les dossiers de plus de 126 000 clients (2023-2026) : identités, adresses, historiques de transactions, IBAN et environ 6 000 copies de pièces d’identité.
En avril 2026, la plateforme de quiz musicaux SongTrivia2 a subi une fuite de données qui a ensuite été publiée sur un forum de piratage public. Les données contenaient au total 291 000 adresses e-mail uniques provenant soit de connexions Google OAuth, soit de comptes créés sur le site, ces derniers contenant également des bcrypt…
Le 1er avril 2026, le syndicat français Force Ouvrière (FO) a été victime d'une fuite de données revendiquée par un acteur nommé HexDex, qui a mis en vente une base de 161 343 profils d'adhérents incluant plus de 161 000 adresses email, 130 000 adresses postales et près de 100 000 numéros de téléphone.
Le 1er avril 2026, plus de 506 000 profils de jeunes suivis par le réseau des Missions Locales ont été mis en vente sur des forums du dark web, exposant identités complètes, coordonnées et données sensibles sur leur parcours scolaire, professionnel et leur situation sociale.
Vacancéole, spécialiste de la location de vacances en France, a été victime d’un incident de sécurité impliquant un prestataire technique, confirmant une
En mars 2026, Hallmark a subi une prétendue fuite suivie d'une extorsion après que des attaquants ont accédé à des données stockées dans Salesforce. Les données ont ensuite été publiées une fois le délai d'extorsion dépassé, exposant 1,7 million d'adresses e-mail uniques couvrant à la fois Hallmark et le service de streaming Hallmark+…
Le 31 mars 2026, Vaucluse Provence Attractivité — l'agence publique de promotion touristique et économique du département de Vaucluse — a révélé une compromission de sa messagerie ayant permis l'envoi d'e-mails frauduleux depuis ses adresses officielles, exposant les noms et adresses e-mail de personnes l'ayant contactée.
Le 30 mars 2026, la Fédération Française de Savate s'est fait dérober une base d'environ 679 000 profils de licenciés couvrant 49 ans (1977–2026), mise en vente par un acteur connu sous le nom HexDex, exposant identités, coordonnées et données de licences sportives.
Le 30 mars 2026, une base de données de GDQuest — plateforme française de formation au moteur de jeu Godot — a été diffusée sur un forum pirate, exposant adresses e-mail, pseudos/slugs de comptes ainsi que les titres et tarifs des cours achetés.
Le 30 mars 2026, le courtier en crédit La Centrale de Financement a subi une fuite de 387 Go issue de son réseau interne — plus de 400 000 documents dont des scans KYC, relevés bancaires et avis d'imposition — mis en vente pour 25 000 $ après l'échec des négociations.
Fin mars 2026, le cybermarchand français de cigarettes électroniques Le Petit Vapoteur a été victime d'une fuite de données après qu'un pirate utilisant le pseudonyme « undef » a mis sa base clients en vente, exposant noms, e-mails, téléphones, adresses postales et journaux d'IP pour 3,3 millions de clients et 599 employés revendiqués, couvrant la période 2012-2026.
Le 28 mars 2026, la Fédération Française Handisport a révélé une fuite de données exposant les fichiers de 197 276 licenciés, dont des informations d'état civil, de contact et des données de santé sensibles comme le type de handicap, base mise en vente par l'acteur « HexDex ».
Vers le 27 mars 2026, l’ESN française Scalian a révélé une cyberattaque ayant entraîné la fuite de données sensibles d’employés — noms, coordonnées, cartes d’identité, cartes grises et mandats de prélèvement — le nombre de salariés concernés n’étant pas encore connu.
Le 23 mars 2026, le spécialiste français de la vente de pneus en ligne Allopneus a subi une cyberattaque visant le logiciel de gestion de son service de montage à domicile, exposant les données de 453 299 clients uniques réparties sur 739 316 enregistrements (2014-2026) ; aucune donnée bancaire ni mot de passe n'a été compromis.
Une importante fuite de données viserait actuellement l’enseigne Mondial Tissus. Selon les informations mises en circulation sur un forum de hackers, 365
Fin mars 2026, le Système d'Information sur les Armes (SIA), le registre national des armes géré par le ministère de l'Intérieur, a subi une fuite portant sur 62 511 armes et leurs propriétaires après la compromission d'un compte professionnel et la mise en vente des données.
Le 27 mars 2026, la Commission européenne a confirmé une cyberattaque visant l’infrastructure cloud hébergeant sa plateforme web Europa.eu ; le groupe d’extorsion ShinyHunters affirme avoir dérobé plus de 350 Go de données et en a divulgué plus de 90 Go, environ 30 entités de l’UE étant potentiellement touchées.
En mars 2026, le groupe de pirates et d'extorsion « ShinyHunters » a affirmé avoir obtenu un volume important de données de ZenBusiness, une plateforme de création d'entreprise et de mise en conformité.
En mars 2026, une violation de l'une des nombreuses itérations du forum de piratage BreachForums, connue sous le nom de « Version 5 », a été divulguée publiquement. L'incident a exposé 340 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des hachages de mots de passe argon2.
Le 26 mars 2026, une fuite chez Les Champs Libres — l'établissement culturel public de Rennes — a exposé des données de comptes utilisateurs : noms, adresses e-mail, numéros de téléphone et mots de passe en clair.
En mars 2026, l'entreprise fintech colombienne Addi a détecté une activité non autorisée sur sa plateforme et a informé ses clients qu'« il est possible que vos informations personnelles aient été compromises ».
Le 25 mars 2026, un incident de sécurité a été révélé sur la plateforme de formation E-campus de la Police nationale : un intrus a consulté les données personnelles de policiers et d'agents administratifs, un pirate revendiquant une base de 176 317 profils.
En mars 2026, l'entreprise d'outils de production audio Sound Radix a divulgué une fuite de données qu'elle a ensuite soumise elle-même à HIBP. L'incident a touché 293 000 adresses e-mail uniques et noms.
En mars 2026, le Cnous a confirmé qu'un attaquant avait exfiltré les données de 774 000 personnes depuis la plateforme de rendez-vous des Crous mesrdv.etudiant.gouv.fr, dont 139 000 individus dont les pièces jointes volées contenaient des documents d'identité.
Le 24 mars 2026, la Fédération Française de Vol Libre (FFVL) a été signalée victime d'une fuite de données exposant des fiches de membres après un accès non autorisé à ses systèmes ; le nombre de licenciés concernés n'a pas été précisé.
Fin mars 2026, un pirate a mis en vente les données de 62 511 armes enregistrées dans le Système d'Information sur les Armes (SIA) français, exposant noms, adresses postales, e-mails, numéros de téléphone, caractéristiques des armes et historiques de transactions des détenteurs.
En mars 2026, le Secrétariat général de l’enseignement catholique (SGEC) a révélé une cyberattaque visant une application administrative, exposant les données personnelles d’environ 1,5 million d’élèves, de familles et d’enseignants : noms, dates de naissance, adresses postales, e-mails et numéros de téléphone.
En mars 2026, le détaillant français d'airsoft en ligne Airsoft-Entrepot a subi une fuite de données exposant environ 363 000 clients et 2,9 millions de commandes couvrant 2013-2026, dont noms, e-mails, adresses postales, numéros de téléphone et historiques de commandes mis en vente par un pirate.
Le 20 mars 2026, une base de données de la Confédération Musicale de France (CMF) — fédération des ensembles et écoles de musique amateurs — a été mise en vente par l'acteur HexDex, exposant prétendument 109 302 membres dont de nombreux mineurs, avec identités, coordonnées, données scolaires et notes liées au handicap.
La Mutuelle Familiale, complémentaire santé française, a révélé une intrusion informatique détectée le 17 mars 2026 ayant potentiellement touché ses quelque 113 000 adhérents, exposant des pièces d'identité, des RIB ainsi que des données de santé et d'assurance.
Le 19 mars 2026, l'entreprise française de location de véhicules Mingat a confirmé une fuite de données touchant ses clients, qu'elle a informés d'un incident de sécurité ayant exposé des informations personnelles issues de ses fichiers de location.
Les 262 651 enseignants, futurs enseignants et professeurs stagiaires sont concernés par une fuite de données liée au système gérant les académies. L’incident porte sur un historique de plusieurs…
Le 17 mars 2026, l'acteur HexDex a revendiqué sur DarkForums une fuite issue de l'Annuaire de l'administration française, annuaire centralisé du secteur public, exposant les noms, numéros de téléphone, adresses professionnelles et personnelles et fonctions d'environ 60 000 agents.
Le 14 mars 2026, une fuite a été revendiquée exposant environ 594 numéros de téléphone de membres parisiens de Reconquête! liés à la campagne municipale de Sarah Knafo — dans le prolongement de l'exposition publique des données de contributeurs de son site de campagne.
En mars 2026, le service de skins personnalisés pour League of Legends Divine Skins a subi une fuite de données. L'incident a été divulgué via le serveur Discord du service, où Divine Skins a déclaré qu'un tiers non autorisé avait accédé à une partie de ses systèmes, supprimé tous les skins de la base de données et exposé des adresses e-mail…
Le 13 mars 2026, un acteur malveillant a revendiqué la fuite d'une base de données de GPS Santé, société française de e-santé proposant prise de rendez-vous médicaux en ligne et téléconsultation, exposant prétendument environ 890 000 patients et praticiens.
Le 13 mars 2026, un jeu de données attribué à la plateforme française Therapeutes.com a été mis en vente, exposant environ 71 502 patients ainsi que près de 199 697 rendez-vous et des informations de santé mentale particulièrement sensibles.
Les étudiants, les personnels et les partenaires de l'Université Paris-Est sont concernés par une fuite confirmée touchant les fichiers administratifs de l’établissement. Environ 315 000 lignes de…
Le 12 mars 2026, la plateforme française de médecines douces Medoucine a confirmé une fuite de données : une base de 813 866 utilisateurs — dont environ 6 500 praticiens — a été mise en vente, exposant noms, e-mails, téléphones et historiques de consultation.
Le 11 mars 2026, une base de données d'INTERSPORT Rent — l'enseigne de location de skis et de snowboards du groupe de distribution sportive Intersport — a été diffusée sur un forum pirate, exposant environ 1,2 million de lignes correspondant à près de 476 282 clients uniques : noms, e-mails, téléphones, numéros de fidélité et historiques de location.
Une fuite revendiquée d'identifiants de connexion Pronote (adresses e-mail et mots de passe) appartenant à des élèves et parents français aurait été mise en vente sur le dark web ; l'éditeur Index Education affirme que ses propres systèmes n'ont pas été compromis, les identifiants provenant d'hameçonnage et de vols de comptes.
Les membres de la Fédération Omnisports ASPTT pourraient être concernés par une fuite revendiquée touchant plus d'un million d'inscriptions, pour la période 2014-2026, selon la revendication…
Le 9 mars 2026, la société de gestion française agréée par l'AMF Vatel Capital a informé ses clients par mail d'une exposition accidentelle de fichiers survenue entre le 21 février et début mars 2026, touchant des données personnelles détenues par la société.
Le 8 mars 2026, un cybercriminel a mis en vente sur un forum une base de données de 121 Go issue de la plateforme d'indemnisation aérienne Airclaim, revendiquant 55 867 passagers touchés — dont 1 042 ressortissants français — avec passeports scannés, signatures et cartes d'embarquement exposés.
En mars 2026, la chaîne de restaurants turque Baydöner a subi une fuite de données qui a ensuite été publiée sur un forum de piratage public. L'incident a exposé plus de 1,2 million d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des villes de résidence et des mots de passe en texte clair.
Les membres de la FNATH sont concernés par une fuite revendiquée portant sur près de 75 000 personnes, selon la revendication. L’association d’aide aux accidentés de la vie ferait l’objet d’une…
Le 8 mars 2026, une fuite de données a été revendiquée contre la marque française de prêt-à-porter et de denim Le Temps des Cerises, exposant prétendument les données personnelles d'environ 800 000 clients ayant commandé sur son site.
En mars 2026, un cybercriminel a mis en vente sur un forum pirate une base de données fraîche de 1 342 952 clients de Stych — auto-école en ligne française — exposant noms, coordonnées, adresses postales, dates de naissance et données de profil de formation à la conduite.
Le 7 mars 2026, un acteur malveillant a revendiqué une fuite de données chez Ordoclic, fournisseur français d'e-prescription et d'e-santé, exposant prétendument les données de près de 4 600 personnes, patients et contacts professionnels ; la revendication reste non vérifiée.
Les clients et partenaires de SYNLAB France sont potentiellement concernés, selon la revendication du collectif HexDex. Celui-ci affirme détenir 161 Go de données internes appartenant au groupe de…
En mars 2026, le service de sécurité en ligne Aura a révélé une fuite de données qui a exposé 900 000 adresses e-mail uniques. Les données étaient principalement associées à un outil marketing d'une entreprise précédemment acquise, avec moins de 20 000 clients Aura actifs touchés.
Les systèmes liés au TAJ, utilisés par la Police et la Gendarmerie, seraient concernés par une fuite revendiquée. Selon la revendication, un package de données présenterait une image système complète…
Le 5 mars 2026, une base de données de 713 814 personnes ayant déposé un dossier de location sur la plateforme française de logement étudiant ImmoJeune a été mise en vente sur un forum cybercriminel, exposant noms, e-mails, téléphones, adresses postales et informations de revenus.
Le 5 mars 2026, un acteur malveillant connu sous le pseudonyme st0jke a revendiqué le piratage de Penninghen, école d'art et de design parisienne, et mis en vente environ 14 Go de données sur près de 25 000 étudiants et parents, dont photos, IBAN, pièces d'identité et code source.
Le 4 mars 2026, un acteur malveillant a affirmé sur un forum de hacking mettre en vente une base de données liée à l'Agence Nationale de la Cohésion des Territoires (ANCT), exposant prétendument les coordonnées professionnelles d'environ 15 000 employés et contacts administratifs, avec un échantillon en preuve.
Victim
Agence Nationale de la Cohésion des Territoires (ANCT)
Le 4 mars 2026, la Fédération française des Banques Alimentaires a confirmé une fuite de données exposant les dossiers de 659 658 familles bénéficiaires — environ 1 462 485 personnes — incluant identité, coordonnées, situation familiale, revenus et historique d'aide.
Le 4 mars 2026, un acteur malveillant a affirmé avoir divulgué environ 8 220 comptes clients d'Au Brouillon de Culture, une librairie de longue date à Nice qui vend aussi des livres via sa boutique en ligne.
En mars 2026, la marque média de développement personnel et de réussite SUCCESS a subi une fuite de données. L'incident a exposé 250 000 adresses e-mail uniques ainsi que des noms, des adresses IP, des numéros de téléphone et, pour un nombre limité de membres du personnel, des empreintes de mots de passe bcrypt.
En mars 2026, la plateforme de données marchandes pilotée par l'IA Woflow a été désignée comme victime par le groupe d'extorsion de données ShinyHunters. Le groupe a ensuite publié des dizaines de milliers de fichiers prétendument obtenus auprès de l'entreprise, représentant plus de 2 To de données.
En mars 2026, un hacker solitaire connu sous le nom de Gr0lum a entièrement compromis le tracker BitTorrent français YggTorrent, exfiltrant environ 6,6 millions de comptes ainsi que des emails, hashes de mots de passe, adresses IP et 54 776 cartes bancaires en clair avant la fermeture définitive du site.
Le 3 mars 2026, Be-bunk, fintech de paiement active dans les territoires français d'outre-mer, a confirmé une fuite de données touchant environ 13 000 clients, un pirate revendiquant une base de 75 millions de lignes comprenant IBAN, soldes et données d'identité.
Le 3 mars 2026, le service français de livraison de fleurs Florajet a confirmé un accès non autorisé à son outil BtoB après la mise en vente de 1 457 473 commandes (2023-2026, ~136 Go), exposant noms, adresses postales complètes, ~952 000 numéros de téléphone et des messages d'accompagnement intimes.
En mars 2026, la société de services financiers Ameriprise Financial a été désignée par le groupe ShinyHunters dans une campagne d'extorsion de type « payer ou divulguer ». Le groupe a affirmé détenir plus de 200 Go de données compressées exfiltrées de l'environnement Salesforce et de l'infrastructure SharePoint interne d'Ameriprise,…
Les patients de Bioserveur seraient concernés par une fuite revendiquée portant sur environ 2 200 documents PDF, selon la revendication. Ces fichiers sont décrits comme des comptes rendus d'analyses…
Cloud Imperium Games, studio derrière Star Citizen et Squadron 42, a révélé en mars 2026 qu'une attaque de janvier visant ses systèmes de sauvegarde avait donné un accès en lecture seule aux données des joueurs : noms, pseudos, dates de naissance et coordonnées.
Début mars 2026, la MDPH 92 — l'agence départementale du handicap des Hauts-de-Seine — a exposé par erreur environ 500 adresses email de bénéficiaires en envoyant un message d'information post-cyberattaque avec les destinataires en CC au lieu de CCI.
Le 2 mars 2026, la Ville de Paris a confirmé une fuite de données touchant la plateforme des Cours d'Adultes de Paris, exposant noms, dates de naissance, e-mails, adresses postales et numéros de téléphone d'usagers inscrits avant mai 2025 ; ni mots de passe ni données bancaires n'étaient concernés.
Le 2 mars 2026, un cybercriminel a revendiqué une intrusion dans Tchap, la messagerie sécurisée de l'État opérée par la DINUM, exposant des données liées à environ 10 000 membres et citant des salons internes du ministère de l'Intérieur et des forces de sécurité.
Le 1er mars 2026, un acteur malveillant a affirmé avoir dérobé une base de données de BE ATEX, distributeur français d'équipements de sécurité industrielle près de Toulouse, exposant les données personnelles d'environ 2 500 clients et salariés.
Le 28 février 2026, la Fédération Française d'Aéronautique (FFA) a révélé un accès non autorisé à sa plateforme de gestion des membres SMILE, exposant les noms, dates de naissance, e-mails et adresses postales de 343 734 membres, avec des archives remontant à 2002.
Les licenciés de la Fédération Française de Rugby à XIII sont concernés par une fuite confirmée touchant des photos et des informations de licence. Près de 37 000 des photos exposées concernent des…
Fin février 2026, la fédération du sport scolaire UNSS a révélé que des pirates avaient accédé à sa plateforme d'adhérents OPUSS et diffusé sur le darknet les données personnelles et environ 1,5 million de photos d'identité d'élèves (11-18 ans), couvrant ~668 000 membres actuels et ~889 000 anciens.
Le 28 février 2026, le groupe DumpSec a revendiqué l'exfiltration d'environ 65 Go de données et de près de 1,5 million de photos d'identité d'élèves chez l'UNSS, la fédération du sport scolaire, après une intrusion dans son intranet OPUSS ; noms, dates de naissance, établissements et coordonnées exposés.
Fin février 2026, l’ESPCI Paris (école d’ingénieurs et de recherche de l’Université PSL) a révélé qu’une faille dans le contrôle d’accès avait permis à des acteurs non identifiés de moissonner son annuaire interne, exposant les données d’identité et de contact d’étudiants, de personnels et d’intervenants extérieurs ; les mots de passe n’ont pas été touchés.
Fin février 2026, la Fédération Française de Gymnastique (FFGym) a révélé une fuite via son outil FFGym Licence, à la suite du piratage par hameçonnage d'un compte club, exposant les données d'environ 2,9 millions de licenciés actuels et anciens depuis 2004.
Fin février 2026, un acteur malveillant a mis en vente une base de 203 179 membres de la Fédération Française de Ski (FFS), couvrant des enregistrements de 1999 à 2026 et exposant état civil, coordonnées et informations familiales ; la FFS a confirmé la fuite et saisi la CNIL.
En février 2026, Unibail-Rodamco-Westfield a révélé un accès non autorisé à une base de données contenant les noms, e-mails, numéros de téléphone, codes postaux et dates de naissance des membres du programme Westfield Club et des abonnés à la newsletter ; aucune donnée financière ni mot de passe n'a été exposé.
Les dossiers de près de 15 millions de patients gérés via les logiciels de l'éditeur Cegedim sont concernés par une fuite confirmée. Les éléments rendus publics indiquent que ces données proviennent…
La Fédération Française de Gymnastique (FFGym) a subi une fuite de données révélée début 2026 : via un compte club compromis par hameçonnage sur la plateforme FFGym Licence, des attaquants ont accédé aux données personnelles d'environ 2,9 millions de licenciés et anciens licenciés depuis 2004.
Les licenciés et adhérents de la Fédération Française de Karaté sont concernés par une fuite de données revendiquée, selon la revendication. D'après l'annonce, une base de données de la FFK a été…
Les clients et prospects de Santeo, comparateur d'assurances santé, seraient concernés par une fuite de données revendiquée touchant environ 116 122 personnes, selon la revendication publiée le 26…
Les adhérents de la Fédération Française d'Aïkido, Aïkibudo et Associées (FFAAA) sont concernés par une fuite revendiquée de leurs données personnelles. Selon la revendication, un corpus de 352 502…
Victim
Fédération Française d'Aïkido, Aïkibudo et Associées (FFAAA)
En février, la plateforme de génération de bandes dessinées par IA KomikoAI a subi une fuite de données. L'incident a exposé 1 M d'adresses e-mail uniques ainsi que des noms, des publications d'utilisateurs et les requêtes IA utilisées pour générer du contenu. Les données exposées permettent d'associer des requêtes IA individuelles à des adresses e-mail spécifiques.
En février 2026, l'application de couples et de relations Lovora aurait subi une fuite de données qui a exposé 496 000 adresses e-mail uniques. Les données comprenaient également les noms d'affichage et les photos de profil des utilisateurs, ainsi que d'autres informations personnelles collectées via l'utilisation de l'application.
Fin février 2026, un acteur malveillant nommé DumpSec a mis en vente des données prétendument volées à l'agence d'intérim digitale française MyConnect — environ 125 000 enregistrements et 18 Go de fichiers (scans de CNI, RIB, actes de naissance) concernant près de 16 000 personnes.
Le 24 février 2026, un acteur malveillant a revendiqué la fuite d'une base de 8 571 documents KYC de vérification d'identité appartenant aux clients et porteurs de projets d'Ayomi, la plateforme française de financement participatif et de levée de fonds pour PME et startups.
Un cybercriminel a revendiqué la fuite d'une base de 74 312 comptes d'entreprises clientes de l'éditeur français Cegid, exposant raisons sociales, coordonnées, identifiants bancaires (RIB/IBAN) et métadonnées de factures pour des clients en France, en Belgique et en Espagne.
En février 2026, une base d'environ 11,4 millions d'enregistrements de licenciés, officiels et entraîneurs de la Fédération Française d'Athlétisme (FFA) a été mise en vente, exposant des données personnelles et des millions de mots de passe, dont environ 3 millions en clair.
Les clients de Mondial Relay sont concernés par une fuite de données confirmée touchant environ 5 millions d'enregistrements. Les éléments publiés indiquent qu'il s'agit d'un corpus agrégé à partir…
Les clients de l'Olympique de Marseille seraient concernés par une fuite revendiquée touchant près de 400 000 personnes, selon la revendication. La publication annonce la mise en vente d'une base…
Le 23 février 2026, l'association de service civique Unis Cité a subi une fuite de données touchant environ 80 000 personnes et près de 40 Go de données, dont des cartes d'identité, photos, IBAN et autres documents sensibles de jeunes volontaires, revendiquée par le groupe DumpSec.
La Fédération Française de Badminton a révélé qu'un export non autorisé depuis son application interne d'adhésion Poona, attribué à un compte administrateur compromis et découvert en septembre 2025, a exposé les données personnelles d'environ 300 000 licenciés, dont noms, dates de naissance, coordonnées et noms des parents.
Une base MongoDB non protégée liée au prestataire de vérification d'identité IDMerit a exposé environ 1 milliard d'enregistrements KYC dans 26 pays, dont noms, adresses, dates de naissance, numéros d'identité nationaux, téléphones et e-mails.
Le 20 février 2026, un acteur malveillant a revendiqué une fuite de données chez Azaé, prestataire français de services à la personne, exposant prétendument les informations personnelles d'environ 19 000 clients et salariés ; la revendication reste non confirmée par l'entreprise.
Le 20 février 2026, un fichier d'environ 65 000 enregistrements concernant des personnels de la Gendarmerie Nationale a été diffusé en ligne, issu d'un scraping de mars 2025 de la plateforme collaborative interministérielle RESANA, exposant noms, coordonnées et affectations.
Le 20 février 2026, un cybercriminel a mis en vente sur BreachForums une base de données revendiquée comme appartenant à la chaîne de salles de sport française KeepCool, touchant environ 400 000 membres répartis sur 270 clubs et exposant noms, e-mails, téléphones et certains IBAN.
Le 20 février 2026, une compilation de données personnelles portant sur 8 861 agents des ministères de l'Intérieur et des Armées — noms, dates de naissance, coordonnées et identifiants internes — a été diffusée sur des forums clandestins, dans le cadre d'un agrégat plus large de fuites visant des agents publics français.
Le 20 février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données chez OSAC, l'organisme français de sécurité de l'aviation civile, incluant pièces d'identité, passeports et documents internes ; l'intégralité a ensuite été publiée en ligne.
PayPal a révélé en février 2026 qu'une erreur de code dans sa plateforme de prêt aux entreprises PayPal Working Capital (PPWC) avait exposé les données personnelles — noms, dates de naissance, numéros de sécurité sociale et adresses professionnelles — d'une centaine de clients, dont certains en France, pendant près de six mois.
Le 20 février 2026, une base de données compilée exposant 2 393 agents de l'État français — Police, Gendarmerie, ministère des Armées, DGSI, DGSE, Douanes et CNIL (dont 86 agents de la CNIL) — a été publiée sur des forums clandestins, divulguant des données d'identité, de contact et professionnelles agrégées à partir de centaines de fuites antérieures.
En février 2026, la Fédération Française de Canoë-Kayak et Sports de Pagaie (FFCK) a vu une base d'adhérents couvrant des décennies de licenciés fuiter et être mise en vente, exposant noms, dates de naissance, adresses postales, téléphones, e-mails et données de club/licence d'environ 393 374 personnes.
En février 2026, le ministère des Sports, de la Jeunesse et de la Vie associative a vu les données d'environ 450 000 candidats exfiltrées de sa plateforme de formation FORÔMES après la compromission du compte d'un organisme de formation légitime, exposant noms, coordonnées et dates et lieux de naissance.
Victim
Ministère des Sports, de la Jeunesse et de la Vie associative
Le 19 février 2026, le Ministère des Sports a révélé l'exfiltration des données d'environ 450 000 candidats depuis sa plateforme de formation et de diplômes FORÔMES, à la suite de la compromission du compte légitime d'un organisme de formation, exposant noms, coordonnées et dates et lieux de naissance.
Le 18 février 2026, la CFDT, première confédération syndicale française, a confirmé une fuite de données exposant les nom, adresse postale et informations d'affiliation syndicale de jusqu'à 1,4 million d'adhérents actuels et anciens, après le détournement du compte d'un responsable régional.
La DGFiP a annoncé le 18 février 2026 qu'un attaquant ayant usurpé les identifiants d'un fonctionnaire avait accédé à FICOBA, le fichier national des comptes bancaires, exposant identité, adresse, IBAN et, dans certains cas, l'identifiant fiscal d'environ 1,2 million de titulaires.
En février 2026, les données personnelles de milliers de salariés ont été retrouvées en circulation sur le dark web après une fuite touchant Espace CE (Espace CSE), plateforme française de gestion des avantages pour les comités sociaux et économiques ; les champs exposés comprenaient noms, coordonnées, dates de naissance et mots de passe hachés.
Le ministère de l'Économie et des Finances a révélé qu'un intrus ayant usurpé les identifiants d'un fonctionnaire avait accédé illégitimement au fichier national des comptes bancaires FICOBA depuis fin janvier 2026, exposant les coordonnées bancaires (IBAN/RIB), l'identité, l'adresse et parfois l'identifiant fiscal des titulaires de près de 1,2 million de comptes.
Les élèves, leurs parents et le personnel du Lycée Carnot Paris pourraient être concernés par la divulgation d'environ 5 022 fiches utilisateurs. Selon la revendication, ces fiches auraient été…
Les membres et anciens membres d'On Air Fitness seraient concernés, selon la revendication, par une fuite de données touchant environ 512 000 personnes. D'après l'annonce, les fichiers couvriraient…
En février 2026, un acteur malveillant a affirmé avoir piraté l'intranet du groupe audiovisuel européen RTL Group, exposant un annuaire interne de plus de 27 000 salariés et ex-salariés : noms, e-mails professionnels, adresses, numéros de téléphone et informations de poste.
Les clients d'Axa France sont concernés, selon la revendication, par une fuite annoncée qui toucherait plus de 8 millions de personnes. La revendication indique que des « données et accès » ont été…
En février 2026, l'application contre l'addiction au porno Quitbro aurait subi une fuite de données qui a exposé 23 000 adresses e-mail uniques. Les données comprenaient également les années de naissance des utilisateurs, leurs réponses aux questions de l'application et l'heure de leur dernière rechute enregistrée.
Les clients et partenaires d'Adidas sont concernés par une fuite confirmée qui expose des informations personnelles et commerciales. Selon les éléments disponibles, environ 1 617 personnes ont été…
Les clients des marques partenaires de Socloz sont concernés, selon la revendication, par l’exfiltration d’environ 31 millions de lignes de réservations début 2026. Socloz est une plateforme…
Le 15 février 2026, le groupe Lapsus$ a mis en vente sur BreachForums une base de données prétendument dérobée à l'école d'ingénieurs française EPITA, revendiquant des données sur 14 753 étudiants et personnels (noms, adresses e-mail, années de diplôme et photos de profil).
Victim
EPITA (École Pour l'Informatique et les Techniques Avancées)
En février 2026, la place de marché automobile CarGurus a été la cible d'une fuite de données attribuée à l'acteur malveillant ShinyHunters. À la suite d'une tentative d'extorsion, les données ont été publiées publiquement et contenaient plus de 12 millions d'adresses e-mail réparties dans plusieurs fichiers, y compris des correspondances d'identifiants de comptes utilisateurs,…
Les adhérents de la Fédération française de voitures radio commandées (FFVRC) seraient concernés par une fuite revendiquée touchant près de 98 000 personnes. D'après la revendication, 97 795…
Victim
Fédération française de voitures radio commandées (FFVRC)
Les clients de Chez Switch sont concernés, selon la revendication, par une fuite de données qui toucherait près de 19 300 personnes. Chez Switch se présente comme un fournisseur d'énergie et…
Gustave-Auto, plateforme française de services automobiles (convoyage de véhicules, gestion de flotte et réparation), a révélé en février 2026 qu'une anomalie d'accès avait exposé des données de partenaires — noms, adresses postales et e-mail, numéros de téléphone, coordonnées bancaires (IBAN/BIC) et numéros SIRET/TVA — une revendication évoquant environ 3 600 enregistrements.
Un acteur malveillant a affirmé avoir dérobé des données liées à Kimsufi, la marque d'hébergement économique du fournisseur cloud français OVHcloud, évoquant l'exposition d'environ 1,6 million de clients et de données de 5,9 millions de sites hébergés ; OVHcloud a démenti, affirmant que l'échantillon ne provenait pas de ses systèmes.
Le 11 février 2026, l'association d'aide alimentaire Les Restos du Cœur a subi une cyberattaque sur un système interne, exposant les données personnelles de ses salariés et bénévoles : noms, fonctions, départements, adresses e-mail et numéros de téléphone.
En février 2026, la Fédération Française de Judo (France Judo) a subi une compromission de son extranet fédéral : le groupe RavenSec a dérobé et mis en vente près de 2,4 millions de lignes couvrant 533 730 licenciés, dont des photos, 948 cartes d'identité, des numéros de sécurité sociale et des données médicales.
En février 2026, l'opérateur télécom néerlandais Odido a été victime d'une fuite de données suivie d'une tentative d'extorsion. Peu après, un total de 6 millions d'adresses e-mail uniques ont été publiées dans le cadre de quatre diffusions de données distinctes sur des jours consécutifs.
La mairie de Bourg-Achard (Eure, Normandie) a révélé une cyberattaque survenue le 29 janvier 2026 ayant entraîné une fuite de données, les dossiers de réservation des salles communales figurant parmi les informations exposées ; la CNIL, la gendarmerie et l'ANSSI/Normandie Cyber ont été informées.
Le 10 février 2026, un cybercriminel a affirmé avoir dérobé 13 016 comptes clients uniques à Birdee, la plateforme d'épargne et de gestion automatisée, prétendument extraits de deux fichiers de base de données contenant les coordonnées des titulaires de comptes.
Les clients de Ciffreo Bona sont concernés par une fuite revendiquée touchant près de 70 000 comptes, selon la revendication. Le fichier annoncé couvrirait 15 ans d'activité (2009-2024) et…
Révélée le 9 février 2026, une fuite de données chez Aïkan, spécialiste français de la délégation de gestion en assurance, liée à une intrusion détectée le 15 janvier, a exposé des données personnelles d'assurés gérés pour le compte des partenaires Flitter et Wakam.
Un jeu de données de 4 198 129 lignes lié à Groupe Atalian — entreprise mondiale de facility services et de propreté — a été repéré sur BreachForums, exposant des données RH : noms, dates et lieux de naissance, adresses, nationalités, données contractuelles et de paie, et numéros de carte de séjour.
Une fuite survenue en janvier 2026 sur la plateforme de la Carte Avantages Jeunes d'Info Jeunes Bourgogne-Franche-Comté a exposé les données d'environ 283 000 porteurs — nom, date de naissance, adresse, téléphone et documents d'identité — ensuite mises en vente sur le dark web.
Les clients de Maxance sont, selon la revendication, concernés par la publication de 348 346 enregistrements contenant des informations personnelles et contractuelles. Le fichier est annoncé comme…
Les clients ayant effectué ou tenté une commande sur PharmaShopi sont concernés par une fuite confirmée. Le site, une pharmacie et parapharmacie en ligne, a vu des informations de paiement exposées…
En février 2026, l'entreprise française Prozon a révélé une fuite de données touchant ses clients après l'accès non autorisé d'un attaquant à l'un de ses outils d'infrastructure ; l'entreprise a confirmé l'incident et notifié la CNIL, sans toutefois préciser le volume de données concernées.
Le 9 février 2026, un acteur malveillant a publié un export revendiqué de base CRM d'un réseau de concessions Renault du Sud-Est (PACA), exposant environ 12 143 fiches clients incluant noms, coordonnées, adresses et informations sur les véhicules.
En février 2026, le prestataire de vérification d'identité (KYC) Sumsub a révélé une intrusion datant de 2024 — restée invisible pendant ~18 mois — au cours de laquelle un attaquant a atteint un environnement de support client et exposé les noms, adresses email et numéros de téléphone de clients de plateformes crypto et fintech qu'il dessert.
Le 8 février 2026, un acteur malveillant a revendiqué la fuite de données concernant environ 28 000 clients et personnels d'Immo-pop, l'agence immobilière en ligne française à frais fixes ; la revendication, recensée par un traqueur de fuites, reste non vérifiée par l'entreprise.
Les participants inscrits via Rankfyt sont concernés par une fuite de données touchant 1 227 inscriptions, avec des détails concernant plus de 2 000 personnes liées (coéquipiers). Les fichiers…
Le 7 février 2026, un acteur malveillant a revendiqué une fuite de données de la plateforme française d'accueil familial CetteFamille, exposant les noms, adresses e-mail et statuts de compte d'environ 12 711 coordinateurs au sein de quelque 333 000 documents (environ 41 Go).
Début février 2026, l'Office français de la biodiversité (OFB) a révélé qu'une intrusion dans son application nationale du permis de chasser avait exposé les données personnelles des candidats, demandeurs et titulaires — identité complète, coordonnées, nationalité et numéros de permis.
La Fédération Française de Tennis de Table (FFTT) a révélé une cyberattaque au cours de laquelle un compte compromis a servi à extraire en masse les données des licenciés — nom, date et lieu de naissance, nationalité, numéro de licence et coordonnées — pour 210 000 à 254 000 membres estimés ; aucune donnée bancaire ou de santé n'a été touchée.
Début février 2026, la Fédération Française de Voile (FFVoile) a révélé une fuite de données de sa plateforme de gestion des licences, via un compte club compromis, exposant les données personnelles de plusieurs centaines de milliers de licenciés : nom, date de naissance, adresse, email, téléphone et statut de handicap.
Un fichier issu de la plateforme des Cours municipaux pour adultes de la Ville de Paris a été diffusé, exposant les données personnelles de 320 292 inscrits : nom, prénom, date de naissance, adresse postale, numéro de téléphone et adresse e-mail ; ni mots de passe ni données bancaires n'étaient concernés.
En février 2026, la communauté de jeu en ligne Toy Battles a subi une fuite de données. L'incident a exposé 1 000 adresses e-mail uniques accompagnées de noms d'utilisateur, d'adresses IP et de journaux de discussion. À la suite de la fuite, Toy Battles a elle-même soumis les données à Have I Been Pwned.
Le 5 février 2026, le groupe RavenSec a revendiqué une fuite de données du réseau d'aide à domicile ADMR, exposant des données de membres — noms, adresses email et postales et informations d'organisation — avec plus de 10 000 personnes touchées et une base revendiquée de plusieurs millions.
Le 5 février 2026, un acteur malveillant a affirmé mettre en vente sur un forum cybercriminel une base de données contenant les adresses email professionnelles de 15 108 agents de l'Agence Régionale de Santé (ARS), ainsi que d'autres informations liées à leur activité.
Le 5 février 2026, un acteur malveillant connu sous le pseudonyme sux1337 a revendiqué la fuite de 7 665 lignes de données patients d'Asten Santé, prestataire français de santé à domicile, en publiant gratuitement les enregistrements sur un forum cybercriminel, quelques jours avant la suspension de ses extranets patients et prescripteurs.
Début février 2026, un pirate a mis en vente une base de 66 343 personnes accompagnées par le CCAS de Dunkerque, exposant noms, dates de naissance, adresses postales, téléphones, emails et situations familiales de bénéficiaires de l'aide sociale.
Le 5 février 2026, un acteur malveillant a revendiqué la fuite d'environ 4 000 lignes de données concernant des agents ordonnateurs du Centre National de Gestion, l'établissement public gérant les ressources humaines des praticiens hospitaliers et directeurs.
Les clients de Family Cinema seraient concernés par une fuite de données, selon la revendication. Le lot annoncé regrouperait près de 156 489 commandes et 39 896 clients uniques, couvrant la période…
Le 5 février 2026, la Fédération Française de la Randonnée Pédestre (FFRandonnée) a été visée par une fuite de données revendiquée exposant les informations personnelles de 813 983 adhérents, dans le cadre de la vague 2026 de fuites touchant les fédérations sportives françaises.
Les utilisateurs de Flickr résidant en Europe sont concernés par une exposition de métadonnées qui a touché le service en février 2026. Selon l’annonce officielle, environ 228 000 comptes européens…
Début février 2026, Protexia France — la filiale d'assurance protection juridique d'Allianz France — aurait été victime d'une fuite de données exposant des informations personnelles de ses assurés et contacts.
Le 4 février 2026, le Collège-Lycée Notre-Dame des Dunes, établissement privé catholique du second degré à Dunkerque, a révélé une fuite de données confirmée touchant environ 1 150 personnes, principalement ses élèves ainsi que les personnels et intervenants liés à l’établissement.
Les 553 élèves inscrits à l'Association Sportive du Collège Saint-Charles (Guipavas/Brest) ont été touchés par la fuite massive du sport scolaire (UNSS) : noms, dates de naissance, établissement et photos d'identité ont été divulgués après la compromission de la plateforme OPUSS.
Le portail de recrutement de l'État Choisir le service public a révélé début février 2026 une fuite touchant 377 418 candidats après l'usage frauduleux d'un compte gestionnaire ; noms, coordonnées, dates de naissance et données de parcours ont été exposés puis mis en vente.
En février 2026, Substack a révélé qu'un tiers non autorisé avait extrait ses systèmes, exposant environ 697 313 enregistrements d'utilisateurs : adresses e-mail, numéros de téléphone, noms, identifiants utilisateur et Stripe et métadonnées de profil ; les mots de passe et données financières n'ont pas été touchés.
Fin janvier 2026, un pirate affirme avoir exfiltré 2 971 fichiers (environ 4,5 Go, dont 1 533 PDF) de l'Armée de Terre via un compte compromis, avec des documents estampillés « Diffusion Restreinte » et des guides techniques internes.
Un acteur malveillant a affirmé avoir dérobé et mis en vente une base de données d'environ 66 343 bénéficiaires du CCAS de Dunkerque, exposant noms, e-mails, téléphones, dates de naissance, adresses et situations de foyer.
Révélée le 31 janvier 2026, une fuite de données confirmée chez l'institut de recherche Inria a exposé les informations personnelles d'environ 21 647 agents et collaborateurs d'Inria, de l'IRISA et de partenaires de recherche, dont noms, dates de naissance, adresses et données du foyer.
Victim
Inria (Institut National de Recherche en Informatique et en Automatique)
Le 31 janvier 2026, une base présentée sur BreachForums comme le répertoire 2026 des médecins remplaçants français a été revendiquée comme exposant environ 23 535 enregistrements : noms, e-mails, téléphones et numéros d'autorisation d'exercice.
Le 30 janvier 2026, une base de données SQL de 1,06 Go dérobée à l'association de secourisme française ANPS a été publiée sur BreachForums, exposant environ 5 600 adresses e-mail uniques ainsi que des noms, dates et lieux de naissance issus d'un système hérité.
En janvier 2026, une fuite de données touchant l'association à but non lucratif française Association Nationale des Premiers Secours (ANPS) a été publiée sur un forum de piratage. La fuite a exposé 5,6 000 adresses e-mail uniques ainsi que des noms, des dates de naissance et des lieux de naissance.
Fin janvier 2026, l’éditeur français Codes Rousseau a révélé un accès non autorisé à sa plateforme Easysystème, exposant l’identité et les coordonnées d’élèves, des photos d’identité, des signatures et des numéros NEPH ; environ 30 000 enregistrements ont ensuite été mis en vente.
Codes Rousseau a révélé un accès non autorisé à sa plateforme Easysystème, utilisée par la quasi-totalité des auto-écoles françaises, exposant les données d'identité des élèves : noms, coordonnées, photos d'identité, signatures et numéros NEPH.
Les personnes disposant d'un compte ManoMano sont concernées par une fuite de données affectant le site de bricolage et jardinage en ligne. Près de 38 millions de comptes seraient impliqués, selon…
Le 30 janvier 2026, une fuite de données chez Opquast — la société française de qualité web et de certification basée à Mérignac — a exposé les adresses e-mail d'une centaine de personnes.
Début 2026, des données prétendument issues du service de recettes et de planification de repas Provecho auraient été obtenues lors d'une fuite. Les données exposées comprenaient 713 000 adresses e-mail uniques ainsi que le nom d'utilisateur et les comptes de créateurs que les titulaires suivaient.
Les clients de FranceCasse.fr sont, selon la revendication, concernés par une fuite exposant plus d'un million de profils. D'après la revendication, un fichier de 98 Go structuré via PrestaShop…
Fin janvier 2026, un cybercriminel a mis en vente sur un forum pirate un lot de 500 Go regroupant plus de 1,18 million de fichiers dérobés à onze agences immobilières françaises, exposant les données personnelles, contractuelles et financières d'au moins 20 000 propriétaires, locataires, copropriétaires et fournisseurs.
Le 29 janvier 2026, un vidage complet de la base de données de Reseau.site — une plateforme SaaS française pour commerçants et artisans — a exposé 126 998 fiches clients, dont noms, coordonnées, mots de passe hachés, numéros de carte bancaire et IBAN.
Le 29 janvier 2026, l'agence de voyage de luxe française VeryChic, spécialisée dans les ventes privées de séjours et de voyages, a été touchée par une fuite de données confirmée portant sur environ 900 000 dossiers clients.
Le 28 janvier 2026, une fuite d'environ 1,18 million de fichiers (500+ Go) touchant 11 agences immobilières françaises — dont Marteau Immobilier (Orpi), AFG Immobilier et Trenta Immobilier — a été mise en vente sur un forum cybercriminel, exposant pièces d'identité, IBAN, contrats et identifiants de plus de 20 000 propriétaires, locataires et copropriétaires.
Le 28 janvier 2026, les données personnelles de patients du Centre d'imagerie médicale de Puteaux — un centre de radiologie et d'imagerie des Hauts-de-Seine — ont été exposées lors d'une fuite confirmée, incluant noms, dates de naissance, coordonnées et historique de rendez-vous.
En février 2026, des données obtenues auprès de la plateforme de prêt fintech Figure ont été publiées en ligne. Les données exposées, datant de janvier 2026, contenaient plus de 900 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses physiques et des dates de naissance.
Un jeu de données rattaché au Conservatoire National des Arts et Métiers (CNAM), établissement public français d'enseignement supérieur, a été signalé en fuite autour du 28 janvier 2026, exposant les données personnelles d'environ 10 000 personnes : noms, coordonnées, dates de naissance et informations professionnelles.
Le 28 janvier 2026, une fuite de données a été revendiquée à l'encontre de Lovys, néo-assureur français 100% digital, exposant prétendument des données clients ; l'ampleur et les catégories exactes restent non vérifiées.
Le 28 janvier 2026, un jeu de données exposant les informations personnelles d'environ 600 élèves liés à l'UGSEL — la fédération sportive des établissements catholiques français — a circulé en ligne, dont noms, genre, dates de naissance et classe/catégorie.
Le 27 janvier 2026, une base de données liée au programme de fidélité et à l'application mobile d'O'Tacos est mise en vente sur un forum pirate : un dump JSON de 9 Go d'environ 29 millions d'utilisateurs, dont près de 10 millions avec identité complète, à travers les marchés internationaux de l'enseigne française.
Le 27 janvier 2026, la marketplace B2B française d'équipements Techni-Contact a été touchée par une fuite confirmée de données clients, avec un corpus d'environ 5,88 millions de lignes exposant des coordonnées et informations de compte.
Les clients et contacts d'AutoForever sont concernés par une fuite de données confirmée, le volume restant non précisé. L'entreprise indique ignorer si des données personnelles ont été dérobées suite…
Le 26 janvier 2026, Lyleoo, plateforme française de téléexpertise en ophtalmologie, a confirmé une fuite de données après que des attaquants ont utilisé les identifiants volés d'un opticien partenaire ; le groupe DumpSec a divulgué environ 900 000 enregistrements de coordonnées d'utilisateurs.
L'opérateur français de téléphonie mobile et d'internet Coriolis Télécom a été touché par une fuite de données : un pirate a mis en vente sur le dark web une base de 356 Mo contenant 508 276 fiches clients — noms, adresses postales et e-mail, dates de naissance, coordonnées bancaires IBAN/BIC et numéros SIRET d'entreprises.
Le 25 janvier 2026, la Fédération Française Sports pour Tous a vu les données personnelles de 1 493 de ses adhérents exposées : nom, adresse postale, numéro de téléphone, statut, structure de rattachement, diplômes et activité.
Le 25 janvier 2026, un acteur malveillant a revendiqué la fuite de données de commandes de clients de la coopérative française de livres d'occasion Livrenpoche (Livre en Poche), avec environ 683 936 lignes touchées ; la revendication n'est pas confirmée par l'entreprise.
Le 25 janvier 2026, un dump SQL de bases de données internes de Sciences Po — l'Institut d'Études Politiques de Paris — est apparu en ligne, exposant des données détenues par l'établissement d'enseignement supérieur, dans le cadre d'une vague de fuites de données françaises ce mois-là.
En janvier 2026, des données prétendument issues du détaillant automobile américain CarMax ont été publiées en ligne à la suite d'une tentative d'extorsion infructueuse. Les données comprenaient 431 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses postales.
En janvier 2026, la plateforme de recherche automobile et d'achat de voitures Edmunds a été référencée par le groupe de piratage ShinyHunters comme ayant été compromise. Les données prétendument obtenues lors de l'incident ont ensuite été publiées publiquement et comprenaient 178 000 adresses e-mail uniques, noms d'utilisateur, mots de passe, adresses IP, numéros de téléphone…
Le 24 janvier 2026, la FFESSM, fédération française de plongée sous-marine, a révélé une violation de données personnelles consécutive à un accès non autorisé à l'un de ses systèmes informatiques, exposant les coordonnées de ses adhérents et licenciés ; près de 950 000 personnes seraient concernées, les données ayant été mises en vente sur le dark web.
Victim
FFESSM (Fédération Française d’Études et de Sports Sous-Marins)
Le 24 janvier 2026, une base de données clients de la marque française de bijoux en argent Guiot de Bourg, portant sur environ 90 000 comptes e-commerce, a circulé en ligne, exposant noms, e-mails, dates de naissance, mots de passe hachés et métadonnées de commande/paiement.
Les données clients de la société française de location de véhicules Movida ont été exposées lors d'une fuite divulguée le 24 janvier 2026, comprenant noms, coordonnées et numéros de compte bancaire (IBAN).
Le 24 janvier 2026, une base de données attribuée au comparateur bancaire et courtier en crédit français Panorama Banques (Panorabanques) a circulé en ligne, exposant des données personnelles, de contact et un profil financier détaillé d'environ 2,34 millions de clients.
Le 23 janvier 2026, la Fédération Nationale des Chasseurs a révélé une compromission de son portail de validation du permis de chasser, exposant noms, dates de naissance, adresses postales et e-mail, téléphones, identifiants fédéraux et données de permis d'environ 1,4 million de chasseurs.
La Fédération Française de Volley (FFVolley) a confirmé une compromission de sa base de licenciés touchant environ 1,2 million de personnes, avec près de 23 Go de documents très sensibles — cartes d'identité, passeports et actes de naissance — exfiltrés et mis en vente.
Le 23 janvier 2026, la Fédération Française des Sapeurs-Pompiers a subi une fuite de données exposant les informations personnelles d'environ 822 449 pompiers : noms, adresses e-mail, numéros de téléphone et adresses postales.
Le 23 janvier 2026, une base clients de Grand Froid, société française de livraison de surgelés à domicile (Saint-Nabord, Vosges), a été diffusée en ligne, exposant noms, adresses postales et dates de commande des clients.
En janvier 2026, une base de données issue de l'extranet propriétaires/locataires du réseau immobilier français Orpi a circulé en ligne, exposant noms, adresses postales, IBAN, quittances de loyer et identifiants extranet avec mots de passe en clair.
Le 23 janvier 2026, un acteur malveillant a revendiqué la fuite de la base de données de Scoring.fit, plateforme française de gestion de compétitions de fitness, exposant les données personnelles d'environ 83 000 athlètes, clubs et bénévoles inscrits aux événements.
Le 23 janvier 2026, une fuite de données attribuée à Too Easy a été signalée, exposant des données personnelles de clients : noms, adresses e-mail, numéros de téléphone et adresses IP. L'ampleur exacte de l'incident n'a pas été confirmée publiquement.
Révélée le 23 janvier 2026, une fuite chez Valorissimo — la marketplace B2B française de l'immobilier neuf détenue par Bouygues Immobilier — a exposé les données de comptes des utilisateurs de la plateforme : identifiants, adresses e-mail, noms, numéros de téléphone, adresses postales et entreprises.
En janvier 2026, la plateforme française de fiscalité crypto Waltio a révélé une fuite exposant les données d'environ 50 000 utilisateurs — adresses e-mail et résumés du rapport fiscal 2024 (plus-values/moins-values et soldes de fin d'année) — suivie d'une tentative d'extorsion que l'entreprise a refusé de payer.
Les licenciés et anciens licenciés de la Fédération Française de Golf (ffgolf) sont concernés par une fuite confirmée touchant plus de 1,2 million de fiches. La fuite provient de la base centrale des…
En janvier 2026, la Fédération Nationale des Chasseurs (FNC) et l'Office Français de la Biodiversité (OFB) ont subi des fuites de données liées exposant les données personnelles d'environ 1,4 million de titulaires du permis de chasse, un jeu de 27 Go étant mis en vente sur le dark web.
Environ 822 499 adhérents de la Fédération Nationale des Sapeurs-Pompiers de France (FNSPF) ont vu leurs données personnelles exposées lors d'une fuite de janvier 2026 liée à une campagne plus large de piratages de fédérations françaises : noms, dates de naissance, adresses postales et e-mail et numéros de téléphone ont été collectés puis revendus sur des forums clandestins.
Victim
Fédération Nationale des Sapeurs-Pompiers de France (FNSPF)
Les clients de Babyvista, service de photographie de maternité, sont concernés par une fuite de données qui touche près de 3,7 millions de personnes. La fuite, initialement datée du 15/03/2025, porte…
Le 21 janvier 2026, la grande école d'ingénieurs ENSAM (Arts et Métiers) a déclaré une violation de données personnelles résultant d'un acte malveillant externe, exposant noms, numéros de sécurité sociale, décisions et montants de bourses ainsi que des dates d'arrêt de travail d'étudiants ; le volume n'a pas été précisé.
Victim
École nationale supérieure d'arts et métiers (ENSAM)
L'ENSAM, école d'ingénieurs publique française (Arts et Métiers), a signalé une violation de données provoquée par un acte malveillant externe, exposant noms, numéros de Sécurité sociale, décisions et montants de bourse et dates d'arrêt de travail d'étudiants.
Le 20 janvier 2026, une fuite de données visant ConseilJuridique.net — plateforme française de consultation juridique en ligne mettant en relation des particuliers avec des avocats — a été signalée, exposant des données de comptes clients ; l'ampleur exacte et les champs concernés n'ont pas été détaillés publiquement.
Une cyberattaque de janvier 2026 sur la plateforme GAEL de France Éducation International a exposé les données d'état civil d'environ 5,8 millions de candidats et lauréats DELF-DALF depuis 2005, après l'utilisation d'identifiants de comptes externes compromis.
Le 20 janvier 2026, une base de données d'environ 108 000 clients de l'opérateur mobile virtuel français Syma Mobile a été mise en vente sur un forum du dark web, exposant noms, dates de naissance, adresses postales et e-mail, numéros de téléphone et copies de pièces d'identité.
En janvier 2026, Info Jeunes Bourgogne Franche-Comté, le service régional d'information jeunesse gérant la Carte Avantages Jeunes, s'est fait dérober les données d'identité d'environ 282 906 titulaires, mises en vente sur le dark web ; les champs exposés se limitaient à des informations d'identification et de contact.
Les 46 506 personnes liées à Pix Orga seraient concernées, selon la revendication, principalement des élèves et des membres d'équipes pédagogiques. Le service Pix Orga, utilisé par des établissements…
Un jeu de données lié à TooEasy Agence Web, agence web et digitale française basée à Valence, a été mis en vente sur un forum du dark web, exposant environ 90 726 adresses e-mail uniques ainsi que des noms de clients, numéros de téléphone et données de recrutement.
Le 17 janvier 2026, un acteur malveillant a mis en vente une base de données prétendument dérobée au distributeur français de fournitures et de matériel informatique iOBURO, revendiquant 93 746 enregistrements clients ; cette revendication reste non vérifiée par l'entreprise.
Une revendication de janvier 2026 affirme que des données d'adhérents de l'AAPPMA Le Bambou Castillonnais (Castillon-la-Bataille, Gironde) ont été exposées via la plateforme nationale Cartedepeche.fr, avec environ 9 599 enregistrements concernés à la suite d'une cyberattaque divulguée par la FNPF début 2026.
Le 17 janvier 2026, un acteur malveillant a revendiqué la fuite d'une base de données clients de Wobz (ex Dalvin) d'environ 134 209 enregistrements, exposant noms de clients et d'entreprises, adresses e-mail, clés de sécurité internes et identifiants de paiement GoCardless.
Les clients de StorePasCher sont concernés par une fuite revendiquée touchant 43 366 comptes, selon la revendication. Le cas concerne le site e‑commerce StorePasCher, qui propose des ventes en ligne…
Le 15 janvier 2026, une fuite a exposé les données personnelles de 598 personnes liées à l'Union départementale Force Ouvrière de Paris (UD 75), provenant semble-t-il d'un lot d'export issu du système de gestion des adhérents du syndicat.
Les employés du Groupe Fondasol sont concernés par une fuite de données revendiquée, portant sur 888 profils selon la revendication. Le cabinet d'ingénierie BTP intervient sur des projets de…
Les clients de LBP Granville seraient concernés par une fuite de données, selon la revendication. Le volume annoncé dépasse les 3,6 millions de lignes et la mise en vente est évoquée le 15 janvier…
Le 15 janvier 2026, l'éditeur français de livres jeunesse et pédagogiques Lire Demain (groupe Auzou) a subi une fuite de données exposant les coordonnées et l'historique de commandes d'environ 4 616 clients.
En janvier 2026, Eurail B.V. — exploitant des pass ferroviaires Interrail et Eurail — a révélé une fuite de données exposant les informations personnelles et de passeport de ses clients, jusqu'à ~309 000 voyageurs seraient concernés et des données volées ont ensuite été mises en vente sur le dark web.
Le 12 janvier 2026, l'enseigne française de streetwear et de sneakers Blackstore a vu fuiter une base de données clients exposant les informations personnelles et de commande de 101 979 personnes : noms, adresses e-mail, numéros de téléphone, magasins et données de commande.
En janvier 2026, un jeu de données d’environ 17,5 millions de comptes Instagram — noms d’utilisateurs, noms complets, adresses e-mail, numéros de téléphone et données de localisation partielles — a été mis en vente sur un forum du dark web, prétendument récolté via une fuite d’API de 2024.
Les utilisateurs des sites pour adultes nephael.net et chloesanchez.com sont concernés par une fuite de données confirmée, portant sur environ 65 000 comptes. Selon les éléments publiés, la…
Les clients et destinataires ayant utilisé Relais Colis sont concernés par une fuite confirmée touchant près de 9,5 millions de fiches. Le volume annoncé est de 9 526 266 lignes, et une revendication…
Le 10 janvier 2026, un acteur malveillant a revendiqué une fuite de données chez l'agence web française ACRV.FR, affirmant avoir exfiltré des archives et des bases liées à plusieurs sites clients qu'elle héberge ou maintient ; la revendication n'est pas vérifiée et l'ampleur reste inconnue.
Les clients d'Audiophonics.fr seraient concernés, selon la revendication, par une fuite portant sur une base annoncée d'environ 115 000 utilisateurs. Le site visé est une boutique en ligne…
Une base de données du forum cybercriminel BreachForums a fuité en ligne, exposant environ 324 000 comptes utilisateurs — adresses e-mail, identifiants, hachages de mots de passe Argon2, adresses IP, messages publics et privés — après qu'une sauvegarde a été laissée dans un dossier non sécurisé en août 2025.
Les clients de Panorabanques.com sont concernés par une fuite confirmée affectant environ 2,34 millions de personnes. Le comparateur financier, utilisé par des particuliers pour comparer offres…
Le 10 janvier 2026, un acteur malveillant a mis en vente sur BreachForums une base de données prétendument dérobée au prestataire français d'assistance respiratoire à domicile SOS Oxygène, revendiquant environ 146 605 patients uniques avec noms, adresses postales et coordonnées GPS exposés.
Les comptes liés à Apec Région Occitanie (Montpellier / Nîmes / Toulouse) seraient concernés par une fuite, selon une revendication sur Breachforums qui évoque un périmètre proche de 3 000 profils. À…
Victim
Apec Région Occitanie (Montpellier / Nîmes / Toulouse)
En janvier 2026, la plateforme d'investissement automatisé Betterment a confirmé avoir subi une fuite de données attribuée à une attaque d'ingénierie sociale. Dans le cadre de cet incident, des clients de Betterment ont reçu des messages frauduleux liés aux cryptomonnaies promettant des rendements élevés s'ils envoyaient des fonds vers un…
Les élèves et les professeurs d'Euronature (École de Naturopathie) sont concernés par une fuite de données confirmée. Selon l’estimation, environ 7 761 personnes seraient exposées ; le corpus rendu…
Le 9 janvier 2026, le site de campagne de la candidate à la mairie de Paris Sarah Knafo (Reconquête) a exposé publiquement les données personnelles de centaines de contributeurs de son forum « Paris à cœur ouvert » : noms, e-mails, numéros de téléphone et adresses IP, y compris de personnes ayant demandé l'anonymat.
Les jeunes détenteurs de la Carte Avantages Jeunes (CRIJ Bourgogne-Franche-Comté) sont concernés par une fuite confirmée touchant près de 283 000 personnes. Les éléments publiés incluent, selon les…
Victim
Carte Avantages Jeunes (CRIJ Bourgogne-Franche-Comté)
En janvier 2026, la salle de spectacle Casino de Paris a confirmé une fuite de données touchant environ 111 000 clients, avec exposition des noms, adresses e-mail et localisations postales (ville et code postal) après la mise en vente d'une base de données sur un forum pirate.
Corse GSM, opérateur mobile et internet indépendant de Corse, a été touché par une fuite de données révélée le 8 janvier 2026 exposant environ 23 920 comptes clients, dont des noms, adresses postales, numéros de téléphone et coordonnées bancaires (IBAN/BIC).
Les licenciés de la Fédération Française de Football Américain (FFFA) sont concernés par une fuite revendiquée qui viserait 200 415 enregistrements. Selon la revendication, le corpus contiendrait des…
En janvier 2026, la Fédération Française de la Montagne et de l'Escalade (FFME) a révélé une fuite de données : l'utilisation frauduleuse d'un compte membre a permis un accès illégitime aux coordonnées — nom, date de naissance, adresse, type de licence — de ses licenciés, soit 561 502 enregistrements recensés.
Victim
Fédération Française de la Montagne et de l'Escalade (FFME) #2
En janvier 2026, la Fédération Sportive et Gymnique du Travail (FSGT), fédération omnisports française issue du sport travailliste, a été visée par une fuite de données revendiquée exposant les fichiers personnels de ses licenciés, la revendication évoquant une base d'environ 600 000 comptes.
Un cybercriminel a mis en vente sur un forum de piratage une base clients dérobée à l'enseigne d'occasion EasyCash, exposant environ 14 millions d'enregistrements — noms, dates de naissance, adresses postales, numéros de téléphone et adresses email — extraits semble-t-il via un compte interne/partenaire compromis.
Le 7 janvier 2026, une base de données de la Fédération Française de Canoë-Kayak (FFCK) couvrant 31 ans d'historique a fuité, exposant les données personnelles de 393 374 adhérents, dont 392 892 adresses postales, 212 342 numéros de téléphone et 158 434 e-mails uniques.
Le 7 janvier 2026, une revendication fait état du vol d'une base de 162 263 lignes de licenciés de la Fédération Française de Squash (FFSquash), dans le cadre d'une vague d'attaques visant les fédérations sportives françaises et exposant les données personnelles des membres.
En janvier 2026, Panera Bread a subi une fuite de données qui a exposé 14 millions d'enregistrements. Après l'échec d'une tentative d'extorsion, les attaquants ont publié les données publiquement, comprenant 5,1 millions d'adresses e-mail uniques ainsi que des informations de compte associées telles que des noms, des numéros de téléphone et des adresses physiques.
Le 8 janvier 2026, la Fédération Française d'ULM (FFPLUM) a révélé qu'un attaquant avait frauduleusement accédé à un compte gestionnaire de sa plateforme de gestion des licences, exposant les données personnelles d'environ 78 000 adhérents : noms, dates de naissance, adresses, emails et numéros de téléphone.
Le 6 janvier 2026, une fuite de données revendiquée contre la Fédération Française de Twirling Bâton (FFTwirl) a exposé les données personnelles d'environ 52 785 licenciés, bénévoles et dirigeants, dont noms, adresses postales et e-mail, numéros de téléphone, dates de naissance et clubs.
Les gérants et responsables d’environ 600 clubs L’Orange Bleue seraient concernés par une fuite de données interne datant de juin 2025, selon la revendication. Un échantillon public analysé comprend…
Le 6 janvier 2026, une base de 5 304 clients du salon de coiffure parisien Loft by Denis (rue des Moines) a été publiée sur BreachForums, exposant noms, numéros de mobile, adresses e-mail, nombre de visites et dates de profil.
Le 6 janvier 2026, une base de données du service de musique « Philharmonie à la Demande » (PAD) de la Philharmonie de Paris a été mise en ligne, exposant 47 561 comptes — noms, adresses e-mail, identifiants et profils professionnels — dans une fuite revendiquée par un acteur nommé HexDex2.
Le cabinet d'ingénierie français DCE Conseil a subi une fuite après la compromission du compte cloud d'un salarié au moyen d'identifiants volés, exposant environ 844 Go de fichiers techniques sensibles — dont des plans de prisons, d'une base militaire et de clients du luxe et de grands comptes — ensuite mis en vente sur BreachForums.
Les clients de Ledger sont concernés par une fuite de données confirmée par le prestataire Global-e. Le nombre de clients impactés n'a pas été communiqué publiquement.
Le 5 janvier 2026, le réseau de franchises d'aide à domicile Petits-fils a confirmé une fuite de données exposant environ 1 050 identités de collaborateurs réparties dans ses agences et ses franchises.
Début janvier 2026, l'agence d'intérim Adecco a été touchée par une fuite de données après qu'un pirate a mis en vente une base d'environ 800 000 profils de candidats — dont près de 750 000 CV avec noms, coordonnées et parcours professionnels —, affirmant les avoir extraits d'un outil interne d'Adecco.
En janvier 2026, AgroParisTech — grande école française d'agronomie et des sciences du vivant — a subi une cyberattaque au cours de laquelle un intrus a revendiqué l'exfiltration d'environ 211 Go de données, exposant les dossiers RH et personnels de personnels, étudiants et intervenants extérieurs.
Les clients et partenaires d'AXYON sont concernés par une fuite revendiquée qui porterait sur environ 340 Go de données internes, selon la revendication. AXYON propose des services d'ingénierie B2B…
Début janvier 2026, le groupe LAPSUS$ a diffusé publiquement environ 40 Go de données extraites de 54 bases SQL de clients gérées par l'agence web française Dream Up (dream-me-up.fr), exposant les informations clients et contacts des sites e-commerce et vitrines qu'elle héberge.
Le 2 janvier 2026, une fuite de données a été revendiquée contre AFPPCD-IDF, association parisienne de formation d'assistantes dentaires, exposant les données personnelles d'environ 24 000 stagiaires : noms, dates et lieux de naissance, coordonnées et numéros de sécurité sociale (NIR).
Le 2 janvier 2026, un membre d'un forum du dark web a affirmé mettre en vente une base de données clients interne de Trescal d'environ 70 981 enregistrements, exposant noms, e-mails professionnels, numéros de téléphone et de fax, fonctions, sociétés et numéros SIRET.
Fin décembre 2025, un pirate revendique une cyberattaque contre l’ENSAI, l’école nationale de la statistique près de Rennes, et diffuse environ 21 Go de données exposant les informations personnelles d’environ 3 900 étudiants, dont photos d’identité et données partielles de carte bancaire.
Victim
École Nationale de la statistique et de l’analyse de l’information
Le 31 décembre 2024, la Fédération Française de Spéléologie (FFS) a révélé une fuite de données issue de son portail de souscription d'assurance, exposant identité, coordonnées, nationalité, profession et numéros de licence des adhérents, dans une vague d'attaques visant les fédérations sportives françaises.
Fin décembre 2025, un jeu de données portant sur environ 9 551 étudiants de l'Institut Polytechnique de Paris (dont l'ENSAE) a été publié sur un forum, exposant noms, emails, adresses postales, téléphones et près de 4 179 IBAN.
Le 29 décembre 2025, un acteur se faisant appeler CZX a diffusé sur BreachForums une base de 1,35 Go concernant plus de 400 000 étudiants, alumni et prospects de Grenoble École de Management, exposant noms, coordonnées et parcours académiques.
Le 29 décembre 2025, un fichier de 7 244 étudiants de l'Université de Lille — issu d'une base de stages de l'IUT Informatique — a été publié sur BreachForums par un acteur se réclamant de LAPSUS$, exposant noms, dates de naissance, adresses postales, e-mails et numéros de téléphone.
En décembre 2025, le site de rencontres « pour une vision europide » WhiteDate a subi une fuite de données qui a ensuite été divulguée en ligne, exposant initialement 6 100 adresses e-mail uniques. Les données divulguées comprenaient de nombreuses informations personnelles telles que l'apparence physique, les revenus, le niveau d'études et le QI.
Le 28 décembre 2025, une base de données de 161 412 adhérents d'Allegro Musique, prestataire français de cours de musique à domicile, a fuité, exposant noms, adresses postales, emails, numéros de téléphone, numéros de sécurité sociale et dates d'inscription.
Le 28 déc. 2025, le e-commerçant français Batteriedeportable (Aubagne) a révélé une cyberattaque de novembre ayant exposé l'identité et les coordonnées de clients — nom, date de naissance, adresses postale/e-mail et numéros de téléphone. Il revendique plus d'un million de clients européens.
Le 28 décembre 2025, une base de 205 403 prospects B2B de l'annuaire d'entreprises européen Europages a été signalée comme ayant fuité, exposant des coordonnées et données d'immatriculation (nom, poste, entreprise, adresses postale et email, téléphone, SIRET et numéro de TVA).
Fin décembre 2025, le groupe LAPSUS$ a revendiqué une intrusion au ministère français de l'Agriculture et de l'Alimentation, diffusant environ 60 Go (97 210 fichiers) d'accès FTP, de bases SQL et de journaux système couvrant 32 départements et 19 applications métiers.
En décembre 2025, les activités françaises du groupe énergétique italien ENI ont subi une fuite de données revendiquée par le groupe Lapsus$, exposant les coordonnées professionnelles de dizaines de milliers de clients entreprises ; ENI a confirmé l'incident et notifié la CNIL.
Fin décembre 2025, la plateforme de recrutement française HelloWork a révélé que les données d'environ 2,8 millions de candidats — noms, e-mails et éléments de profil professionnel — avaient été aspirées depuis sa CVthèque via un compte recruteur utilisé frauduleusement, puis mises en vente en ligne.
Le 27 décembre 2025, la fintech française de transfert d'argent PayTrip a subi une fuite de données exposant les informations de 74 877 clients, dont noms, coordonnées, IBAN et soldes de comptes, ensuite diffusées en ligne par un acteur malveillant.
Fin décembre 2025, la Fédération Française de Kick Boxing (FFKMDA) a vu sa base d'adhérents publiée sur BreachForums, exposant 361 321 licenciés : nom, date de naissance, nationalité, coordonnées, adresse postale et données de licence des saisons 2015 à 2026.
En décembre 2025, le transporteur de colis Mondial Relay a révélé une cyberattaque au cours de laquelle des données clients et logistiques ont été dérobées — nom, e-mail, adresse postale, téléphone et informations de suivi ; un acteur du dark web a revendiqué environ 25,7 millions de lignes.
Le 26 décembre 2025, une base de données clients de la boutique en ligne française Nouvelle Lune a fuité, exposant les données personnelles d'environ 161 clients, dont noms, adresses email et postales, et historique de commandes.
Les données d'environ 1,3 million d'adhérents de la Fédération Française de Natation (FFN) ont été mises en vente sur BreachForums le 23 décembre 2025 après le piratage de sa plateforme Extranat, exposant identités, coordonnées et numéros de licence.
Le 22 décembre 2025, une base de données d'environ 240 000 utilisateurs de la plateforme de casting française 123casting a été publiée sur BreachForums, exposant identités, coordonnées, mots de passe hachés en MD5, mensurations, origine ethnique, books photo/vidéo, messages privés et données de paiement.
Altitude Infra, important opérateur français indépendant d'infrastructure fibre, a vu ~5,76 Go (52 fichiers) dérobés depuis un extranet partenaire et mis en vente en ligne, exposant documentation réseau, fichiers partenaires FAI et données d'éligibilité de clients finaux, sur ses 3M+ de prises raccordées.
Le 22 décembre 2025, une base de données attribuée à la justice française (justice.fr) a recirculé en ligne, exposant les données personnelles, professionnelles et bancaires — dont IBAN/BIC — de plus de 1 100 magistrats, juges, avocats et personnels judiciaires.
En décembre 2025, un fichier de 680 Mo portant sur environ 860 000 clients Chronopost — noms, e-mails et détails de colis aspirés sur le réseau de points relais Pickup de La Poste — a été publié sur BreachForums ; les données couvraient des envois du printemps 2025.
Le 19 décembre 2025, une fuite de données chez l'association antiraciste française La Licra (LICRA) a exposé les adresses email et mots de passe hashés de 186 abonnés du site et de 8 administrateurs.
Le 19 décembre 2025, le ministère français des Sports a confirmé une fuite touchant un système lié au dispositif Pass'Sport, exposant les données d'environ 3,5 millions de foyers — noms, dates de naissance, coordonnées, numéros de Sécurité sociale, INE et CAF — publiées sur un forum criminel.
En décembre 2025, l'opérateur télécom français SFR a révélé une fuite de données touchant les clients de Red by SFR, exposant noms, adresses postale et e-mail, numéros de téléphone et références client après la compromission d'un outil interne de gestion des raccordements fibre.
Le 17 décembre 2025, une fuite de données clients de l'enseigne française de parapharmacie Parashop a été révélée, exposant des informations personnelles dont les nom et prénom, la date de naissance et l'adresse postale.
En décembre 2025, des données du programme français Pass'Sport ont été publiées sur un forum de piratage populaire. Initialement attribuées à tort à la CAF (Caisse d'allocations familiales), les données contenaient 6,5 millions d'adresses e-mail uniques touchant 3,5 millions de foyers.
En décembre 2025, une base de données de la plateforme de financement participatif brésilienne APOIA.se a été publiée sur un forum en ligne. En janvier 2026, l'entreprise a confirmé avoir subi une fuite de données. L'incident a exposé 451 000 adresses e-mail uniques ainsi que des noms et des adresses postales.
En décembre 2025, la plateforme de streaming musical SoundCloud a révélé une fuite au cours de laquelle un attaquant a exploité un système interne pour associer environ 29,8 millions d'adresses e-mail privées aux données de profils publics — soit environ 20% de ses utilisateurs ; aucun mot de passe ni donnée de paiement n'a été dérobé.
En décembre 2025, des données prétendument issues du service de streaming musical indien « Raaga » ont été mises en vente sur un forum de piratage populaire. Les données contenaient 10 millions d'adresses e-mail uniques ainsi que des noms, des sexes, des âges (dans certains cas, la date de naissance complète), des codes postaux et des mots de passe stockés sous forme de MD5 sans sel…
En décembre 2025, des attaquants ont compromis des boîtes mail professionnelles du ministère de l'Intérieur et accédé à des fichiers de police sensibles, dont le TAJ (antécédents judiciaires) et le FPR (personnes recherchées) ; le ministère a confirmé l'exfiltration de quelques dizaines de fichiers, les attaquants revendiquant les données de 16,4 millions de personnes.
Le 12 décembre 2025, les données clients du distributeur français de volets roulants et de domotique Euromatik ont été exposées : noms, adresses postales et électroniques, numéros de téléphone, données de commande et de contrat, et mots de passe chiffrés.
Le 12 décembre 2025, France Ventilation, spécialiste français de la ventilation et du traitement de l'air, a révélé une fuite de données exposant les coordonnées bancaires de ses clients — n° de carte, date d'expiration et CVV — avec un risque direct de fraude bancaire.
Le 10 décembre 2025, la Fédération Française de Cyclisme a détecté une intrusion (identifiants volés/infostealers, sans MFA) exposant noms, dates de naissance, nationalité, adresses postales, e-mails et téléphones de licenciés ; le groupe Dumpsec affirme aussi détenir des pièces d'identité.
En décembre 2025, le serveur privé européen de Dragonica nommé Dragonica Lunaris a subi une fuite de données. L'incident a exposé 126 000 adresses e-mail, noms d'utilisateur, dates de naissance et empreintes de mots de passe bcrypt. L'exploitant du service a confirmé la fuite et a indiqué qu'elle avait depuis été corrigée.
En décembre 2025, l'enseigne de cuisines Cuisinella (Schmidt Groupe) a révélé qu'un tiers non autorisé avait accédé aux coordonnées de milliers de clients — civilité, prénom, nom, numéro de téléphone et adresse email ; aucune donnée bancaire, postale ni mot de passe n'a été exposé.
Début décembre 2025, la Fédération Française de Handball (FFHandball) a révélé que sa plateforme administrative GestHand — utilisée par quelque 2 400 clubs, comités et ligues — avait été piratée via des identifiants compromis, exposant nom, genre, date de naissance, email et téléphone des licenciés.
Début décembre 2025, le groupe français de cuisines et d'ameublement Schmidt (marques Schmidt et Cuisinella) a révélé qu'un tiers non autorisé avait accédé aux coordonnées de milliers de clients et prospects — civilité, nom, prénom, numéro de téléphone et adresse email.
MédecinDirect, la plateforme française de téléconsultation (filiale de Teladoc Health), a révélé le 3 décembre 2025 une fuite de données détectée le 28 novembre exposant les données personnelles et de santé d'environ 285 000 patients, un pirate revendiquant jusqu'à 323 069 dossiers.
En décembre 2025, l'enseigne de bricolage Leroy Merlin a révélé une cyberattaque ayant exposé les données du programme de fidélité de plusieurs centaines de milliers de clients français : noms, coordonnées, adresses postales et dates de naissance ; aucune donnée bancaire ni mot de passe n'a été touché.
Le 1er décembre 2025, France Travail et le réseau des Missions Locales ont annoncé qu'un attaquant, après avoir piraté le compte d'un agent de mission locale, a accédé aux dossiers d'environ 1,6 million de jeunes, exposant noms, dates de naissance, numéros de sécurité sociale et coordonnées.
Fin novembre 2025, la Fédération Française de Football a révélé que des attaquants avaient utilisé un compte compromis pour accéder à son logiciel de gestion des clubs Footclubs et exfiltrer les données personnelles des licenciés : nom, date et lieu de naissance, adresse, coordonnées et numéro de licence.
En novembre 2025, la Fédération Française de Danse (FFDanse) a subi une cyberattaque sur son extranet qui a endommagé le serveur et exposé les données personnelles des licenciés : nom, date de naissance, coordonnées, numéro de licence et mots de passe hachés ; aucune donnée médicale ou bancaire n'a été touchée.
En novembre 2025, Itelis — réseau de soins optique français lié à AXA — a révélé une fuite exposant les données d'environ 1,6 million de bénéficiaires : nom, date de naissance, numéro de sécurité sociale et données de remboursement optique.
Le 25 novembre 2025, une base de données de la société française de maintenance résidentielle ProxiServe est apparue sur un forum de pirates, exposant les données personnelles et d'intervention de 294 639 clients : noms, e-mails, adresses postales et détails des interventions à domicile.
En novembre 2025, le transporteur français Colis Privé a révélé un accès non autorisé à une partie de ses systèmes ayant exposé des données de contact clients — noms, adresses postales et électroniques, numéros de téléphone. Un pirate a mis en vente un jeu de données chiffré à plusieurs dizaines de millions de lignes ; aucun mot de passe ni donnée bancaire n'a été affecté.
En novembre 2025, Murfy, entreprise française de réparation et de reconditionnement d'électroménager, a révélé une fuite de données exposant les informations personnelles d'environ 294 000 clients — noms, adresses email et postales, téléphones et historique de réparations — mais aucune donnée bancaire ni mot de passe.
Le 18 novembre 2025, les utilisateurs de Resana — la plateforme collaborative interministérielle gérée par la DINUM — ont été notifiés d'une exfiltration de données après l'intrusion via un compte compromis. Jusqu'à environ un million d'agents publics potentiellement exposés, avec des courriels de rançon visant les fonctionnaires.
En novembre 2025, la filiale française de l'opérateur néerlandais de réseaux fibre Eurofiber a été compromise via une faille d'injection SQL dans son système de tickets GLPI obsolète, exposant des données techniques et des identifiants liés à plus de 3 600 organisations clientes, dont de grandes entreprises et institutions publiques.
En novembre 2025, Pajemploi — le service de l'Urssaf permettant aux particuliers de déclarer et payer leur garde d'enfants — a révélé un vol de données touchant jusqu'à 1,2 million de salariés, exposant noms, numéros de sécurité sociale, dates et lieux de naissance, adresses postales et numéros Pajemploi/d'agrément.
En novembre 2025, le groupe de rançongiciel Everest a affirmé avoir volé 343 Go de données au fabricant de vêtements Under Armour. Aucune rançon n'ayant été payée, les données client ont été divulguées en janvier 2026, exposant environ 72,7 millions d'adresses e-mail uniques avec noms, dates de naissance, genres, localisations et historiques d'achat. Cet incident est distinct de la fuite MyFitnessPal de 2018.
En novembre 2025, l'outil de pratique de programmation en ligne CodeStepByStep a subi une fuite de données qui a exposé 17 000 dossiers, lesquels ont ensuite été publiés en ligne. Le mois suivant, un autre ensemble de données a été divulgué, portant le total à 103 000.
Entre le 10 et le 13 novembre 2025, la dernière phase de l'Operation Endgame a été coordonnée depuis le siège d'Europol à La Haye. Les actions visaient l'un des plus importants infostealers, Rhadamanthys, le cheval de Troie d'accès à distance VenomRAT et le botnet Elysium, qui jouaient tous un rôle clé dans…
Le 12 novembre 2025, l'éditeur français de logiciel médical Weda a révélé une cyberattaque : des identifiants de soignants compromis (volés par un malware infostealer) ont permis un accès non autorisé à sa plateforme de dossiers patients, exposant potentiellement des données médicales sensibles de dizaines de milliers de professionnels de santé.
Aux alentours du 11 novembre 2025, la Fédération Française de Cardiologie a révélé qu'une intrusion non autorisée dans ses systèmes avait exposé les données personnelles de ses adhérents — nom, adresses postale et email, numéro de téléphone et mots de passe. Aucune donnée bancaire ou médicale n'a été compromise.
En novembre 2025, l'International Kiteboarding Organization a subi une fuite de données qui a exposé 340 000 enregistrements utilisateurs. Les données ont ensuite été mises en vente sur un forum de piratage et comprenaient des adresses e-mail, noms, noms d'utilisateur et, dans de nombreux cas, la ville et le pays de l'utilisateur.
Le 10 novembre 2025, l'hébergeur web et VPS français OuiHeberg a été signalé comme ayant laissé fuiter des coordonnées de clients — noms, adresses e-mail, numéros de téléphone et adresses postales — à la suite d'un incident de sécurité touchant son infrastructure.
En novembre 2025, Beckett Collectibles a subi une fuite de données accompagnée d'une défiguration du contenu de son site web. Les données dérobées ont ensuite été mises en vente sur un forum de piratage réputé, certaines parties ayant par la suite été divulguées publiquement.
En novembre 2025, une base d'environ 5 millions d'enregistrements de la plateforme française d'abonnement de contenus pour adultes MYM a été diffusée sur un forum cybercriminel, exposant noms, emails, adresses postales, téléphones, adresses IP, dates de naissance et mots de passe hashés en MD5 ; les données remontent à une compromission de 2021.
En novembre 2025, des données issues du forum automobile Zilvia.net dédié aux Nissan 240SX Silvia et Z Fairlady ont été divulguées. La fuite a exposé 288 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP et des empreintes MD5 de mots de passe salées provenant de la plateforme basée sur vBulletin.
En octobre 2025, l'Université de Pennsylvanie a été victime d'une fuite de données suivie d'une demande de rançon, affectant en grande partie sa base de données de donateurs. Après l'incident, les attaquants ont envoyé des e-mails incendiaires à certaines victimes.
En octobre 2025, les données de près de 4 millions d'utilisateurs de MyVidster ont été publiées sur un forum de piratage public. Distinct de la fuite de 2015, cet incident a exposé des noms d'utilisateur, des adresses e-mail et, dans un petit nombre de cas, des photos de profil.
Une intrusion dans le système d'information ITAC de la Fédération Française de Tir entre le 18 et le 20 octobre 2025 a exposé les données personnelles de ses licenciés — numéros de licence, état civil et coordonnées — jusqu'à environ 274 000 membres potentiellement concernés.
En octobre 2025, la plateforme de publication Substack a subi une fuite de données qui a ensuite circulé plus largement en février 2026. La fuite a exposé 663 000 enregistrements de titulaires de comptes contenant des adresses e-mail ainsi que des informations de profil publiquement visibles provenant des comptes Substack, telles que…
Une cyberattaque de septembre 2025 visant des plateformes régionales d’identité santé utilisées par plusieurs Agences Régionales de Santé (ARS) a exposé des données d’identité de patients ; un attaquant revendique environ 35 millions de dossiers sur 130+ hôpitaux publics, ensuite mis en vente par le groupe DumpSec.
Victim
Agences Régionales de Santé de l’Île-de-france, Auvergne, Rhône-Alpes, Hauts-de-France, Pays de la Loire et Normandie
Une cyberattaque visant la plateforme régionale de santé partagée (Prédice/GIP Inéa) hébergeant les données d’identité des patients des hôpitaux publics des Hauts-de-France a exposé nom, date et lieu de naissance, coordonnées et, dans certains cas, le numéro de sécurité sociale ; les dossiers médicaux n’ont pas été touchés.
Le 6 octobre 2025, France Travail — l'opérateur public national de l'emploi — a été touché par l'une de ses multiples fuites de données de 2025, exposant les données personnelles d'environ 5 500 demandeurs d'emploi : nom, prénom, identifiant France Travail, catégorie d'inscription, adresse mail, statut RSA et identifiant CIR.
Fin octobre 2025, des données dérobées au parti politique hongrois TISZA ont été publiées en ligne avant d'être largement rediffusées. Provenant d'une compromission du service TISZA Világ plus tôt dans le mois, la fuite a exposé 200 000 enregistrements de données personnelles comprenant des adresses e-mail ainsi que…
En octobre 2025, le détaillant Canadian Tire a été victime d'une fuite de données qui a exposé près de 42 millions d'enregistrements. Les données contenaient 38 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses physiques.
Le 25 septembre 2025, une fuite attribuée à France Travail, l'opérateur public de l'emploi, a exposé les données personnelles d'environ 9 971 demandeurs d'emploi, dont leur adresse e-mail, leur identité et l'adresse e-mail de leur conseiller.
En septembre 2025, Digital Charging Solutions, fournisseur de services de facturation pour la recharge de véhicules électriques, a révélé qu'un prestataire tiers avait accédé sans autorisation à des données clients, exposant les noms et adresses e-mail d'un nombre initial très limité d'utilisateurs.
Le 19 septembre 2025, la Fédération Française de Tennis de Table (FFTT) a révélé une fuite de données : un attaquant a utilisé un compte compromis pour extraire en masse le fichier des licenciés, exposant les données personnelles de jusqu'à 254 000 membres, mais aucune donnée bancaire ni de santé.
Le groupe français de cosmétique de luxe Clarins a confirmé en septembre 2025 que le groupe d'extorsion Everest avait exfiltré les coordonnées de clients en France, aux États-Unis et au Canada ; l'acteur revendique plus de 600 000 enregistrements, sans données bancaires.
Le 9 septembre 2025, l'éditeur de logiciels de streaming Plex a révélé qu'un tiers non autorisé avait accédé à l'une de ses bases de données, exposant les adresses e-mail, noms d'utilisateur, mots de passe hachés et données d'authentification, et imposant une réinitialisation générale des mots de passe.
En décembre 2025, 2,3 millions d'enregistrements d'utilisateurs du magazine WIRED, prétendument obtenus auprès de la société mère Condé Nast, ont été publiés en ligne. Les données les plus récentes remontaient au mois de septembre précédent et exposaient des adresses e-mail et des noms d'affichage ainsi que, pour un petit nombre d'utilisateurs, leur nom, leur numéro de téléphone,…
Le 3 septembre 2025, une fuite de données a été revendiquée concernant Eklo, chaîne hôtelière française économique et écoresponsable. Le volume et les catégories exactes de données clients exposées restent non vérifiés.
En septembre 2025, une base de 117 963 clients de Syma Mobile — exposant noms, dates de naissance, adresses postales et e-mail, numéros de téléphone et pièces d'identité — a été mise en vente sur un forum du dark web aux côtés d'autres bases françaises.
En septembre 2025, Prosper a annoncé avoir détecté un accès non autorisé à ses systèmes, ce qui a entraîné l'exposition d'informations sur les clients et les candidats. La fuite de données a touché 17,6 millions d'adresses e-mail uniques, ainsi que d'autres informations clients, notamment des numéros de sécurité sociale américains.
En août 2025, la « place de marché qui met en relation les artistes avec des clients potentiels » Artists&Clients a subi une fuite de données suivie d'une demande de rançon de 50 000 dollars US.
En août 2025, le fournisseur de systèmes suédois Miljödata a été victime d'une attaque par rançongiciel. À la suite de l'attaque, des données ont ensuite été publiées sur le dark web et comprenaient 870 000 adresses e-mail uniques réparties dans divers fichiers compromis.
En août 2025, le distributeur français Auchan a révélé une fuite exposant les données personnelles de plusieurs centaines de milliers de clients du programme de fidélité Waaoh — civilité, nom, prénom, adresses postale et e-mail, téléphone et numéro de carte ; ni données bancaires ni codes PIN n'étaient concernés.
Le 12 août 2025, France Travail, l'agence publique pour l'emploi, a signalé un accès non autorisé à son portail emploi destiné aux entreprises ayant exposé les coordonnées d'utilisateurs professionnels — nom, prénom, adresse email, numéro de téléphone et un identifiant technique interne.
En octobre 2025, une réincarnation du forum de piratage BreachForums, qui avait déjà été fermé à plusieurs reprises, a été mise hors ligne par une coalition de forces de l'ordre.
En août 2025, plus d'un million d'adresses e-mail uniques sont apparues dans une fuite prétendument obtenue auprès du créateur de mode italien Giglio. Les données comprenaient également des noms, des numéros de téléphone et des adresses postales. Giglio n'a pas répondu aux tentatives répétées de divulgation de l'incident.
Début août 2025, l'enseigne d'optique française Optic 2000 a été victime d'une cyberattaque — confirmée le 30 juillet 2025 et touchant quatre magasins de la région parisienne — qui a exposé des données clients : nom, numéro de sécurité sociale, date de naissance, adresse postale, numéro de téléphone et coordonnées de l'opticien.
Le 6 août 2025, l'opérateur français Bouygues Telecom a révélé une cyberattaque ayant exposé les données personnelles de 6,4 millions de comptes clients, dont coordonnées, données contractuelles, état civil et IBAN (sans numéros de carte ni mots de passe).
En juillet 2025, une vulnérabilité dans le plugin WordPress GiveWP a exposé les noms et adresses e-mail d'environ 30 000 donateurs du projet de blocage de publicités à l'échelle du réseau Pi-hole. Pi-hole a ensuite soumis lui-même la liste des donateurs touchés à HIBP.
Le 26 juillet 2025, une base de données attribuée au Céreq (Centre d'études et de recherches sur les qualifications) portant sur 210 607 personnes — noms, prénoms, adresses e-mail et numéros de téléphone — a été publiée sur le forum de fuites BreachForums.
Victim
Centre d’études et de recherches sur les qualifications
En juillet 2025, le fabricant de produits de santé sexuelle Hello Cake a subi une fuite de données. Les données ont ensuite été publiées sur un forum de piratage public et comprenaient 23 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales, des dates de naissance et des achats.
En juillet 2025, Allianz Life a été victime d'une cyberattaque qui a entraîné la fuite ultérieure de millions d'enregistrements en ligne. Allianz a attribué l'attaque à « une technique d'ingénierie sociale » qui ciblait des données sur Salesforce et a entraîné l'exposition de 1,1 M d'adresses e-mail uniques, de noms,…
En juillet 2025, le CNFPT — l'organisme national de formation des agents territoriaux — a révélé une intrusion ciblée sur sa plateforme intervenants ayant exposé les données personnelles d'environ 34 000 formateurs, dont pièces d'identité, RIB, contrats, diplômes et CV.
Victim
Centre National de la Fonction Publique Territoriale
En juillet 2025, la maison de luxe française Louis Vuitton a révélé qu’un tiers non autorisé avait accédé à des données clients — noms, coordonnées, adresses postales, dates de naissance et historique d’achats — dans le cadre d’une fuite mondiale touchant des clients en France, en Corée du Sud et ailleurs ; aucune donnée de paiement n’a été exposée.
Environ 7,8 millions de profils de licenciés et anciens licenciés de l'UNSS, la fédération française du sport scolaire, ont été aspirés depuis son intranet OPUSS par deux adolescents à l'aide d'identifiants volés, exposant noms, dates de naissance, établissements et coordonnées.
En février 2026, une fuite de données contenant prétendument des informations relatives aux clients de Canada Goose a été publiée publiquement. Les données contenaient 920 000 enregistrements avec 582 000 adresses e-mail uniques et comprenaient des noms, des numéros de téléphone, des adresses IP, des adresses physiques et des données partielles de cartes bancaires, en particulier des numéros de carte…
En juin 2025, 107 000 adresses e-mail uniques de clients auraient été obtenues auprès de TheSqua.re, « le moyen le plus simple de trouver votre prochain appartement avec services ». Les données comprenaient également des noms, des numéros de téléphone et des villes, qui ont ensuite été publiés sur un forum de piratage populaire.
En juin 2025, MaReads, le site destiné aux lecteurs et aux auteurs de fictions et de bandes dessinées en langue thaïe, a subi une fuite de données qui a exposé 74 000 enregistrements. La fuite comprenait des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des dates de naissance. MaReads est au courant de la fuite.
Une cyberattaque contre l'Hôpital privé de la Loire (Ramsay Santé) à Saint-Étienne a exposé les données personnelles de jusqu'à 530 000 patients — identité, NIR, pièces d'identité et comptes rendus de consultation — après l'usage d'identifiants de médecin volés.
En juin 2025, les gros titres ont éclaté à propos d'une fuite de « 16 milliards de mots de passe ». En réalité, l'ensemble de données était une compilation de journaux de stealers accessibles au public, principalement réutilisés à partir de fuites plus anciennes, avec seulement une petite portion de contenu véritablement nouveau.
En octobre 2025, des données dérobées des instances Salesforce de plusieurs entreprises par un groupe de pirates se faisant appeler « Scattered LAPSUS$ Hunters » ont été divulguées publiquement.
En juin 2025, l'éditeur de logiciels espions Catwatchful a subi une fuite de données qui a exposé plus de 60 000 dossiers clients. La fuite était due à une vulnérabilité d'injection SQL qui a permis d'extraire du système des adresses e-mail et des mots de passe en texte clair.
En juin 2025, la plateforme indienne de formation médicale continue (CME) Omnicuris a subi une fuite de données qui a exposé environ 200 000 enregistrements de professionnels de santé. Les données comprenaient des noms, des adresses e-mail, des numéros de téléphone, des localisations géographiques et d'autres attributs relatifs à l'expertise et à la formation professionnelles…
En juin 2025, le joaillier de luxe Cartier (groupe Richemont) a révélé une fuite de données : des attaquants ont accédé à des fichiers clients — noms, adresses courriel et pays de résidence — sans qu'aucun mot de passe ni donnée bancaire ne soit exposé.
Le 3 juin 2025, une base de données clients de Kaviari, maison parisienne de caviar et de produits de la mer haut de gamme, a été signalée comme divulguée, exposant noms, coordonnées, dates de naissance, identifiants de compte et historiques de commandes.
Quelques semaines après la fuite de la CNSS, le hacktiviste Jabaroot a divulgué environ 4 téraoctets de données — des millions de certificats de propriété, titres fonciers, cartes d'identité, passeports et documents bancaires — de l'agence nationale marocaine de la conservation foncière, l'ANCFCC.
Victim
Agence Nationale de la Conservation Foncière, du Cadastre et de la Cartographie (ANCFCC)
Autosur, l'un des principaux réseaux français de contrôle technique, a subi une fuite de données exposant les informations personnelles et automobiles de millions de clients — noms, e-mails, adresses postales, téléphones, plaques d'immatriculation et détails des véhicules — mises en vente sur un forum cybercriminel.
En mai 2025, l'hébergeur ColoCrossing a identifié une fuite de données qui a touché les clients de son produit de serveur virtuel ColoCloud. ColoCrossing a indiqué que l'incident était limité à sa plateforme cloud/VPS et provenait d'une vulnérabilité d'authentification unique.
En mai 2025, une coalition d'agences de répression a démantelé l'infrastructure criminelle derrière les logiciels malveillants utilisés pour lancer des attaques par rançongiciel, dans le cadre d'une nouvelle phase de l'« Operation Endgame ».
Le 13 mai 2025, la maison de luxe Christian Dior Couture (LVMH) a commencé à notifier ses clients — d'abord en Asie — qu'une intrusion découverte le 7 mai avait exposé noms, coordonnées, historiques d'achat et préférences marketing ; aucune donnée bancaire n'était concernée.
Des données de patients gérées par Pulsy, l'opérateur régional de e-santé (GRADeS) de la région Grand Est, ont été signalées comme ayant fuité le 13 mai 2025, exposant identité, coordonnées et informations de santé sensibles dont parcours de soin et hospitalisations.
En mai 2025, la plateforme sud-américaine de services de mobilité Ualabee a vu des centaines de milliers d'enregistrements récupérés par scraping depuis une interface de sa plateforme. Les données comprenaient 472 000 adresses e-mail uniques accompagnées de noms, de photos de profil, de dates de naissance et de numéros de téléphone.
En mai 2025, 160 000 enregistrements de données clients auraient été obtenus auprès de Creams Cafe, « le salon de desserts préféré du Royaume-Uni ». Les données comprenaient des adresses e-mail et postales, des noms et des numéros de téléphone.
En avril 2025, Carrefour Mobile, l'opérateur mobile (MVNO) belge du groupe Carrefour, a subi une fuite de données exposant les informations personnelles d'environ 64 000 clients : noms, coordonnées, adresses postales, mots de passe du portail et, pour certains, numéros de passeport.
En avril 2025, l'enseigne française d'occasion Easy Cash a révélé une fuite exposant les noms, prénoms et dates de naissance d'environ 92 000 clients, à la suite de la compromission d'un poste informatique en magasin.
En avril 2025, l'opérateur de stationnement français Indigo a révélé une intrusion : des attaquants ont accédé à ses systèmes et dérobé noms, adresses postales et e-mail, numéros de téléphone et plaques d'immatriculation de clients ; aucune donnée bancaire ni mot de passe n'a été touché.
Au cours de l'année 2025, la société de renseignement sur les menaces Synthient a agrégé 2 milliards d'adresses e-mail uniques divulguées dans des listes de credential stuffing trouvées sur de multiples sources internet malveillantes.
Au cours de l'année 2025, Synthient a agrégé des milliards d'enregistrements de « données de menace » provenant de diverses sources internet. Les données contenaient 183 millions d'adresses e-mail uniques ainsi que les sites web sur lesquels elles avaient été saisies et les mots de passe utilisés.
Un hacktiviste opérant sous l'alias Jabaroot a divulgué plus de 53 000 fichiers PDF et des bases de données CSV de la Caisse Nationale de Sécurité Sociale du Maroc, exposant numéros de carte d'identité nationale, salaires et coordonnées bancaires de près de 2 millions de salariés répartis dans environ 500 000 entreprises.
Une fuite de données révélée le 1er avril 2025 a exposé des données de contact de personnes liées à Reporterre, le média indépendant français d'écologie, dont noms, prénoms, adresses courriel et adresses postales.
En mars 2025, des données de Samsung Allemagne ont été compromises lors d'une fuite de données de son prestataire logistique, Spectos. Vraisemblablement due à des identifiants obtenus par un malware s'exécutant sur la machine d'un employé de Spectos, la fuite incluait 216 000 adresses e-mail uniques ainsi que des noms, des adresses physiques, des articles…
En mars 2025, des données prétendument issues de German Doner Kebab ont été publiées sur un forum de piratage populaire. Les données comprenaient 162 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses postales. German Doner Kebab a ensuite envoyé un avis de divulgation aux personnes concernées.
Le 26 mars 2025, des données internes de Centrale Nantes, grande école d'ingénieurs publique française, auraient fuité, dont des rapports et projets privés, des identifiants et hachages de mots de passe, du code source et des documents administratifs.
En mars 2025, près de 55 000 enregistrements ont été dérobés au site web de l'office hongrois de l'éducation TehetségKapu. Les données ont ensuite été publiées sur un forum de piratage populaire et comprenaient des adresses e-mail, des noms et des noms d'utilisateur.
Fin mars 2025, le réseau français de laboratoires médicaux Cerballiance a révélé une fuite de données consécutive à une intrusion survenue en février sur le serveur d'un prestataire informatique, exposant des données administratives et de santé de patients de la région PACA, dont noms, numéros de sécurité sociale et certains comptes rendus d'analyses.
En mars 2025, une attaque de phishing a réussi à accéder au compte Mailchimp de Troy Hunt et à exporter automatiquement une liste de personnes abonnées à la newsletter de son blog personnel.
En mars 2025, des données prétendument issues d'une fuite du service de syndics de copropriété ADDA ont été publiées sur un forum de piratage public. Les données contenaient plus de 1,8 M d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des hachages de mots de passe MD5.
En mars 2025, le réseau français de contrôle technique Autosur (marque Diagnosur) a révélé une fuite exposant les données d'environ 10,7 millions de clients — noms, adresses postales et e-mail, numéros de téléphone et données détaillées des véhicules dont plaques d'immatriculation et numéros de série — ensuite mises en vente en ligne.
En mars 2026, la plateforme de compagnon IA NSFW Cuties AI a subi une fuite de données qui a ensuite été publiée sur un forum de piratage public. L'incident a exposé 144 000 adresses e-mail uniques ainsi que des noms d'affichage, des avatars, des invites et des descriptions utilisés pour générer des images IA pour adultes, ainsi que des URL vers…
Le 20 mars 2025, l'association de scoutisme Éclaireuses et Éclaireurs de France a vu les données personnelles d'environ 44 000 adhérents exposées : noms, dates et lieux de naissance, adresses, professions, e-mails et numéros de téléphone.
En mars 2025, le distributeur d'articles de sport Intersport s'est fait dérober les données d'environ 3,4 millions de clients via un serveur FTP compromis, mises en vente sur BreachForums : noms, coordonnées, adresses, références PayPal et historique de transactions (aucune donnée bancaire).
En mars 2025, des dossiers de location détenus par le réseau immobilier français Laforêt ont été exposés, divulguant les pièces d'identité et les coordonnées bancaires (RIB) des locataires ainsi que le reste de leurs dossiers.
Une activité réseau suspecte chez Yale New Haven Health a conduit à la plus grande fuite de données de santé aux États-Unis en 2025 : 5,5 millions de patients ont vu leurs noms, coordonnées, dates de naissance, numéros de dossier médical et numéros de sécurité sociale dérobés. Le système de santé a ensuite accepté un règlement collectif de 18 millions de dollars.
Le 5 mars 2025, le courtier français en assurance emprunteur UTwin a informé ses clients qu'une intrusion dans son système informatique avait temporairement exposé identité, adresses email et numéros de téléphone ; la société indique qu'aucune donnée bancaire, médicale ou contractuelle n'a été touchée.
En mars 2025, la chaîne française de livraison de sushis Côté Sushi a vu les données personnelles d'environ 1,1 million de clients — noms, dates de naissance, e-mails et numéros de téléphone — extraites de sa base fidélité/livraison et mises en vente sur un forum cybercriminel.
En mars 2025, l'opérateur postal français La Poste a révélé une fuite de sa plateforme « Élection du Timbre » exposant les données personnelles d'environ 50 000 utilisateurs — nom, année de naissance, e-mail, téléphone et adresse postale — mises en vente en ligne par un pirate.
Révélée le 28 février 2025, une fuite de données à l'École Nationale de la Sécurité, école de formation aux métiers de la sécurité privée et VTC, a exposé les dossiers personnels d'environ 30 000 stagiaires, dont numéros de sécurité sociale, numéros de carte VTC et coordonnées.
Le 28 février 2025, un pirate a affirmé avoir dérobé une base de données de la division hydraulique d'EDF (DPIH), exposant des plans d'intervention et de maintenance des centrales, des résultats de contrôles de sécurité et des identifiants d'agents ; EDF et les chercheurs ont contesté les allégations nucléaires.
Le 28 février 2025, une fuite de données attribuée à Zephir (France) a exposé les informations personnelles d'environ 67 000 personnes, dont noms, adresses e-mail, numéros de téléphone et coordonnées bancaires (IBAN).
Le 26 février 2025, Nord Emploi — la plateforme d'accompagnement vers l'emploi des allocataires du RSA du département du Nord — a subi une fuite de données exposant les dossiers personnels et sociaux d'environ 200 000 bénéficiaires : identité, coordonnées, données CAF/RSA et données détaillées d'accompagnement social.
En février 2025, la filiale roumaine de l'entreprise de télécommunications Orange a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire.
En février 2025, la Fédération Française de Football (FFF) a subi une fuite de données via un compte compromis sur sa plateforme de gestion des licenciés ; au moins ~43 000 utilisateurs ont vu leurs données personnelles exposées, dont noms, coordonnées et copies de justificatifs d'identité.
Le 19 février 2025, le Service Départemental d'Incendie et de Secours de la Vienne (SDIS 86) a subi la compromission de son site web, exposant une base de données interne — identifiants, mots de passe hashés et adresses e-mail — ainsi que des informations sensibles sur les casernes et les interventions.
Victim
Service Départemental d'Incendie et de Secours de la Vienne
Le 17 février 2025, Sport Découverte (sport-decouverte.com), site français de coffrets d'expériences sportives, a été signalé victime d'une fuite : une base d'environ 488 000 comptes clients — noms, dates de naissance, numéros de téléphone et adresses e-mail — exposée.
En février 2025, 23 milliards de lignes de journaux de voleurs d'informations (stealer logs) ont été obtenues d'un canal Telegram connu sous le nom d'ALIEN TXTBASE. Les données contenaient 284 M d'adresses e-mail uniques ainsi que les sites web sur lesquels elles avaient été saisies et les mots de passe utilisés.
En février 2025, des données provenant d'une fuite antérieure d'Adpost ont refait surface. Le jeu de données contenait 3,3 M d'enregistrements, dont des adresses e-mail, des noms d'utilisateur et des noms d'affichage. Adpost a ensuite publié un avis de divulgation et indiqué avoir imposé une réinitialisation des identifiants, parmi d'autres mesures.
En février 2025, le service de logiciel espion Cocospy a subi une fuite de données, tout comme le service de logiciel espion frère, Spyic. La seule fuite de Cocospy a exposé près de 1,8 million d'adresses e-mail de clients qui ont été fournies à HIBP, et aurait également permis un accès non autorisé aux messages, photos, journaux d'appels capturés,…
En février 2025, le service de logiciels espions Spyic a subi une fuite de données en même temps que son service jumeau, Cocospy. La seule fuite de Spyic a exposé près de 876 000 adresses e-mail de clients, qui ont été fournies à HIBP, et aurait également permis un accès non autorisé à des messages, photos, journaux d'appels capturés…
En février 2025, l'assureur moto Mutuelle des Motards a subi une fuite issue d'un outil de gestion de contacts marketing, exposant noms, adresses e-mail, numéros de téléphone et codes postaux de plus de 1,3 million de sociétaires.
Chronopost, le transporteur express de colis français, a confirmé en février 2025 qu'une intrusion détectée le 29 janvier 2025 avait exposé les données personnelles d'environ 210 000 clients, dont noms, adresses postales, numéros de téléphone et signatures de livraison.
En février 2025, l'enseigne française de jouets King Jouet a subi une intrusion visant son interface de suivi de commandes en ligne ; un pirate revendiquait 4,3 millions d'enregistrements, mais l'entreprise indique que moins de 25 000 clients de deux magasins ont vu leurs nom, coordonnées et détails de commande exposés.
En février 2025, la société Lexipol, spécialisée dans les systèmes de gestion des politiques de sécurité publique, a subi une fuite de données. Attribuée au groupe autoproclamé « Puppygirl Hacker Polycule », la fuite a exposé un nombre considérable de documents et de fiches utilisateurs qui ont ensuite été publiés publiquement.
Des attaquants ont exfiltré les données du registre national des sociétés du Kenya, le Business Registration Service — y compris des informations de propriété et de bénéficiaires effectifs touchant le président Ruto et les entreprises de la famille Kenyatta — et les ont mises en vente sur le dark web.
En janvier 2025, le forum Rezeptwelt (« monde des recettes » en allemand) destiné aux propriétaires de Thermomix a subi une fuite de données. L'incident a exposé les informations de 3,1 millions d'utilisateurs enregistrés, notamment des noms, des adresses e-mail et postales, des numéros de téléphone, des dates de naissance et des biographies (généralement liées à la cuisine).
Le 27 janvier 2025, l'association française de prévention VIH/hépatites AIDES a révélé la compromission d'un serveur sécurisé de partage de fichiers, exposant l'identité, les coordonnées et les données bancaires (IBAN) de ses soutiens, ainsi que des informations de santé pour certains.
En janvier 2025, 435 000 adresses e-mail ont été extraites du service de « doxing » Doxbin. Les publications sur ce service visent généralement à divulguer sans consentement les informations personnelles de tiers.
En janvier 2025, la plateforme Prime énergie d'E.Leclerc a subi des accès frauduleux à des comptes, exposant les nom, prénom, adresse email, identifiants d'accès, numéro de dossier, montant de prime et libellé de prestation des clients ; la fuite a été notifiée aux clients concernés le 24 janvier 2025.
Fin janvier 2025, la Fédération Française de la Montagne et de l'Escalade (FFME) a révélé une fuite exposant un jeu de données de 808 881 comptes de licenciés : noms, adresses postales et e-mail, identifiants, dates de naissance et numéros de téléphone.
En janvier 2025, le vendeur de lunettes Frame & Optic a subi une fuite de données. L'incident a exposé près de 16 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des données de géolocalisation comprenant le pays, l'État et le code postal.
En janvier 2025, des journaux de logiciels voleurs (stealer logs) contenant 71 millions d'adresses e-mail ont été ajoutés à HIBP. Composée d'une adresse e-mail, d'un mot de passe et du site web sur lequel les identifiants ont été saisis, cette fuite marque le lancement d'une nouvelle fonctionnalité HIBP permettant de récupérer les sites web spécifiques sur lesquels les journaux ont été collectés.
En janvier 2025, le service de suivi GPS LandAirSea a subi une fuite de données qui a exposé 337 k adresses e-mail clients uniques ainsi que des noms, des noms d'utilisateur et des hachages de mots de passe.
Un logiciel malveillant voleur d'informations sur les postes de plus de 15 employés de Telefónica a fourni au groupe de rançongiciel Hellcat des identifiants pour accéder au système interne de tickets Jira de l'entreprise. L'ingénierie sociale a permis d'élever l'accès jusqu'au SSH. Le groupe n'a pas extorqué — il a publié 2,3 Go, dont 24 000 courriels d'employés, 470 000 tickets Jira internes et 5 000 documents internes.
En janvier 2025, une fuite de données de la maison d'édition Scholastic a fait surface. La fuite contenait 4,2 millions d'adresses e-mail uniques, beaucoup des enregistrements incluant également un nom, un numéro de téléphone et une adresse physique.
Un stockage cloud Amazon mal configuré, exploité par la filiale logicielle de Volkswagen, Cariad, a exposé les données d'environ 800 000 propriétaires de véhicules électriques des marques VW, Audi, Seat et Skoda, dont des coordonnées et la géolocalisation précise d'environ 466 000 voitures.
Une base de données contenant environ 22 millions d'enregistrements de clients de Movistar Pérou — numéros DNI, noms, dates de naissance et adresses collectés entre 2016 et 2018 — a circulé librement sur des forums de piratage pendant les fêtes de décembre.
En décembre 2024, des données prétendument issues de la plateforme brésilienne de génération de prospects Speedio ont été mises en vente sur un forum de piratage populaire. Les données auraient été obtenues à partir d'une instance Elasticsearch non sécurisée et contenaient plus de 62 millions d'enregistrements, principalement des informations commerciales publiques…
Des données clients attribuées au distributeur français Electro Dépôt sont apparues parmi au moins 17 fuites françaises regroupées sur une base ouverte, exposant noms, coordonnées, adresses IP et données de paiement partielles.
En décembre 2024, l'enseigne française d'articles de sport Go Sport a été citée dans des revendications de fuite de données clients sur le dark web ; cette prétendue nouvelle fuite a été démentie, les données provenant d'un fichier « go-sport.com » issu d'une compilation antérieure de fuites françaises.
La base clients de l'enseigne française d'articles de sport Sport 2000 — environ 4,3 millions de personnes — a été dérobée puis diffusée sur des forums et le dark web, exposant noms, coordonnées, dates de naissance et historique d'achats.
Les données d'utilisateurs de Wakanim figuraient dans un serveur ElasticSearch mal configuré et accessible publiquement, regroupant ~95 millions d'enregistrements issus de 17 fuites françaises : noms, e-mails, adresses postales et IP, numéros de téléphone.
En décembre 2024, la communauté de partage de vidéos BitView a subi une fuite de données qui a exposé 63 000 dossiers clients. Attribuée à une sauvegarde réalisée par un ancien administrateur plus tôt dans l'année, la fuite a exposé des adresses e-mail et IP, des hachages de mots de passe bcrypt, des noms d'utilisateur, des biographies, des messages privés, des vidéos…
Le 12 décembre 2024, le e-commerçant français de matériel informatique Top Achat (groupe LDLC) a révélé une fuite exposant les noms, adresses e-mail et adresses postales de clients ; aucun mot de passe ni donnée bancaire n'était concerné. L'intrusion était liée à un précédent piratage chez sa maison mère LDLC.
En décembre 2024, des données présentées comme provenant d'une fuite de l'entreprise de marketing multiniveau Young Living Essential Oils ont été publiées sur un forum de piratage populaire. Les données contenaient 1,1 million d'adresses e-mail uniques ainsi que des noms, le pays du compte et, dans de nombreux cas, la date de naissance.
Le 10 décembre 2024, le e-commerçant high-tech français LDLC a révélé une fuite de données exposant des informations personnelles (noms, adresses e-mail, numéros de téléphone) de ses clients web et en boutique — potentiellement plusieurs millions de personnes — tout en affirmant qu'aucune donnée financière ou sensible n'était concernée.
La marque française d'ustensiles de cuisine et de pâtisserie Guy Demarle a révélé en décembre 2024 qu'une cyberattaque avait copié une partie de sa base clients, exposant noms, adresses postales, adresses email et numéros de téléphone ; mots de passe et données bancaires non concernés.
Le 2 décembre 2024, l'enseigne automobile française Norauto a révélé une cyberattaque visant son service de location de véhicules, exposant les données personnelles d'environ 78 000 clients (noms, coordonnées et, dans certains cas, numéros de pièce d'identité) ; le fichier a été mis en vente sur BreachForums.
Le 27 novembre 2024, une base de données de la plateforme française de réservation de séjours en camping Ze Camping (ze-camping.fr), couvrant 2014-2024, a été mise en vente sur un forum du darknet, exposant environ 1,6 million d'enregistrements : noms, identifiants, mots de passe hashés, dates de naissance, téléphones et adresses postales.
Le 26 novembre 2024, un jeu de données de comptes utilisateurs lié à JVS-Mairistem — éditeur français majeur de logiciels pour les mairies et collectivités — a été signalé en fuite, exposant noms, adresses email, logins, numéros de téléphone et la collectivité associée.
Le 24 novembre 2024, un cybercriminel a mis en vente une fuite de données personnelles de 3,6 millions de clients de l'opérateur télécom français SFR — noms, adresses postales et e-mail, dates de naissance et numéros de téléphone — ainsi que 150 000 IBAN proposés séparément sur le dark web.
Le 23 novembre 2024, l'acteur malveillant Near2tlg a mis en vente des données prétendument volées à la banque centrale française ; la Banque de France a démenti toute compromission de ses systèmes sécurisés, ne reconnaissant qu'un accès externe ponctuel à un extranet RH, sans donnée sensible exposée.
En 2024, le site de rencontres pour les 40 ans et plus Senior Dating a subi une fuite de données. Attribuée à une base de données Firebase exposée, la fuite incluait de nombreuses informations personnelles sur 766 000 utilisateurs du service, dont des adresses e-mail, des photos, des genres, des liens vers des comptes Facebook, des dates de naissance et des localisations précises…
En novembre 2024, des données de la plateforme de paiement sénégalaise Yonéma ont été publiées sur un forum de piratage populaire. Les données comprenaient 36 000 adresses e-mail uniques ainsi que des numéros de téléphone, des noms et ce qui semble être des mots de passe chiffrés et des dates de naissance.
Le 19 novembre 2024, le distributeur français Auchan a révélé une fuite touchant son programme de fidélité et exposant les données personnelles de plus de 500 000 clients — noms, coordonnées, date de naissance, composition familiale et informations de carte/cagnotte de fidélité ; aucune donnée bancaire ni mot de passe n'a été affecté.
En novembre 2024, l'assureur en ligne français Direct Assurance a été piraté via le compte compromis d'un salarié, exposant les données personnelles d'environ 15 000 clients et prospects — dont les IBAN/RIB d'environ 5 800 d'entre eux — ensuite mises en vente en ligne.
Le 19 nov. 2024, un cybercriminel a mis en vente sur BreachForums les dossiers d'environ 758 912 patients du groupe de santé français Aléo Santé — extraits via un compte à privilèges compromis sur la plateforme de dossiers patients Mediboard —, exposant identités, coordonnées et données médicales sensibles.
En novembre 2024, l'application d'animation FlipaClip a subi une fuite de données qui a exposé près de 900 000 enregistrements en raison d'un serveur Firebase exposé. Les données concernées comprenaient le nom, l'adresse e-mail, le pays et la date de naissance. FlipaClip a indiqué que le problème a depuis été corrigé.
En novembre 2024, le cours en ligne fondé par Andrew Tate connu sous le nom de « The Real World » (anciennement « Hustler's University ») a subi une fuite de données qui a exposé près de 325 000 utilisateurs de la plateforme. Les données touchées se limitaient aux noms d'utilisateur, aux adresses e-mail et aux journaux de discussion.
Le 14 novembre 2024, une fuite de données touchant Huttopia, l'exploitant français d'écotourisme et de glamping, a exposé des fiches clients comprenant noms, prénoms et adresses e-mail.
En novembre 2024, la plateforme éducative sud-coréenne PoinCampus a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient 89 000 adresses e-mail uniques, des noms et un petit nombre de numéros de téléphone et de dates de naissance.
Vers le 13 novembre 2024, le service français de télévision en streaming Molotov a révélé une fuite de données exposant environ 10,8 millions d'adresses email, ainsi que les noms et dates de naissance des utilisateurs les ayant renseignés ; aucun mot de passe ni donnée bancaire n'a été touché.
En novembre 2024, le fournisseur d'électricité allemand Tibber a subi une fuite de données qui a exposé les informations personnelles de 50 000 clients. Les données comprenaient des noms, des adresses e-mail, des localisations géographiques (ville et code postal) et le total des dépenses d'achat.
En novembre 2024, la plateforme de paris en ligne 1win a subi une fuite de données qui a exposé 96 M d'utilisateurs. Les données exposées comprenaient des adresses e-mail et IP, des numéros de téléphone, des dates de naissance, le pays et des hachages de mots de passe SHA-256.
Un acteur malveillant a mis en vente une base présentée comme contenant environ 37 millions d'enregistrements du registre national d'identité péruvien RENIEC, dont numéros DNI, noms, données de naissance et adresses ; le RENIEC a contesté toute intrusion dans ses systèmes.
Victim
RENIEC (Registro Nacional de Identificación y Estado Civil)
Après l'échec d'une négociation d'extorsion de deux semaines, un acteur malveillant connu sous le nom de kzoldyck a divulgué 3,7 To de données sur environ 3 millions de clients d'Interbank, dont noms, numéros DNI, données de cartes et identifiants en clair.
En octobre 2024, la plateforme de sports fantastiques SuperDraft a subi une fuite de données qui a exposé plus de 300 000 enregistrements clients. La fuite contenait 24 Go de données comprenant des adresses e-mail, des noms d'utilisateur, des achats, des latitudes et longitudes, des dates de naissance et des empreintes de mots de passe bcrypt.
Fin octobre 2024, le FAI français Free (groupe Iliad) a révélé une cyberattaque : des assaillants ont accédé à un outil de gestion interne, exposant l'identité et les coordonnées d'abonnés ainsi qu'environ 5,1 millions d'IBAN ; les données ont ensuite été mises aux enchères et vendues en ligne.
Fin octobre 2024, l'auto-école en ligne française Ornikar a révélé une fuite après qu'un attaquant a mis en vente une base de données pouvant contenir 4,2 millions de comptes clients, exposant noms, dates de naissance, adresses e-mail et postales et numéros de téléphone ; les données bancaires et mots de passe n'ont pas été touchés.
En octobre 2024, le détaillant Hot Topic a subi une fuite de données qui a exposé 57 millions d'adresses e-mail uniques. Les données touchées comprenaient également des adresses postales, numéros de téléphone, achats, genres, dates de naissance et des données bancaires partielles contenant le type de carte, la date d'expiration et les 4 derniers chiffres.
En octobre 2024, 421 000 adresses e-mail uniques du jeu de terre virtuelle Earth 2 ont été déduites d'images Gravatar intégrées. Apparaissant aux côtés des noms d'utilisateur des joueurs, la cause profonde était liée à la manière dont Gravatar présente les liens vers les avatars sous forme d'empreintes MD5 au sein des services consommateurs, une fonctionnalité qu'Earth 2 a signalée…
En octobre 2024, près de 300 000 adresses e-mail uniques du groupe australien de courtage hypothécaire Finsure ont été obtenues à partir de la plateforme de marketing immobilier ActivePipe. Les données concernées comprenaient également des noms, des numéros de téléphone et des adresses physiques.
En octobre 2024, l'application flat earth sun, moon and zodiac créée par Flat Earth Dave s'est révélée divulguer de nombreuses informations personnelles de ses utilisateurs.
En octobre 2024, The Club Penguin Experience (TCPE) a subi une fuite de données. L'incident a exposé les adresses e-mail de plus de 6 000 abonnés ainsi que des noms d'utilisateur, des tranches d'âge, des mots de passe stockés sous forme de condensats bcrypt et, dans certains cas, des indices de mot de passe en clair.
En octobre 2024, le service hongrois de chasse de têtes informatiques Switch a exposé par inadvertance des milliers de dossiers clients via un dépôt GitHub public. Les données exposées contenaient des candidatures à des emplois avec des noms, des adresses e-mail et, dans certains cas, des commentaires sur le candidat.
Fin septembre 2024, le courtier français en crédit et en assurance Meilleurtaux a révélé qu'une attaque externe de ses systèmes informatiques avait exposé des données personnelles sensibles de clients : identité, coordonnées, date de naissance, situation familiale, revenus et situation professionnelle.
En septembre 2024, une fuite de données provenant du détaillant australien digiDirect a été publiée sur un forum de piratage populaire. La fuite a exposé plus de 300 000 lignes de données, notamment des adresses e-mail et postales, des noms, des numéros de téléphone et des dates de naissance.
En septembre 2024, la base de données d'authentification d'Internet Archive — 31 millions d'enregistrements comprenant e-mails, pseudonymes et empreintes de mots de passe bcrypt — a été dérobée, suivie d'une défiguration du site et d'une vague d'attaques DDoS.
En septembre 2024, plus de 90 millions de lignes de données concernant des citoyens français ont été retrouvées exposées dans une base de données accessible au public. Compilé à partir de diverses fuites de données, le corpus contenait 28 millions d'adresses e-mail uniques, les différentes fuites sources exposant chacune des champs différents, dont le nom, l'adresse physique et IP…
En septembre 2024, RED by SFR — la marque mobile low-cost de l'opérateur français SFR — a révélé une fuite touchant plusieurs dizaines de milliers de clients récents, exposant noms, coordonnées, IBAN et identifiants SIM/terminal après l'accès des attaquants à un outil de gestion des commandes.
En septembre 2024, le site web de « petite amie IA » Muah.AI a subi une fuite de données. La fuite a exposé 1,9 million d'adresses e-mail ainsi que des invites permettant de générer des images basées sur l'IA. Bon nombre de ces invites étaient de nature hautement sexuelle, beaucoup décrivant également des scénarios d'exploitation d'enfants.
Le 13 septembre 2024, l'Assurance retraite (Cnav) a révélé une fuite de données via son portail partenaires PPAS, exposant les données d'environ 370 000 bénéficiaires : noms, adresses, numéros de Sécurité sociale et montant approximatif des ressources.
En septembre 2024, l'Instituto Nacional de Deportes de Chile (l'Institut national des sports du Chili) a subi une fuite de données. L'incident a exposé 1,7 million de lignes de données avec 320 000 adresses e-mail uniques ainsi que des noms, dates de naissance, genres et empreintes de mots de passe bcrypt.
En août 2024, l'agrégateur de données MC2 Data a laissé une base de données accessible publiquement sans mot de passe, qui a ensuite été découverte par un chercheur en sécurité. La fuite a exposé les informations personnelles de 2,1 millions d'abonnés au service, commercialisé sous toute une série de marques différentes.
Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.
En août 2024, une série de vulnérabilités de sécurité a été identifiée au sein d'un conglomérat de services en ligne qui incluait le réseau de talents Explore Talent. Une API vulnérable a exposé les enregistrements personnels de 11,4 millions d'utilisateurs du service, dont 8,9 millions d'adresses e-mail uniques ont été fournies à HIBP.
En septembre 2024, des données de la boutique de cadeaux en ligne allemande schenkYOU ont été mises en vente sur un forum de piratage populaire. Obtenues le mois précédent, les données incluaient 237 000 adresses e-mail uniques ainsi que des noms, des dates de naissance et des hachages de mots de passe SHA-256 salés.
En août 2024, une série de vulnérabilités de sécurité ont été identifiées au sein d'un conglomérat de services en ligne incluant le service de suivi GPS Tracki. Plusieurs vulnérabilités ont exposé les données personnelles de 372 000 utilisateurs du service, dont des noms et des adresses e-mail.
Un pirate utilisant l'alias xenZen a exposé les données personnelles et médicales de 31,2 millions de clients de Star Health via des bots Telegram, accompagnées de 5,76 millions de dossiers de sinistres. La fuite a dégénéré en un drame public d'extorsion impliquant un haut responsable de Star Health.
En août 2024, le site web de Maître Chris Leong, "un praticien de premier plan du Tit Tar en Malaisie", a subi une fuite de données. L'incident a exposé 27 000 adresses e-mail uniques ainsi que des noms, des adresses postales, des dates de naissance, des sexes, des nationalités et, dans de nombreux cas, des liens vers des profils Facebook.
En août 2024, plus de 332 millions de lignes d'adresses e-mail ont été publiées sur un forum de piratage populaire. La publication prétendait que les adresses avaient été récupérées auprès de la société de cybersécurité SOCRadar, mais une enquête menée pour leur compte a conclu que « l'acteur a simplement utilisé des fonctionnalités inhérentes à la plateforme…
En juillet 2024, 700 000 adresses e-mail uniques de la plateforme de livres audio Ubook ont été publiées sur un forum de piratage populaire. Prétendument récupérées par scraping depuis le service, les données semblent provenir de l'Ubook Exchange (UBX) et comprennent également des noms, des genres, des dates de naissance et des liens vers des photos de profil.
En juillet 2024, des journaux de logiciels voleurs (info stealer logs) contenant 26 millions d'adresses e-mail uniques ont été rassemblés à partir de canaux Telegram malveillants. Les données contenaient 22 Go de journaux composés d'adresses e-mail, de mots de passe et des sites web sur lesquels ils étaient utilisés, tous obtenus par des logiciels malveillants s'exécutant sur des machines infectées.
En juillet 2024, des hacktivistes ont publié près de 2 Go de données dérobées à The Heritage Foundation et à son organe de presse, The Daily Signal. Les données contenaient 72 000 adresses e-mail uniques, principalement utilisées pour commenter des articles (avec des noms, des adresses IP et les commentaires laissés) et par des contributeurs…
En juillet 2024, MSI a exposé par inadvertance des centaines de milliers d'enregistrements de clients liés à des demandes de RMA qui se sont avérés par la suite accessibles publiquement. Les données comprenaient 250 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales et des demandes de garantie.
En juillet 2024, l'enseigne de distribution émiratie LuLu a subi une fuite de données. Les données concernées comprenaient 190 000 adresses e-mail et les numéros de téléphone associés, qui ont ensuite été partagés sur un forum de piratage populaire.
En juillet 2024, AnimeLeague a révélé une fuite de données touchant ses services. Les données ont été mises en vente sur un forum de piratage populaire et comprenaient 2 bases de données couvrant à la fois des enregistrements d'inscription à des événements et un vidage du forum de discussion phpBB.
En juillet 2024, la plateforme de gestion d'événements FNTECH a subi une fuite de données qui a exposé 10 000 adresses e-mail uniques. Les données contenaient des inscrits à divers événements, dont les participants de la liste d'inscription de la Roblox Developer Conference. Les données comprenaient également des noms et des adresses IP.
En juillet 2024, le site du forum Husky Owners a été défiguré et lié à une fuite de données utilisateurs contenant 16 000 enregistrements. Les données exposées comprenaient des noms d'utilisateur, adresses e-mail, dates de naissance et fuseaux horaires.
En 2024, le site de rencontres lesbiennes ladies.com a subi une fuite de données. Attribuée à une base de données Firebase exposée, la fuite comprenait de nombreuses informations personnelles sur 119 k utilisateurs du service, notamment des adresses e-mail, des photos, l'orientation sexuelle, le genre, la date de naissance ainsi que la latitude précise et…
En septembre 2024, des données du service de billetterie Central Tickets ont été publiées publiquement sur un forum de piratage. Les données suggèrent que la fuite s'est produite plusieurs mois plus tôt et a exposé 723 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses IP, des achats et des mots de passe stockés sans sel…
En juillet 2024, un acteur malveillant a obtenu l'accès à la plateforme de gestion hôtelière Otelier et a récupéré des données de clients de grandes marques hôtelières, notamment Marriott, Hilton et Hyatt.
En juin 2024, la chaîne de chaussures britannique Shoe Zone a divulgué une fuite de données qui a ensuite été mise en vente sur un forum de piratage populaire. Les données incluaient plus de 100 000 commandes contenant des noms, des adresses, des numéros partiels de cartes de crédit (type de carte et 4 derniers chiffres) et 46 000 adresses e-mail uniques.
En juillet 2024, une fuite de données de la plateforme sociale désormais disparue consacrée au cannabis BudTrader a été mise en vente sur un forum de piratage. Remontant au mois précédent, la fuite du site web a exposé 2,7 millions d'adresses e-mail, de noms d'utilisateur et de hachages de mots de passe WordPress.
En juin 2024, le fabricant de logiciels espions SpyX a subi une fuite de données qui a exposé près de 2 millions d'adresses e-mail uniques. La fuite a également exposé des adresses IP, des pays de résidence, des informations sur les appareils et des codes PIN à 6 chiffres dans le champ du mot de passe.
En juin 2024, la société de recherche en investissement Zacks aurait été victime d'une fuite, et des données ont ensuite été publiées sur un forum de piratage populaire. Cela fait suite à une autre fuite de données de Zacks confirmée par l'organisation en 2023, la fuite ultérieure divulguant des millions d'enregistrements supplémentaires représentant…
En juin 2024, près de 10 millions d'enregistrements d'utilisateurs de Z-lib ont été découverts exposés en ligne. Désormais disparu, Z-lib était un clone malveillant de Z-Library, une plateforme clandestine en ligne bien connue pour le piratage de livres et d'articles universitaires.
En juin 2024, un énorme ensemble de données du fabricant de logiciels espions mSpy a été obtenu par des hacktivistes et publié en ligne. Composé de 142 Go de données utilisateur et de tickets d'assistance ainsi que de 176 Go de plus d'un demi-million de pièces jointes, l'ensemble contenait 2,4 millions d'adresses e-mail uniques, des adresses IP, des noms et des photos.
En juin 2024, Advance Auto Parts a confirmé avoir subi une fuite de données mise en vente sur un forum de piratage populaire. Liée à un accès non autorisé aux services cloud Snowflake, la fuite a exposé un grand nombre d'enregistrements concernant à la fois des clients et des employés.
En juillet 2024, le fabricant de logiciels espions Spytech a subi une fuite de données qui a exposé des données collectées aussi récemment que le mois précédent. Conçu pour « enregistrer de manière invisible tout ce que font les utilisateurs », la fuite a exposé des informations relatives à la fois aux acheteurs et aux cibles du produit.
En juin 2024, le plus grand exploitant de centres commerciaux des Philippines, Robinsons Malls, a subi une fuite de données provenant de son application mobile. L'incident a exposé 195 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des dates de naissance, des genres et la ville et la province de l'utilisateur.
En mai 2024, la société australienne de billetterie d'événements Ticketek a signalé une fuite de données liée à une plateforme cloud tierce. Le mois suivant, les données sont apparues en vente sur un forum de piratage populaire et ont ensuite été reliées à une série de fuites du service de stockage cloud Snowflake.
En mai 2024, une coalition d'agences internationales de répression a démantelé une série de botnets dans le cadre d'une campagne baptisée « Operation Endgame ». Les données saisies lors de l'opération comprenaient les adresses e-mail et mots de passe touchés, qui ont été transmis à HIBP afin d'aider les victimes à prendre connaissance de leur exposition.
En mai 2024, 2 milliards de lignes de données comportant 361 millions d'adresses e-mail uniques ont été rassemblées à partir de canaux Telegram malveillants. Les données représentaient 122 Go répartis dans 1 700 fichiers contenant des adresses e-mail, des noms d'utilisateur, des mots de passe et, dans de nombreux cas, le site web sur lequel ils avaient été saisis.
En mai 2024, le service de logiciel espion pcTattletale a subi une fuite de données qui a défiguré le site web et publié des dizaines de gigaoctets de données sur la page d'accueil, prétendument parce que pcTattletale n'avait pas répondu à un précédent signalement de vulnérabilité de sécurité.
Un acteur malveillant a mis en vente environ 278 Go de données dérobées à l'opérateur télécom public indien BSNL — dont des numéros IMSI, des détails de cartes SIM, des données du registre de localisation et des clés de sécurité — exposant des millions d'abonnés au clonage de SIM et à la fraude, lors de la deuxième violation de l'opérateur en six mois.
En mai 2024, le site d'actualités conservateur The Post Millennial a subi une fuite de données. La fuite a entraîné le défacement du site web et la publication de liens vers 3 corpus de données différents comprenant des centaines de rédacteurs et d'éditeurs (IP, adresse postale et e-mail exposés), des dizaines de milliers de…
En avril 2024, 2,1 millions d'adresses e-mail provenant de la boutique en ligne de produits de santé Piping Rock ont été publiées sur un forum de piratage populaire. Les données comprenaient également des noms, des numéros de téléphone et des adresses physiques.
En avril 2024, un volume important de données a été dérobé au fournisseur de services informatiques bangladais Tappware et publié sur un forum de piratage populaire. Comprenant 95 000 adresses e-mail uniques, les données incluaient également des informations détaillées sur le travail de citoyens locaux, dont des noms, des adresses postales, des emplois…
En avril 2024, 95 000 enregistrements de la boutique de thé T2 ont été publiés sur un forum de piratage populaire. Les données comprenaient des adresses e-mail et postales, des noms, des numéros de téléphone, des dates de naissance, des achats et des mots de passe stockés sous forme de condensats scrypt.
En avril 2024, la marque française de prêt-à-porter Le Slip Français a révélé une fuite de données clients exposant noms, téléphones, adresses postales et e-mail et numéros de commande ; environ 1,5 million d'adresses e-mail et près de 700 000 profils clients complets étaient concernés. Aucun mot de passe ni donnée bancaire n'a été touché.
En avril 2024, plus de 6 millions d'enregistrements du service de streaming MovieBoxPro ont été récupérés via une API vulnérable. D'une légalité douteuse, le service ne fournissait aucune information de contact pour signaler l'incident, bien que la vulnérabilité aurait été corrigée après avoir été massivement énumérée.
En 2024, le détaillant de luxe Neiman Marcus s'est fait voler des données depuis son environnement cloud Snowflake via des identifiants dérobés. L'entreprise a déclaré environ 64 000 personnes aux régulateurs, mais le jeu de données fuité a exposé environ 31 millions d'adresses e-mail uniques ainsi que des noms, des coordonnées et des numéros de cartes-cadeaux.
En avril 2024, près de 6 millions d'enregistrements de citoyens salvadoriens ont été publiés sur un forum de piratage populaire. Les données incluaient des noms, des dates de naissance, des numéros de téléphone, des adresses physiques et près de 1 million d'adresses e-mail uniques. De plus, plus de 5 millions de photos de profil correspondantes étaient également incluses dans la fuite.
En mars 2024, 1,3 million d'adresses e-mail uniques provenant de Pandabuy, la boutique en ligne d'achat de produits en provenance de Chine, ont été publiées sur un forum de piratage populaire. Les données comprenaient également des adresses IP et physiques, des noms, des numéros de téléphone et des demandes liées aux commandes.
En août 2024, une fuite de données provenant du service de stylisme en ligne Lookiero a été publiée sur un forum de piratage populaire. Remontant à mars 2024, les données comprenaient 5 M d'adresses e-mail uniques, de nombreux enregistrements incluant également le nom, le numéro de téléphone et l'adresse postale.
En mars 2024, la marque indienne d'audio et d'objets connectés boAt a subi une fuite de données qui a exposé 7,5 millions de dossiers clients. Les données comprenaient des adresses physiques et e-mail, des noms et des numéros de téléphone, qui ont tous été ensuite publiés sur un forum de piratage populaire du clear web.
En mars 2024, le forum de fans indépendant Kaspersky Club a subi une fuite de données. L'incident a exposé 56 k adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 ou bcrypt.
En mars 2024, le site web icoachcricket de l'English Cricket a subi une fuite de données qui a exposé plus de 40 000 enregistrements. Les données comprenaient des adresses e-mail et des mots de passe stockés sous forme d'empreintes bcrypt, d'empreintes MD5 salées, ou des deux.
Des sites web non autorisés comme XpressVerify et AnyVerify ont été surpris en train de vendre les numéros d'identification nationale, numéros de vérification bancaire, passeports et autres données personnelles des Nigérians pour aussi peu que 100 NGN — exploitant un accès API mal encadré à la base de données d'identité de la NIMC.
En mars 2024, des millions d'enregistrements extraits du service de chasse et de gestion des terres HuntStand ont été publiés publiquement sur un forum de piratage populaire. Les données comprenaient 2,8 millions d'adresses e-mail uniques, de nombreux enregistrements contenant également nom, date de naissance et pays.
En mars 2024, l'enseigne de discount canadienne Giant Tiger a subi une fuite de données qui a exposé 2,8 millions d'enregistrements clients. Attribuée à un prestataire du distributeur, la fuite comprenait des adresses postales et e-mail, des noms et des numéros de téléphone.
En mars 2024, WoTLabs (statistiques et ressources World of Tanks) a subi une fuite de données et une défiguration de son site web attribuées aux « chromebook breachers ». La fuite a exposé les données personnelles de 22 000 membres du forum, notamment des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des fuseaux horaires.
En mars 2024, la campagne nationale des citoyens canadiens en faveur de la représentation proportionnelle, Fair Vote Canada, a subi une fuite de données. L'incident a été attribué à « un bénévole bien intentionné » qui a involontairement exposé des données de 2020 comprenant 134 000 adresses e-mail uniques, des noms, des adresses physiques,…
Début mars 2024, le distributeur français d'électronique LDLC a confirmé une fuite de données touchant environ 1,5 million de clients de ses magasins, exposant noms, adresses postales, e-mails et numéros de téléphone, mais aucune donnée bancaire ou sensible.
En juillet 2024, des données extraites d'une API Life360 mal configurée ont été publiées en ligne après avoir été obtenues plusieurs mois auparavant. Les enregistrements comprenaient 443 k adresses e-mail uniques et, dans la plupart des cas, les noms et numéros de téléphone correspondants (certains enregistrements étaient nuls ou masqués).
En mars 2024, la communauté de jeux en ligne Mr. Green Gaming a subi une fuite de données qui a exposé 27 000 enregistrements d'utilisateurs. Reconnu sur leur serveur Discord, l'incident a exposé des adresses e-mail et IP, des noms d'utilisateur, des localisations géographiques et des dates de naissance.
Début 2024, un large corpus de données de DemandScience (une société détenue par Pure Incubation) est apparu en vente sur un forum de piratage populaire. Attribuée plus tard à une fuite d'un système hérité mis hors service, la fuite contenait des données étendues qui étaient en grande partie des informations de contact professionnelles agrégées…
En février 2024, la plateforme de conception visuelle assistée par IA Cutout.Pro a subi une fuite de données qui a exposé 20 millions d'enregistrements. Les données comprenaient des adresses e-mail et IP, des noms et des hachages de mots de passe MD5 salés qui ont ensuite été largement diffusés sur un forum de piratage populaire et des canaux Telegram.
En février 2025, le service de logiciels espions Spyzie a subi une fuite de données en même temps que les services jumeaux, Spyic et Cocospy. La seule fuite de Spyzie a exposé près de 519 000 adresses e-mail de clients, qui ont été fournies à HIBP, et aurait également permis un accès non autorisé à des messages, photos…
En février 2024, l'opérateur télécom australien Tangerine a subi une fuite de données qui a exposé plus de 200 000 dossiers clients. Attribuées à une ancienne base de données clients, les données comprenaient des adresses postales et e-mail, des noms, des numéros de téléphone et des dates de naissance.
En février 2025, le site de « doxing » Doxbin a été compromis par un groupe se faisant appeler « TOoDA » et les données ont été divulguées publiquement. La fuite comprenait 336 000 adresses e-mail uniques accompagnées de noms d'utilisateur.
Début février 2024, les opérateurs français de tiers payant santé Viamedis et Almerys ont révélé des fuites exposant les données d'environ 33 millions de personnes — nom, date de naissance, numéro de sécurité sociale et assureur de santé — l'une des plus grandes violations de données de l'histoire de la France.
En février 2024, le site de sondages rémunérés SurveyLama a subi une fuite de données qui a exposé 4,4 millions d'adresses e-mail de clients. L'incident a également exposé des noms, des adresses physiques et IP, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme d'empreintes SHA-1 salées, bcrypt ou argon2.
En janvier 2024, 207 000 enregistrements de Spoutible ont été extraits d'une API mal configurée qui renvoyait par inadvertance des informations personnelles excessives. Les données comprenaient des noms, noms d'utilisateur, adresses e-mail et IP, numéros de téléphone (lorsqu'ils étaient fournis à la plateforme), genres et empreintes de mots de passe bcrypt.
En janvier 2024, des données ont été récupérées par scraping depuis Trello et mises en vente sur un forum de piratage populaire. Contenant plus de 15 millions d'adresses e-mail, de noms et de noms d'utilisateur, les données ont été obtenues en énumérant une ressource accessible publiquement à l'aide d'adresses e-mail issues de corpus de fuites précédentes.
En décembre 2023, des centaines de gigaoctets de données prétendument issues du fournisseur indien d'accès Internet et de télévision numérique Hathway sont apparues sur un site web de piratage populaire. L'incident a exposé de nombreuses informations personnelles, dont 4,7 millions d'adresses e-mail uniques ainsi que des noms, des adresses postales et IP, des numéros de téléphone…
Fin 2023, la bijouterie en ligne GLAMIRA a subi une fuite de données qu'elle a attribuée à « une personne non autorisée [ayant] brièvement accédé à l'un de nos serveurs ». Les données ont ensuite été publiées sur un forum de piratage populaire et comprenaient 875 000 adresses e-mail, des noms, des numéros de téléphone et des achats.
En décembre 2023, le site de vidéos fétichistes de gonflables et de ballons InflateVids a subi une fuite de données. L'incident a exposé plus de 13 000 adresses e-mail uniques ainsi que des noms d'utilisateur, adresses IP, genres et empreintes de mots de passe SHA-1.
Fin 2023, le magasin d'électroménager néerlandais Welhof a subi une fuite de données. L'incident a exposé plus de 100 000 adresses e-mail uniques ainsi que des noms, des adresses physiques et le montant des achats effectués.
En juin 2024, une fuite de données provenant de la marque de mode française Zadig & Voltaire a été publiée publiquement sur un forum de piratage populaire. Les données comprenaient des noms, des adresses e-mail et postales, des numéros de téléphone et des genres.
En novembre 2023, l'application de gestion de cuisine KitchenPal a subi une fuite de données qui a exposé 146 k lignes de données. Contacté au sujet de l'incident, KitchenPal a indiqué que le corpus de données provenait d'un environnement de pré-production, tout en reconnaissant qu'il contenait un petit nombre d'utilisateurs à des fins de débogage…
En avril 2024, 15 millions d'enregistrements du fleuriste en ligne Blooms Today ont été mis en vente sur un forum de piratage populaire. Les données les plus récentes du corpus de la fuite dataient de novembre 2023 et figuraient aux côtés de 3,2 millions d'adresses e-mail uniques, de noms, de numéros de téléphone, d'adresses physiques et de données partielles de cartes bancaires…
En novembre 2023, plus de 800 000 dossiers d'utilisateurs ont été collectés sur le site Chess et publiés sur un forum de piratage populaire. Les données comprenaient l'adresse e-mail, le nom, le nom d'utilisateur et la localisation géographique de l'utilisateur. 446 000 dossiers collectés supplémentaires ont été fournis ultérieurement et ajoutés à HIBP.
En novembre 2023, une publication sur un forum de piratage populaire affirmait que des millions d'enregistrements LinkedIn avaient été extraits et divulgués. À l'examen, les données se sont révélées être une combinaison de données légitimes extraites de LinkedIn et d'adresses e-mail construites à partir des noms des personnes concernées.
En octobre 2023, le cabinet de conseil japonais Toumei a subi une fuite de données. La fuite a exposé plus de 100 millions de lignes et 10 Go de données, dont 77 000 adresses e-mail uniques accompagnées de noms, de numéros de téléphone et d'adresses postales.
Un robot Telegram fournissait à la demande les noms, photos, noms des parents, numéros de téléphone et adresses d'électeurs bangladais à partir d'un numéro NID à 10 chiffres, divulgués via l'une des 174 organisations ayant accès au serveur d'identité nationale de la Commission électorale.
En février 2024, 200 000 enregistrements Facebook Marketplace prétendument obtenus auprès d'un sous-traitant de Meta en octobre 2023 ont été publiés sur un forum de piratage populaire. Les données contenaient 77 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des identifiants de profil Facebook et des localisations géographiques.
En septembre 2023, le fournisseur de cloud gaming Shadow a subi une fuite de données ayant exposé plus d'un demi-million d'enregistrements de clients. Les données incluaient des adresses e-mail et physiques, des noms et des dates de naissance.
En septembre 2023, plus de 100 Go de journaux de voleurs d'informations et de listes de bourrage d'identifiants intitulés « Naz.API » ont été publiés sur un forum de piratage populaire. L'incident contenait une combinaison de paires adresse e-mail et mot de passe en clair ainsi que le service sur lequel elles avaient été saisies, et des paires d'identifiants autonomes…
En septembre 2023, plus d'un million de lignes de données de l'entreprise de robots éducatifs Sphero ont été publiées sur un forum de piratage populaire. Les données contenaient 832 000 adresses e-mail uniques accompagnées de noms, noms d'utilisateur, dates de naissance et localisations géographiques.
En août 2023, l'entreprise portugaise de décoration intérieure Market Moveis a subi une fuite de données qui a touché 28 000 enregistrements. Les enregistrements exposés se limitaient à des noms et des adresses e-mail.
En août 2023, le ministère de la Justice des États-Unis a annoncé une opération multinationale impliquant des actions aux États-Unis, en France, en Allemagne, aux Pays-Bas et au Royaume-Uni pour perturber le botnet et le logiciel malveillant connu sous le nom de Qakbot et démanteler son infrastructure.
En août 2023, PlayCyberGames, qui « permet aux utilisateurs de jouer à n'importe quel jeu doté d'une fonction LAN ou utilisant une adresse IP », a subi une fuite de données qui a exposé 3,7 millions d'enregistrements clients. Les données comprenaient des adresses e-mail, des noms d'utilisateur et des hachages de mots de passe MD5 avec une valeur constante dans le champ « salt ».
En août 2023, le site MagicDuel Adventure a subi une fuite de données qui a exposé 138 000 enregistrements d'utilisateurs. Les données comprenaient des noms de joueurs, des adresses e-mail et IP ainsi que des empreintes de mots de passe bcrypt.
En juillet 2023, Perception Point a publié un rapport sur une opération d'hameçonnage baptisée « Manipulated Caiman ». Ciblant principalement les citoyens du Mexique, la campagne tentait d'accéder aux comptes bancaires des victimes via des attaques de harponnage utilisant des pièces jointes malveillantes.
En juin 2023, des données appartenant à la « place de marché n° 1 des entreprises au Royaume-Uni » Rightbiz sont apparues sur un forum de piratage populaire. Comprenant plus de 18 millions de lignes de données, la fuite incluait 65 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses physiques.
Un site web mal configuré du registre des naissances et des décès du gouvernement bangladais a exposé les noms, adresses, numéros de téléphone et numéros d'identité nationale de plus de 50 millions de citoyens, découvert par hasard via une recherche Google.
Victim
Office of the Registrar General, Birth & Death Registration (Bangladesh)
En juin 2023, la Fédération Française de Rugby a subi une fuite de données et une tentative de rançon. La fuite a exposé 282 000 adresses e-mail uniques ainsi que des noms, des dates de naissance et des numéros de téléphone.
En septembre 2023, le détaillant de livres australien Dymocks a annoncé une fuite de données. Les données dataient de juin 2023 et contenaient 1,2 million d'enregistrements avec 836 000 adresses e-mail uniques. La fuite a également exposé des noms, des dates de naissance, des genres, des numéros de téléphone et des adresses postales.
En juin 2023, un clone du célèbre forum de piratage « BreachForums » précédemment fermé a subi une fuite de données qui a exposé plus de 4 000 enregistrements. La fuite était due à une sauvegarde exposée de la base de données MyBB, qui comprenait des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe Argon2.
Le portail central e-gouvernement de la Turquie a été pillé pour les dossiers d'environ 85 millions de citoyens et résidents, avec numéros d'identité, adresses, téléphones, liens familiaux, données de santé et financières vendus en ligne et mis à jour quasiment en temps réel.
En mai 2023, le détaillant sud-africain JD Group a annoncé une fuite de données touchant un certain nombre de ses actifs en ligne, notamment Bradlows, Everyshop, HiFi Corp, Incredible (Connection), Rochester, Russells et Sleepmasters.
En mai 2023, une liste de credential stuffing de 6,3 millions de paires d'adresses e-mail et de mots de passe polonais est apparue sur un forum local. Probablement obtenu par un logiciel malveillant exécuté sur les machines des victimes, chaque enregistrement comprenait une adresse e-mail et un mot de passe en texte clair ainsi que le site web sur lequel les identifiants étaient utilisés.
En janvier 2025, une fuite de données provenant du site colombien de Le Coq Sportif a été publiée sur un forum de piratage populaire. Les données comprenaient près de 80 k adresses e-mail uniques, la fuite remontant à mai 2023.
En avril 2023, des données du site d'emploi israélien Jobzone ont été publiées en ligne. Les données comprenaient 30 000 enregistrements contenant des adresses e-mail, des noms, des numéros de sécurité sociale, des genres, des dates de naissance, des noms de pères et des adresses physiques.
En avril 2023, le service de location indien RentoMojo a subi une fuite de données. La fuite a exposé plus de 2 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, de passeport et Aadhaar, des genres, des dates de naissance, des achats et des hachages de mots de passe bcrypt.
En avril 2023, la place de marché d'identités volées Genesis Market a été fermée par le FBI et une coalition d'agences de maintien de l'ordre du monde entier dans le cadre de l'« Opération Cookie Monster ».
Un pirate utilisant le pseudonyme « 9Near » a menacé de divulguer les données personnelles de 55 millions de Thaïlandais, prétendument issues de l'application de santé gouvernementale Mor Prom ; un sergent de l'armée a ensuite été identifié et s'est rendu.
Victim
Thai citizens (data linked to Mor Prom health platform)
À la mi-2023, 300 Go de données contenant plus de 100 millions d'enregistrements de la plateforme chinoise de chat vidéo « Tigo », datant de mars de la même année, ont été découverts. Les données contenaient plus de 700 000 noms uniques, noms d'utilisateur, adresses e-mail et IP, genres, photos de profil et messages privés.
Ferrari a révélé qu'un acteur malveillant avait pénétré ses systèmes et exigé une rançon concernant des données de contact clients volées — noms, adresses, e-mails et numéros de téléphone — que le constructeur de luxe a refusé de payer.
Le prêteur australien de crédit à la consommation Latitude Financial a révélé que des attaquants avaient exfiltré 14 millions d'enregistrements — dont 7,9 millions de numéros de permis de conduire et 53 000 numéros de passeport — grâce à des identifiants dérobés à un prestataire de services.
En mars 2024, des millions de lignes de données provenant de l'entreprise de médias néo-zélandaise MediaWorks ont été publiées sur un forum de piratage populaire. L'incident a exposé 163 000 adresses e-mail uniques fournies par des visiteurs ayant participé à des concours en ligne et comprenait des noms, des adresses postales, des numéros de téléphone, des dates…
En mars 2023, DC Health Link a découvert une fuite de données qui a ensuite été publiée publiquement sur un forum de fuites de données populaire. Les données touchées comprenaient 48 000 adresses e-mail uniques ainsi que des noms, des genres, des dates de naissance, des adresses postales, des numéros de téléphone et des numéros de sécurité sociale. et « IntelBroker ».
Début 2023, le site web de "masturbation mutuelle" CityJerks a subi une fuite de données qui a exposé 177 000 adresses e-mail uniques. La fuite comprenait également des données du site TruckerSucker, "application de rencontre pour de VRAIS CAMIONNEURS et de VRAIS HOMMES", l'ensemble combiné des données exposant aussi des noms d'utilisateur, des adresses IP, des dates…
En février 2023, le site de recherche d'admissions en école doctorale TheGradCafe a subi une fuite de données qui a divulgué les dossiers personnels de 310 000 utilisateurs. Les données comprenaient des adresses e-mail, des noms et noms d'utilisateur, des genres, des localisations géographiques et des mots de passe stockés sous forme de condensats bcrypt.
En août 2023, le CERT Pologne a observé une campagne de phishing qui a collecté les identifiants de 68 000 victimes. La campagne collectait des adresses e-mail et des mots de passe via un e-mail de phishing se faisant passer pour une confirmation de bon de commande.
En mars 2023, l'unité indienne de crédit non bancaire HDB Financial Services a subi une fuite de données qui a divulgué plus de 70 millions d'enregistrements clients. Contenant 1,6 million d'adresses e-mail uniques, la fuite a également divulgué des noms, des dates de naissance, des numéros de téléphone, des genres, des codes postaux et des informations de prêt appartenant aux…
En février 2023, The Kodi Foundation a subi une fuite de données qui a exposé plus de 400 000 enregistrements d'utilisateurs. Attribuée à un compte appartenant à « un membre de confiance mais actuellement inactif de l'équipe d'administration du forum », la fuite impliquait que le compte administrateur avait créé une sauvegarde de base de données qui a ensuite été…
En février 2023, le fournisseur de télécommunications russe Convex a été piraté par "Anonymous" qui a ensuite publié publiquement 128 Go de données, affirmant qu'elles révélaient une surveillance gouvernementale illégale. Les données divulguées contenaient 150 000 adresses e-mail, IP et postales uniques, des noms et des numéros de téléphone.
En février 2023, le service européen de transferts aéroportuaires Terravision a subi une fuite de données. La fuite a exposé plus de 2 millions d'enregistrements de données clients comprenant des noms, des numéros de téléphone, des adresses e-mail, des condensats salés de mots de passe et, dans certains cas, la date de naissance et le pays d'origine.
En février 2023, des données prétendument issues du service de protection contre la fraude Eye4Fraud ont été mises en vente sur un forum de piratage populaire. S'étendant sur des dizaines de millions de lignes avec 16 millions d'adresses e-mail uniques, les données étaient réparties sur 147 tables totalisant 65 Go et comprenaient à la fois des utilisateurs directs du…
En août 2023, 2,6 millions d'enregistrements de données extraits de Duolingo ont été largement diffusés sur un forum de piratage populaire. Obtenues en énumérant une API vulnérable, les données étaient déjà apparues à la vente en janvier 2023 et contenaient des adresses e-mail, des noms, les langues en cours d'apprentissage, des XP (points d'expérience),…
En janvier 2023, le Pitt Meadows School District 42 en Colombie-Britannique a subi une fuite de données. L'incident a exposé les noms et adresses e-mail d'environ 19 000 élèves et membres du personnel, qui ont par la suite été redistribués sur un forum de piratage populaire.
En janvier 2023, le service de réservation de patinoires britannique Planet Ice a subi une fuite de données. L'incident a exposé les données personnelles de 240 000 personnes, dont des adresses e-mail et postales, des numéros de téléphone, des sexes, des dates de naissance et des mots de passe stockés sous forme de hachages MD5.
En janvier 2023, la filiale japonaise de l'assureur Zurich a subi une fuite de données qui a exposé 2,6 millions d'enregistrements clients comprenant plus de 756 000 adresses e-mail uniques. Les données ont par la suite été publiées sur un forum de piratage populaire et comprenaient également des noms, des genres, des dates de naissance et des détails sur les véhicules assurés.
En janvier 2023, 1,4 million d'enregistrements de la place de marché de véhicules en ligne Autotrader sont apparus sur un forum de piratage populaire. Autotrader a déclaré que les « données en question concernent des annonces anciennes qui étaient généralement accessibles publiquement sur notre site à l'époque et ouvertes à des méthodes de collecte automatisées ».
En février 2023, le service de camps technologiques pour enfants iD Tech a vu près d'1 million d'enregistrements publiés sur un forum de piratage populaire. Les données comprenaient 415 000 adresses e-mail uniques, noms, dates de naissance et mots de passe en clair qui semblent avoir fait l'objet d'une fuite le mois précédent.
En décembre 2022, l'agence de voyage en ligne RailYatri, approuvée par le gouvernement indien, a subi une fuite de données. L'incident a touché plus de 31 millions de clients et exposé 23 millions d'adresses e-mail uniques. Étaient également concernés les noms, les sexes, les numéros de téléphone et les billets achetés, y compris les informations de voyage et les tarifs.
Fin 2022, un pirate a publié un ensemble de données sur un forum de piratage public en affirmant qu'il provenait de la plateforme d'échange de cryptomonnaies Gemini, une affirmation qui s'est ensuite révélée fausse, les données ayant été reliées à un incident chez un prestataire tiers.
En décembre 2022, plus de 400 Go de données appartenant à la plateforme de gestion de la clientèle des restaurants SevenRooms ont été mis en vente sur un forum de piratage populaire. Les données incluaient 1,2 million d'adresses e-mail uniques ainsi que des noms et des achats.
En décembre 2022, des attaquants ont manipulé par ingénierie sociale un employé des RH d'Activision pour qu'il divulgue des informations, ce qui a conduit à la fuite de près de 20 000 dossiers d'employés. Les données contenaient 16 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des intitulés de poste et le lieu de travail de l'employé.
En décembre 2022, le site d'enchères d'armes à feu en ligne GunAuction.com a subi une fuite de données qui a ensuite été découverte laissée sans protection sur le serveur du pirate.
En décembre 2022, le service de fiscalité Crypto & NFT CoinTracker a signalé une fuite de données qui a touché plus de 1,5 million de ses clients. L'entreprise a ensuite attribué la fuite à une compromission de SendGrid dans le cadre d'une attaque visant plusieurs clients du fournisseur de messagerie.
En novembre 2022, le célèbre forum de piratage « BreachForums » a lui-même été compromis. L'année suivante, l'opérateur du site web a été arrêté et le site saisi par les forces de l'ordre.
En décembre 2022, le site Movie Forums a subi une fuite de données qui a touché 40 000 utilisateurs. La fuite a exposé des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des mots de passe stockés sous forme d'empreintes MD5 salées facilement craquables. Les données ont ensuite été publiées sur un forum de piratage populaire du web visible.
En novembre 2022, le service de commerce électronique marocain Avito a subi une fuite de données qui a exposé les informations personnelles de 2,7 millions de clients. Les données comprenaient le nom, l'e-mail, le téléphone, l'adresse IP et la localisation géographique.
En juin 2023, le département de la santé du comté de Tacoma-Pierce a annoncé une fuite de données de son système de formation en ligne Washington State Food Worker Card. La fuite avait été publiée sur un forum de piratage populaire l'année précédente et remontait à une sauvegarde de base de données de 2018.
En novembre 2022, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 920 000 dossiers d'utilisateurs uniques. Cette fuite s'ajoutait à une autre survenue 7 ans plus tôt, en 2015.
En novembre 2022, la compagnie pétrolière et gazière indonésienne Pertamina a subi une fuite de données de son service MyPertamina. L'incident a exposé 44 millions d'enregistrements avec 6 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance, des genres, des adresses postales et des achats.
En octobre 2022, le fournisseur de menus de mods pour GTA RealDudesInc a subi une fuite de données ayant exposé plus de 100 000 adresses e-mail (dont beaucoup sont des adresses temporaires de comptes invités). La fuite incluait également des noms d'utilisateur et des hachages de mots de passe bcrypt.
En octobre 2022, le forum Doomworld a subi une fuite de données qui a exposé 34 000 enregistrements de membres. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe bcrypt.
En octobre 2022, Locally, « la principale solution d'achat en ligne vers hors ligne du secteur », a subi une fuite de données. Bien que Locally ait reconnu la fuite en privé, on ignore si les clients concernés ont ensuite été informés de l'incident, qui a exposé plus de 362 k noms, numéros de téléphone, adresses e-mail et…
En septembre 2022, la plateforme de partage de photos en ligne ClickASnap a subi une fuite de données. L'incident a exposé près de 3,3 millions de dossiers personnels, dont des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages SHA-512.
En septembre 2022, la place de marché d'échange en jeu Traderie a subi une fuite de données qui a exposé près de 400 000 enregistrements (cet incident a précédé une autre fuite survenue l'année suivante). L'incident a exposé des adresses e-mail et IP, des noms d'utilisateur et des liens vers des profils de réseaux sociaux.
Le groupe hacktiviste Guacamaya a compromis l'État-major interarmées des forces armées chiliennes, exfiltrant plus de 400 000 courriels de 162 comptes militaires couvrant une décennie et exposant des renseignements et documents opérationnels sensibles de la défense nationale.
En septembre 2022, le site de commerce en ligne russe Online Trade (Онлайн Трейд) a subi une fuite de données qui a exposé 3,8 millions d'enregistrements de clients. Les données comprenaient des adresses e-mail et IP, des noms, des numéros de téléphone, des dates de naissance et des hachages de mots de passe MD5.
En septembre 2022, le site de vengeance Get Revenge On Your Ex a subi une fuite de données qui a exposé près de 80 000 adresses e-mail uniques. Les données couvraient à la fois des clients et des victimes, incluant des noms, des adresses IP et postales, des numéros de téléphone, des historiques d'achats et des mots de passe en clair.
En septembre 2022, le forum Android taïwanais APK.TW a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé 2,5 millions d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur et des hachages de mots de passe MD5 salés.
En septembre 2022, plus de 500 000 enregistrements de clients prétendument issus du service de commerce électronique indien Flipkart sont apparus sur un forum de piratage populaire.
En août 2022, le service de streaming européen Wakanim a subi une fuite de données qui a ensuite été annoncée et vendue sur un forum de piratage populaire. La fuite a exposé 6,7 millions d'enregistrements clients comprenant des adresses e-mail, IP et physiques, des noms et des noms d'utilisateur.
En août 2022, le site web de streaming Brand New Tube a subi une fuite de données qui a exposé les informations personnelles de près de 350 000 abonnés. Les données touchées comprenaient des adresses e-mail et IP, des noms d'utilisateur, des genres, des mots de passe stockés sous forme de hachages SHA-1 non salés et des messages privés.
En août 2022, le site web Latest Pilot Jobs a subi une fuite de données qui est ensuite apparue sur un forum de piratage populaire avant d'être redistribuée dans le cadre d'un corpus de données plus vaste. Les données comprenaient 119 k adresses e-mail uniques ainsi que des noms, des noms d'utilisateur et des hachages de mots de passe MD5 non salés.
En août 2022, le site web de MMORPG GGCorp a subi une fuite de données qui a exposé près de 2,4 millions d'adresses e-mail uniques. Les données comprenaient également des adresses IP, des identifiants et des empreintes MD5 de mots de passe.
Vers la fin 2022, 3,4 millions d'enregistrements clients d'iMenu360 (« La plateforme de commande en ligne n°1 la plus fiable au monde ») ont été exposés. Les données semblaient provenir de systèmes de commande utilisant la plateforme et contenaient des adresses e-mail et physiques, des latitudes et longitudes, des noms et des numéros de téléphone.
Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.
En août 2022, le service de livraison d'excréments en ligne Shitexpress a subi une fuite de données ayant exposé 24 000 adresses e-mail uniques. Les adresses provenaient de factures, de cartes-cadeaux, de promotions et d'enregistrements PayPal.
En août 2022, le service de commande et de livraison de nourriture DoorDash a divulgué une fuite de données qui a touché une partie de ses clients. DoorDash a attribué la fuite à un « fournisseur tiers » non nommé qui, selon elle, a été victime d'une campagne de phishing.
Le régulateur chinois du cyberespace a infligé au géant du VTC Didi Global une amende de 8,026 milliards de RMB (environ 1,2 milliard de dollars) après qu'un examen d'un an a établi 16 violations de la loi sur la cybersécurité, de la loi sur la sécurité des données et de la loi sur la protection des informations personnelles, dont la collecte illégale de données de reconnaissance faciale, de localisation et de presse-papiers auprès de centaines de millions de passagers et de chauffeurs.
En juillet 2022, le site de téléchargement direct Exvagos a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé 2,1 millions d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur, des dates de naissance et des empreintes de mots de passe MD5.
En juillet 2022, le site web pour adultes chinois Hjedd a été découvert en train de divulguer plus de 13 millions d'enregistrements clients, qui sont ensuite apparus sur un forum de piratage populaire. Les données exposées comprenaient des adresses e-mail et IP, des identifiants et des mots de passe stockés sous forme d'empreintes bcrypt.
Un pirate utilisant le pseudonyme « meli0das » a mis en vente sur un forum de piratage les dossiers de plus de 30 millions d'élèves et de personnels vietnamiens pour 3 500 dollars en Monero, prétendument issus d'une grande plateforme éducative.
En juillet 2022, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données, la cinquième depuis décembre 2018. La fuite contenait des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme de hachages argon2. Au total, 529 000 adresses e-mail uniques figuraient dans la fuite.
En février 2023, des données appartenant au service de livraison de produits alimentaires asiatiques et hispaniques Weee sont apparues sur un forum de piratage populaire. Remontant à la mi-2022, les données comprenaient 1,1 million d'adresses e-mail uniques issues de 11 millions de lignes de commandes contenant des noms, des numéros de téléphone et des instructions de livraison.
En mars 2023, la « plateforme cloud mondiale axée sur l'IA » Vultr a divulgué un incident de sécurité survenu chez un fournisseur tiers. Remontant à l'année précédente, l'incident a été attribué au fournisseur de services d'e-mail marketing ActiveCampaign et a entraîné l'exposition de 188 000 adresses e-mail uniques.
En juillet 2022, l'opérateur de télécommunications français La Poste Mobile a été la cible d'une attaque par le rançongiciel LockBit, qui a entraîné la publication des données de l'entreprise.
Une base de données exposée du Bureau de la sécurité publique de Shanghai a permis à un pirate connu sous le nom de « ChinaDan » de proposer 23 téraoctets de données sur environ 1 milliard de résidents chinois — noms, numéros de carte d'identité nationale, numéros de téléphone, adresses et dossiers d'affaires de police — pour 10 bitcoins, dans ce qui est largement considéré comme la plus grande fuite de données gouvernementale de l'histoire de la Chine.
Victim
Police nationale de Shanghai (Bureau de la sécurité publique de Shanghai)
En juillet 2022, le site Adopt Me Trading Values, dédié à l'évaluation de la valeur des échanges d'animaux de compagnie dans le jeu Roblox « Adopt Me! », a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus large.
En juin 2022, le site malveillant de « carding » (faisant référence à la fraude par carte de crédit) Altenen a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus large. Les données comprenaient 1,3 M d'adresses e-mail uniques, des noms d'utilisateur, des hachages de mots de passe bcrypt et des adresses de portefeuilles de cryptomonnaie.
En juin 2022, la chaîne de magasins de disques japonaise Disk Union a subi une fuite de données. L'incident a exposé 690 000 adresses e-mail uniques ainsi que des noms, des codes postaux, des numéros de téléphone et des mots de passe en clair.
Vers la mi-2022, « the ultimate hub of memes » MemeChat a subi une fuite de données qui a exposé 7,4 millions d'enregistrements. Attribuée à une instance Elasticsearch mal configurée, la fuite contenait 4,3 millions d'adresses e-mail uniques accompagnées de noms d'utilisateur.
En juin 2022, le site pour adultes TNAFlix a subi une fuite de données qui a ensuite été rediffusée dans le cadre d'un corpus de données plus vaste. Les données comprenaient 1,4 million d'enregistrements d'adresses e-mail et IP, de noms d'utilisateur et de mots de passe en clair.
En mai 2022, la plateforme d'influenceurs sur les réseaux sociaux aujourd'hui disparue WiredBucks a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un ensemble de données plus vaste.
En mai 2022, le site web de sondages QuestionPro a été la cible d'une tentative d'extorsion liée à une prétendue fuite de données. Plus de 100 Go de données contenant 22 millions d'adresses e-mail uniques (dont certaines semblent générées par la plateforme) auraient été extraits du service, ainsi que des adresses IP…
En mai 2022, le distributeur australien Amart Furniture a indiqué que sa base de données de réclamations de garantie hébergée sur Amazon Web Services avait été la cible d'une cyberattaque.
En mai 2022, le service de mangas basé à Hong Kong Mangatoon a subi une fuite de données qui a exposé 23 millions d'enregistrements d'abonnés. La fuite a exposé des noms, des adresses e-mail, des sexes, des identifiants de comptes de réseaux sociaux, des jetons d'authentification issus de connexions sociales et des mots de passe stockés sous forme d'empreintes MD5 salées.
En mai 2022, le site web chinois des passionnés de BlackBerry, BlackBerry Fans, a subi une fuite de données qui a exposé 174 000 dossiers de membres. Les données touchées comprenaient des noms d'utilisateur, des adresses e-mail et IP et des mots de passe stockés sous forme de hachages MD5 salés.
Une base de données de la chaîne russe d'analyses médicales Gemotest a été proposée sur un forum de piratage, les vendeurs revendiquant des données sur 31 millions de clients — noms, numéros de passeport et d'assurance, dates de naissance, adresses, numéros de téléphone et adresses e-mail. Have I Been Pwned a ensuite indexé environ 6,3 millions d'adresses e-mail uniques issues de la fuite.
En avril 2022, le site britannique d'achat et de vente de billets de football Fanpass a subi une fuite de données qui a exposé 112 000 enregistrements clients. Les données concernées comprennent des noms, des numéros de téléphone, des adresses physiques, des historiques d'achat et des empreintes de mots de passe salées.
Au milieu de l'année 2022, des données présentées comme provenant du fournisseur de paiement russe PaySystem.tech sont apparues dans les milieux du piratage, où elles ont été rendues disponibles au téléchargement public.
En octobre 2022, le service dédié à la recherche d'amis sur Discord connu sous le nom de E-Pal a divulgué une fuite de données. Les données compromises comprenaient plus de 100 000 adresses e-mail uniques et noms d'utilisateur couvrant environ 1 million de commandes. Les données ont ensuite été diffusées via un forum de piratage populaire.
Fin mars 2022, la passerelle de paiement sri-lankaise PayHere a subi une fuite de données qui a exposé plus de 65 Go d'enregistrements de paiement, comprenant plus de 1,5 million d'adresses e-mail uniques.
En mars 2022, la compagnie aérienne colombienne aujourd'hui disparue Viva Air a subi une fuite de données suivie d'une attaque par rançongiciel. Parmi un trésor d'autres données rançonnées, l'incident a exposé un journal de 2,6 millions de transactions avec 932 000 adresses e-mail uniques, des adresses physiques et IP, des noms, des numéros de téléphone et des données partielles…
Début 2022, un collectif connu sous le nom d'IT Army, dont l'objectif déclaré est de "désanonymiser complètement la plupart des utilisateurs russes en divulguant des centaines de gigaoctets de bases de données", a publié plus de 30 Go de données prétendument issues du service de messagerie russe CDEK.
Le groupe d'extorsion Lapsus$ a accédé à une partie du code source de Mercado Libre et aux données d'environ 300 000 utilisateurs, affirmant avoir atteint 24 000 dépôts internes du géant latino-américain du commerce électronique et de la fintech.
En mai 2023, la nouvelle d'une fuite de données du serveur Minecraft turc connu sous le nom de CraftRise a été révélée. Les données de plus de 2,5 millions d'utilisateurs ont ensuite été partagées sur un forum de piratage populaire et comprenaient des adresses e-mail, des noms d'utilisateur, des localisations géographiques et des mots de passe en clair.
En juillet 2024, une fuite de données attribuée à Explore Talent a été publiée publiquement sur un forum de piratage populaire. Contenant 5,7 millions de lignes avec 5,4 millions d'adresses e-mail uniques, l'incident a été décrit par diverses sources comme s'étant produit entre début 2022 et 2023 et contient également des noms, des numéros de téléphone et…
En février 2022, le fabricant de microprocesseurs NVIDIA a subi une fuite de données qui a exposé des identifiants d'employés et du code propriétaire. Les données touchées comprenaient plus de 70 000 adresses e-mail d'employés et des hachages de mots de passe NTLM, dont beaucoup ont ensuite été cassés et diffusés au sein de la communauté du piratage.
L'opérateur mobile croate A1 Hrvatska a révélé un accès non autorisé à une base de données clients exposant les noms, numéros d'identification personnels, adresses et numéros de téléphone d'environ 200 000 abonnés — soit près de 10 % de sa base de clients.
En février 2022, le service de collecte de fonds chrétien GiveSendGo a subi une fuite de données qui a exposé les données personnelles de 90 000 donateurs du « Convoi de la liberté » canadien, mouvement de protestation contre l'obligation vaccinale.
En janvier 2022, le site web de vidéos non censurées aujourd'hui disparu Leaked Reality a subi une fuite de données qui a exposé 115 k adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 ou phpass.
En janvier 2022, le site français d'actualités Apple MacGeneration a subi une fuite de données. L'incident a exposé plus de 100 000 noms d'utilisateur, adresses e-mail et mots de passe stockés sous forme d'empreintes SHA-512 salées. Après avoir découvert l'incident, MacGeneration a soumis lui-même les données à HIBP.
En janvier 2022, le service de téléversement de fichiers aujourd'hui disparu Sundry Files a subi une fuite de données qui a exposé 274 000 adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme d'empreintes SHA-256 salées.
En janvier 2022, le site de « doxing » Doxbin, conçu pour divulguer les informations personnelles d'individus ciblés (« doxes »), a subi une fuite de données. La fuite a ensuite été divulguée en ligne et comprenait plus de 370 000 adresses e-mail uniques réparties entre des comptes d'utilisateurs et des doxes.
En janvier 2022, une vulnérabilité dans la plateforme de Twitter a permis à un attaquant de constituer une base de données des adresses e-mail et des numéros de téléphone de millions d'utilisateurs du réseau social.
En décembre 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de plus de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.
En décembre 2021, le service de réservation en ligne FlexBooker a subi une fuite de données qui a exposé 3,7 millions de comptes. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone et, pour un petit nombre de comptes, des empreintes de mots de passe et des données partielles de cartes de crédit.
En décembre 2021, des journaux du malware RedLine Stealer ont été laissés exposés publiquement avant d'être récupérés par le chercheur en sécurité Bob Diachenko. Les données comprenaient 441 000 adresses e-mail uniques, des noms d'utilisateur et des mots de passe en clair.
En décembre 2021, le distributeur indien Aditya Birla Fashion and Retail Ltd a été piraté et a fait l'objet d'une demande de rançon. La demande de rançon aurait été rejetée et des données contenant 5,4 M d'adresses e-mail uniques ont ensuite été publiées le mois suivant sur un forum de piratage populaire.
En novembre 2021, le site immobilier indonésien Travelio a subi une fuite de données qui a exposé plus de 470 000 comptes clients. Les données comprenaient des adresses e-mail, des noms, des hachages de mots de passe, des numéros de téléphone et, pour certains comptes, des dates de naissance, des adresses postales et des jetons d'authentification Facebook.
En novembre 2021, l'hébergeur web ZAP-Hosting a subi une fuite de données qui a exposé plus de 60 Go de données contenant 746 000 adresses e-mail uniques. La fuite contenait également des journaux de discussion d'assistance, des adresses IP, des noms, des achats, des adresses physiques et des numéros de téléphone.
En novembre 2021, le site de webcams érotiques en direct et de chat pour adultes Stripchat a laissé plusieurs bases de données exposées et non sécurisées. En juin de l'année suivante, plus de 10 millions d'enregistrements Stripchat sont apparus sur un forum de piratage populaire. Les données exposées comprenaient des noms d'utilisateur, des adresses e-mail et des adresses IP.
En novembre 2021, la plateforme de trading en ligne Robinhood a subi une fuite de données après qu'un agent du service client a été victime d'ingénierie sociale. L'incident a exposé plus de 5 millions d'adresses e-mail de clients et 2 millions de noms de clients.
En novembre 2021, la plateforme d'échange de cryptomonnaies BTC-Alpha a subi une fuite de données consécutive à une attaque par rançongiciel, après quoi les données des clients ont été publiquement divulguées. Les données touchées comprenaient 362 000 adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages PBKDF2.
Le groupe Black Shadow, lié à l'Iran, a compromis l'hébergeur israélien Cyberserve, puis divulgué l'intégralité de la base de l'application de rencontres LGBTQ Atraf — y compris la localisation des utilisateurs et leur statut VIH — après le non-paiement d'une rançon d'un million de dollars.
En octobre 2021, l'hébergeur israélien CyberServe a été piraté et rançonné avant qu'une quantité substantielle de ses données clients ne soit divulguée publiquement par un groupe connu sous le nom de « Black Shadow ». Parmi les données figuraient le site de rencontres LGBTQ Atraf et l'institut médical Machon Mor.
En octobre 2021, le « leader mondial du divertissement généré par les utilisateurs » Jukin Media a subi une fuite de données. La fuite a exposé 13 Go de code, de configuration et de données comprenant 314 000 adresses e-mail uniques ainsi que des noms, numéros de téléphone, adresses IP et empreintes de mots de passe bcrypt.
En octobre 2021, le site web d'animés en langue arabe désormais disparu Animeify a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. Les données comprenaient 808 000 adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des genres et des mots de passe en texte clair.
Le groupe Desorden a dérobé environ 400 Go de données clients couvrant 2003-2021 à la chaîne hôtelière de luxe thaïlandaise Centara, exigeant une rançon de 900 000 dollars que l'entreprise a refusé de payer.
Un attaquant a utilisé un compte VPN gouvernemental compromis pour interroger la base d'identité nationale RENAPER de l'Argentine sur l'ensemble des 45 millions d'Argentins. Les photos et détails d'identité du président, de la star du football Lionel Messi et d'autres personnalités publiques ont été publiés sur Twitter comme preuve. Les données ont été mises en vente sur un forum du dark web.
Victim
Registro Nacional de las Personas (RENAPER), Argentine
Un pirate a accédé au registre national d'identité argentin RENAPER au moyen d'un identifiant VPN gouvernemental volé, obtenant les données de carte d'identité et les photographies de l'ensemble de la population du pays, soit environ 45 millions de citoyens.
Au cours d'octobre 2021, 3,1 millions d'adresses e-mail associées à des comptes sur le site de capitalisation boursière de cryptomonnaies CoinMarketCap ont été découvertes en train d'être échangées sur des forums de piratage.
En octobre 2021, le chercheur en sécurité Bob Diachenko a découvert une base de données exposée qu'il a attribuée à ActMobile, l'exploitant de Dash VPN et FreeVPN. Les données exposées comprenaient 1,6 million d'adresses e-mail uniques ainsi que des adresses IP et des hachages de mots de passe, qui ont tous ensuite été divulgués sur un…
Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.
En octobre 2021, le site web de recrutement singapourien Protemps a subi une fuite de données qui a exposé près de 50 000 adresses e-mail uniques. Les données concernées comprennent des noms, des adresses e-mail et postales, des numéros de téléphone, des numéros de passeport et des mots de passe stockés sous forme de hachages MD5 sans sel, parmi de nombreuses autres…
En octobre 2021, le site de fantasy premier league (football) Fantasy Football Hub a subi une fuite de données qui a exposé 66 000 adresses e-mail uniques. Les données comprenaient des noms, des noms d'utilisateur, des adresses IP, des transactions et des mots de passe stockés sous forme d'empreintes MD5 WordPress.
En octobre 2021, des données du magasin allemand d'articles de fitness Fitmart ont été obtenues puis redistribuées en ligne. Les données comprenaient 214 000 adresses e-mail uniques accompagnées de mots de passe en clair, prétendument « déhachés » à partir de la version stockée d'origine.
En septembre 2021, le bureau d'enregistrement de domaines et hébergeur web Epik a subi une importante fuite de données, prétendument en représailles à l'hébergement de sites web d'extrême droite. La fuite a exposé un énorme volume de données, non seulement des clients d'Epik, mais aussi des enregistrements WHOIS extraits appartenant à des particuliers et organisations qui…
En septembre 2021, le Republican Party of Texas a été piraté par un groupe se réclamant d'« Anonymous » en représailles à l'interdiction controversée de l'avortement dans l'État. Le défacement de septembre a été suivi d'une fuite de données et de documents qui incluaient du matériel provenant de l'hébergeur Epik.
En octobre 2024, près de 20 Go de données contenant 1,3 million d'adresses e-mail uniques provenant du magasin de fournitures pour motos Dennis Kirk ont circulé. Remontant à septembre 2021, les données contenaient également des achats effectués dans la boutique en ligne ainsi que des noms de clients, des numéros de téléphone et des codes postaux.
Fin 2021, des paires d'adresses e-mail et de mots de passe en clair du site de mixtapes de rap DatPiff sont apparues en vente sur un forum de piratage populaire. Les données remonteraient à une fuite antérieure et contenaient au total près de 7,5 millions de paires d'adresses e-mail et de mots de passe craqués.
Un jeu de données datant d'août 2021 — noms, adresses, numéros de téléphone, et numéros de sécurité sociale et dates de naissance chiffrés — a refait surface en mars 2024 et a été diffusé gratuitement, AT&T confirmant finalement que près de 73 millions de clients actuels et anciens étaient concernés.
En août 2021, la société de développement web Imavex a subi une fuite de données qui a exposé 878 000 adresses e-mail uniques. Les données comprenaient des enregistrements utilisateurs contenant noms, noms d'utilisateur et éléments de mot de passe, certains enregistrements contenant également des genres et des données partielles de carte bancaire, dont les derniers…
Vers août 2021, des centaines de gigaoctets de données d'entreprises rassemblées à partir de sources publiques ont été obtenues puis publiées sur un forum de piratage populaire.
En août 2021, le site web de ressources pédagogiques Have Fun Teaching a subi une fuite de données qui a divulgué 80 000 transactions WooCommerce, ensuite publiées sur un forum de piratage populaire.
John Binns, un Américain de 21 ans vivant en Turquie, a affirmé avoir piraté T-Mobile via un routeur GGSN exposé et exfiltré les données personnelles de 76,6 millions de clients actuels, anciens et potentiels.
En août 2021, une allégation a été faite selon laquelle l'entreprise brésilienne de restauration rapide « Habib's » aurait subi une fuite de données, qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste.
En août 2021, le site de sous-titrage Open Subtitles a subi une fuite de données suivie d'une demande de rançon. La fuite a exposé les données personnelles de près de 7 millions d'abonnés, comprenant des adresses e-mail et IP, des noms d'utilisateur, le pays de l'utilisateur et des mots de passe stockés sous forme de hachages MD5 non salés.
En juillet 2021, le site de critiques d'applications et de jeux Android AndroidLista a subi une fuite de données. L'incident a exposé 6,6 millions d'enregistrements d'utilisateurs contenant des adresses e-mail, des noms, des noms d'utilisateur et des mots de passe stockés sous forme de hachages SHA-1 salés, qui ont tous été ensuite publiés sur un forum de piratage populaire.
Un acteur malveillant se faisant appeler ZeroX a exfiltré 1 To de données de Saudi Aramco via un sous-traitant tiers et a exigé une rançon de 50 millions de dollars, publiant des échantillons sur un forum de pirates derrière un compte à rebours de 662 heures.
En juillet 2021, le site web britannique Guntrader a subi une fuite de données qui a exposé 112 000 adresses e-mail uniques. De nombreuses informations personnelles ont également été exposées, notamment des noms, des numéros de téléphone, des données de géolocalisation, des adresses IP et divers attributs d'adresses postales (villes pour tous les utilisateurs,…
En juillet 2021, le site web de restaurants indonésien Qraved a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé près de 1 million d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme de hachages MD5.
En juillet 2021, la boutique de montres en ligne indonésienne Jam Tangan (alias Machtwatch) a subi une fuite de données qui a exposé plus de 400 000 enregistrements clients, lesquels ont ensuite été publiés sur un forum de piratage populaire.
En janvier 2021, le forum d'escorts pour adultes ECCIE a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient 536 000 enregistrements d'utilisateurs avec des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des empreintes de mots de passe MD5 salées.
En juin 2021, la maison d'édition française de littérature courte Short Édition a subi une fuite de données ayant exposé 505 000 enregistrements. Les données touchées incluaient des adresses e-mail et physiques, des noms, des noms d'utilisateur, des numéros de téléphone, des dates de naissance, des genres et des mots de passe stockés soit sous forme de SHA-1 salés, soit sous forme de SHA-512 salés…
En juin 2021, le site web de jeux (aujourd'hui disparu) HeatGames a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé près de 650 000 adresses e-mail uniques ainsi que des adresses IP, le pays et des empreintes MD5 salées de mots de passe.
Au milieu de l'année 2021, le service de « messagerie vintage réinventée » Phoenix a subi une fuite de données qui a exposé 75 000 adresses e-mail uniques. La fuite a également exposé des adresses IP, des noms d'utilisateur et des mots de passe.
En août 2022, une attaque contre le service de streaming russe « START » a été révélée. L'incident a entraîné l'exposition de 44 millions d'enregistrements contenant 7,4 millions d'adresses e-mail uniques. Les données concernées comprenaient également le pays de l'abonné et l'empreinte de son mot de passe.
En août 2021, 38 millions d'enregistrements de l'entreprise indienne de commerce électronique IndiaMART ont été trouvés en vente sur un forum de piratage populaire. Datant de plusieurs mois auparavant, les données comprenaient plus de 20 millions d'adresses e-mail uniques ainsi que des noms, numéros de téléphone et adresses physiques.
En mai 2021, le site de triche pour Grand Theft Auto Online Paragon Cheats a subi une fuite de données qui a entraîné la fermeture du service. La fuite a exposé 188 000 enregistrements de clients comprenant des noms d'utilisateur, des adresses e-mail et IP.
En mai 2022, le système de gestion des clients du NDIS (National Disability Insurance Scheme) du gouvernement australien a subi une fuite de données qui a ensuite été publiée sur un forum de piratage en ligne.
Les données personnelles d'environ 279 millions d'Indonésiens — plus que la population vivante du pays — ont été extraites de l'agence nationale d'assurance maladie BPJS Kesehatan et mises en vente sur le forum de piratage RaidForums.
En avril 2021, le site de triche pour Roblox SirHurt a subi une fuite de données ayant exposé plus de 90 000 enregistrements de clients. Les données exposées incluaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5.
En avril 2021, le « plus grand site de recherche d'amis par e-mail du Japon » Atmeltomo a subi une fuite de données qui a ensuite été vendue sur un forum de piratage populaire. La fuite a exposé 1,3 million d'enregistrements avec 580 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP et des hachages de mots de passe MD5 non salés.
En avril 2021, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données, la quatrième depuis décembre 2018. La fuite a ensuite été vendue sur un forum de piratage rival et contenait des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme de hachages MD5 salés ou argon2.
Au cours du premier semestre 2021, LinkedIn a été ciblé par des attaquants qui ont extrait des données de centaines de millions de profils publics avant de les vendre en ligne.
En avril 2021, le détaillant espagnol Phone House aurait subi une attaque par rançongiciel qui a également exposé d'importants volumes de données de clients. Attribuée au rançongiciel Babuk, une collection de données présentée comme un sous-ensemble d'un corpus plus vaste a été publiée sur un site du dark web et contenait 5,2 millions d'e-mail…
En avril 2021, la société de courtage indienne Upstox a subi une fuite de données. L'incident a exposé de nombreuses informations personnelles concernant plus de 100 000 clients, dont des noms, des genres, des dates de naissance, des adresses postales, des informations bancaires et des mots de passe stockés sous forme de hachages bcrypt.
En avril 2021, SlideTeam, « la plus grande collection au monde de diapositives de présentation pré-conçues », a vu 1,4 million d'enregistrements compromis, qui ont ensuite été publiés sur un forum de piratage populaire l'année suivante.
Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.
Un trésor de 8,2 To lié à la fintech indienne MobiKwik — couvrant prétendument jusqu'à 99 millions d'utilisateurs avec documents KYC, données Aadhaar et de cartes — a été mis en vente sur un forum du dark web, dans une violation que l'entreprise a répétée niée.
En mars 2021, le service russe de streaming en ligne KinoKong a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé plus de 800 k adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des adresses IP et des hachages de mots de passe MD5.
En avril 2021, 13 To de données compromises de Domino's India sont apparues en vente sur un forum de piratage, après quoi l'entreprise a reconnu une fuite de données majeure qu'elle faisait remonter à mars. Les données compromises comprenaient 22,5 millions d'adresses e-mail uniques, des noms, des numéros de téléphone, des historiques de commandes et des adresses postales.
En mars 2021, le site de fans de mangas MangaDex a subi une fuite de données qui a entraîné l'exposition de près de 3 millions d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes bcrypt. Les données ont ensuite circulé au sein de groupes de piratage.
En mars 2021, le service d'application de stationnement mobile ParkMobile a subi une fuite de données qui a exposé les données personnelles de 21 millions de clients. Les données touchées comprenaient des adresses e-mail, des noms, des numéros de téléphone, des plaques d'immatriculation de véhicules et des mots de passe stockés sous forme de hachages bcrypt.
La compagnie aérienne espagnole Air Europa a exposé les coordonnées et les données complètes de cartes de paiement — y compris les codes CVV — d'environ 489 000 clients sur 1,5 million d'enregistrements, et a été condamnée à 600 000 euros d'amende par l'AEPD pour sécurité insuffisante et notification tardive de 41 jours.
En mars 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de près de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.
En mars 2021, Luxottica, le plus grand fabricant de lunettes au monde, a subi une fuite de données via l'un de ses partenaires, qui a exposé les informations personnelles de plus de 70 millions de personnes.
En mars 2021, 4 millions d'enregistrements provenant d'IDC Games ont été partagés sur un forum de piratage public. Les données comprenaient des noms d'utilisateur, adresses e-mail et mots de passe stockés sous forme d'empreintes MD5 salées.
En mars 2021, l'entreprise brésilienne d'EdTech Descomplica a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient près de 5 millions d'adresses e-mail, des noms, les 6 premiers et 4 derniers chiffres ainsi que la date d'expiration de cartes de crédit, des historiques d'achat et des mots de passe…
En mars 2021, le réseau social autoproclamé « plus gentil et plus intelligent » Liker a subi une fuite de données, prétendument en représailles à la fuite de données de Gab et à l'extraction de données de Parler.
En mars 2021, le compte Stripe du service aujourd'hui disparu WeLeakInfo a été détourné par « pompompurin » après l'acquisition d'un nom de domaine expiré associé à une adresse e-mail utilisée pour gérer le compte.
En février 2021, le service de réseau social alt-tech Gab a subi une fuite de données. L'incident a exposé près de 70 Go de données, dont 4 millions de comptes utilisateurs, un petit nombre de journaux de discussions privées ainsi qu'une liste de groupes publics et de publications publiques faites sur le service.
En février 2021, une série de services VPN « gratuits » ont été compromis, dont SuperVPN et GeckoVPN, exposant plus de 20 millions d'enregistrements. Les données apparaissaient ensemble dans un seul fichier, un petit nombre d'enregistrements provenant également de FlashVPN, ce qui suggère que les trois marques pourraient partager la même plateforme.
En février 2021, la plateforme de streaming indienne Gemplex a subi une fuite de données qui a exposé 4,6 millions de comptes utilisateurs. Les données touchées comprenaient des informations sur les appareils, des noms, des numéros de téléphone, des adresses e-mail et des empreintes bcrypt de mots de passe.
En février 2021, une série de failles de sécurité particulièrement graves ont été identifiées dans le système NurseryCam conçu pour permettre aux parents de surveiller à distance leurs enfants pendant qu'ils sont à la crèche. Ces failles ont entraîné l'exposition de plus de 10 000 enregistrements de parents avant la fermeture du service.
En février 2021, le service lituanien d'autopartage CityBee a annoncé avoir subi une fuite de données qui a exposé les informations personnelles de 110 000 clients. La fuite a exposé des noms, des adresses e-mail, des pièces d'identité officielles et des mots de passe stockés sous forme de hachages SHA-1 non salés.
En janvier 2023, il a été signalé que la boutique en ligne norvégienne KomplettFritid avait subi une fuite de données remontant à février 2021. L'incident a exposé 140 k fiches clients comprenant des adresses postales, e-mail et IP, des noms, des numéros de téléphone et des mots de passe.
En janvier 2021, la plateforme de réseaux sociaux iranienne désormais disparue Raychat a subi une fuite de données qui a exposé 939 000 adresses e-mail uniques. Les données comprenaient des noms, des adresses IP, des chaînes user-agent de navigateur et des mots de passe stockés sous forme de hachages bcrypt. Les données ont été fournies à HIBP par dehashed.com.
À la mi-2021, Risk Based Security a signalé qu'une base de données provenant de Ducks Unlimited était échangée en ligne. Les données dataient de janvier 2021 et contenaient 1,3 million d'adresses e-mail uniques, réparties entre une liste de membres et une liste d'utilisateurs du site web.
En janvier 2021, le site web indien d'échange de livres Bookchor a subi une fuite de données qui a exposé un demi-million de dossiers clients. Les données exposées comprenaient des adresses e-mail et IP, des noms, des genres, des dates de naissance, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5 non salés.
En janvier 2021, le FBI, en partenariat avec le NHTCU néerlandais, le BKA allemand et d'autres forces de l'ordre internationales, a démantelé le logiciel malveillant le plus dangereux au monde : Emotet.
En janvier 2021, plus de 11 millions d'adresses e-mail uniques ont été découvertes par Night Lion Security, accompagnées d'une grande quantité d'informations personnelles, dont des noms, des adresses postales et IP, des numéros de téléphone et des dates de naissance.
La plus grande fuite de données personnelles de l'histoire du Brésil : des bases de données concernant environ 223 millions de personnes — noms, identifiants fiscaux CPF, images faciales, salaires et scores de crédit — ont été mises en vente sur un forum du dark web, les soupçons pointant vers des données de bureau de crédit.
Victim
Population brésilienne (bases liées aux bureaux de crédit)
En janvier 2021, Oxfam Australia a été victime d'une fuite de données qui a exposé 1,8 million d'adresses e-mail uniques de donateurs de l'association caritative. Les données ont été mises en vente sur un forum de piratage populaire et comprenaient également des noms, des numéros de téléphone, des adresses, des genres et des dates de naissance.
En janvier 2021, le site de quiz Daily Quiz a subi une fuite de données qui a exposé plus de 8 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés en clair.
En janvier 2021, l'agence de voyages française Bourse des Vols a subi une fuite de données qui a exposé 1,46 million d'adresses e-mail uniques réparties sur plus de 1 200 fichiers .sql et plus de 9 Go de données.
En janvier 2021, le site désormais disparu Date Hot Brunettes, qui proposait un service pour « rencontrer des femmes délaissées sachant garder un secret », a subi une fuite de données. L'incident a exposé 1,5 million d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur, des biographies saisies par les utilisateurs et des hachages de mots de passe MD5.
En janvier 2021, le site web d'armes à feu guns.com a subi une fuite de données. La fuite a exposé 376 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales, des achats d'armes, des données partielles de cartes bancaires, des dates de naissance et des mots de passe stockés sous forme d'empreintes bcrypt.
En janvier 2021, la plateforme indienne d'organisation de mariages WedMeGood a subi une fuite de données qui a exposé 1,3 million de clients. La fuite a exposé 41,5 Go de données comprenant des adresses e-mail et physiques, des noms, des genres, des numéros de téléphone et des hachages de mots de passe. Les données ont été fournies à HIBP par dehashed.com.
Début 2021, le site de torrents polonais Devil-Torrents.pl a subi une fuite de données. Un sous-ensemble des données comprenant 63 000 adresses e-mail uniques et des mots de passe craqués a ensuite été diffusé sur un service populaire de partage de fuites de données.
La base de données clients de Ho. Mobile, l'opérateur à bas coût de Vodafone Italie, a été volée et mise en vente sur le dark web — exposant les données personnelles et SIM d'environ 2,5 millions d'abonnés italiens et entraînant un remplacement massif des cartes SIM.
En mars 2021, une fuite de données massive a été révélée, touchant des millions de clients d'Adecco en Amérique du Sud, et a ensuite été vendue sur un forum de piratage populaire.
Début 2023, plus de 200 millions d'enregistrements récupérés par scraping depuis Twitter sont apparus sur un forum de piratage populaire. Les données ont été obtenues courant 2021 en exploitant une API qui permettait de faire correspondre des adresses e-mail à des profils Twitter.
En janvier 2021, le site parodique Windows93 a subi une fuite de données du sous-site Myspace93 après qu'une application bêta a été exploitée pour télécharger des fichiers du serveur.
Début 2023, un corpus de données provenant de l'entreprise de masques néo-zélandaise MEO a été découvert. Datant de décembre 2020, les données contenaient plus de 8 000 enregistrements de clients, dont des noms, des adresses, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes MD5 Wordpress.
En décembre 2020, l'Université de Californie a subi une fuite de données due à une vulnérabilité chez un prestataire tiers, Accellion. La fuite a exposé de nombreuses données personnelles concernant à la fois les étudiants et le personnel, dont 547 000 adresses e-mail uniques, des noms, des dates de naissance, des genres, des numéros de sécurité sociale…
En décembre 2020, le site de promotion de livres NetGalley a subi une fuite de données. L'incident a exposé 1,4 million d'adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des adresses postales et IP, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme d'empreintes SHA-1 salées.
En décembre 2020, le service de gestion de cabinets dentaires MMG Fusion a été victime d'une fuite de données qui a exposé 2,6 millions d'adresses e-mail uniques. Les données comprenaient également des rendez-vous de patients, des noms, des numéros de téléphone, des dates de naissance, des genres et des adresses postales.
En décembre 2020, le prestataire de services pour concessionnaires automobiles DriveSure a subi une fuite de données. L'incident a entraîné le téléchargement de 26 Go de données, partagées ensuite sur un forum de piratage. Les informations personnelles concernées comprenaient 3,6 millions d'adresses e-mail uniques, des noms, des numéros de téléphone et des adresses postales.
En juillet 2023, une liste de présumés participants aux Roblox Developers Conferences de 2017 à 2020 a circulé sur un forum. Les données contenaient 4 000 adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des dates de naissance, des numéros de téléphone, des adresses physiques et IP et des tailles de T-shirt
En décembre 2020, le département du Tourisme et des Loisirs de l'État de l'Oklahoma a subi une fuite de données. L'incident a exposé 637 000 adresses e-mail réparties dans diverses tables, incluant des tranches d'âge associées à des commandes de brochures et des dates de naissance associées à des participations à des concours.
En décembre 2020, le fournisseur d'électricité britannique People's Energy a subi une fuite de données. La fuite a exposé près de 7 Go de fichiers contenant 359 000 adresses e-mail uniques, ainsi que des noms, des numéros de téléphone, des adresses physiques et des dates de naissance.
En décembre 2020, la société de recherche économique Capital Economics a subi une fuite de données qui a exposé 263 000 dossiers clients. Les données exposées comprenaient des adresses e-mail et postales, des noms, des numéros de téléphone, des intitulés de poste et l'employeur des clients concernés.
En décembre 2020, GamingMonk, la « plus grande communauté esport » d'Inde (depuis rachetée par MPL Esports et redirigée vers ce dernier), a subi une fuite de données. L'incident a exposé 655 000 adresses e-mail uniques ainsi que des noms, des identifiants, des numéros de téléphone, des dates de naissance et des empreintes bcrypt de mots de passe.
En novembre 2020, une collection de plus de 23 000 sites web prétendument compromis connue sous le nom de Cit0day a été mise à disposition en téléchargement sur plusieurs forums de piratage.
En octobre 2020, 17 fuites de données jusqu'alors non divulguées ont été mises en vente, dont celle du service thaïlandais de recherche de restaurants, d'hôtels et d'attractions Wongnai.
Les dossiers d'environ 33 000 patients du prestataire finlandais de psychothérapie Vastaamo ont été dérobés en 2018 dans une base de données non chiffrée dépourvue de mot de passe root. Après l'échec de l'extorsion de l'entreprise en octobre 2020, l'attaquant a adressé des demandes de rançon directement à environ 30 000 patients. Le fondateur a finalement été acquitté ; Aleksanteri Kivimäki a été condamné à 6 ans et 3 mois de prison.
En septembre 2021, une base de données PostgreSQL accessible publiquement appartenant au service Playbook a été identifiée. Gérée par la société de capital-risque Plug and Play Ventures, la base de données était exposée depuis octobre 2020 et contenait plus de 50 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des emplois…
En octobre 2020, la plateforme indienne d'épicerie bigbasket a subi une fuite de données qui a exposé plus de 20 millions de dossiers clients. Les données ont d'abord été vendues avant d'être divulguées publiquement en avril de l'année suivante et comprenaient des adresses e-mail, IP et physiques, des noms, des numéros de téléphone, des dates de naissance…
En octobre 2021, une sauvegarde de base de données dérobée au service de partage de modèles 3D Thingiverse a commencé à circuler largement au sein de la communauté de piratage. Datant d'octobre 2020, le fichier de 36 Go contenait 228 000 adresses e-mail uniques, le plus souvent accompagnées de commentaires laissés sur des modèles 3D.
En octobre 2020, le jeu en ligne pour enfants Animal Jam a subi une fuite de données qui a ensuite été partagée le mois suivant au sein de communautés de piratage en ligne. Les données contenaient 46 millions de comptes d'utilisateurs avec plus de 7 millions d'adresses e-mail uniques.
Fin 2020, le site japonais de photos de famille Famm a subi une fuite de données qui a ensuite exposé 1,3 million d'enregistrements clients, dont 535 000 adresses e-mail uniques. Les données concernées comprenaient également des noms, des dates de naissance, des genres et des mots de passe stockés sous forme d'empreintes SHA-256.
En octobre 2020, le fournisseur de VPN LimeVPN a subi une fuite de données qui a exposé les informations personnelles de dizaines de milliers de clients. Les données comprenaient des adresses e-mail, IP et postales, des noms, des numéros de téléphone, des historiques d'achat et des mots de passe stockés sous forme de hachages MD5 salés.
En octobre 2020, l'application d'édition de photos en ligne Pixlr a subi une fuite de données exposant 1,9 million d'abonnés. Les données concernées comprenaient des noms, des adresses e-mail, des profils de réseaux sociaux, le pays d'inscription et des mots de passe stockés sous forme de hachages SHA-512. Les données ont été fournies à HIBP par dehashed.com.
En octobre 2020, l'application de livraison de nourriture asiatique Chowbus a subi une fuite de données qui a conduit à l'envoi par e-mail de plus de 800 000 dossiers aux clients. L'e-mail contenait un lien vers un fichier CSV avec des données clients, dont des adresses postales, des noms, des numéros de téléphone et plus de 444 000 adresses e-mail uniques.
En octobre 2020, un chercheur a révélé que l'API de profils de Gravatar pouvait être énumérée sans limitation de débit. 167 millions d'enregistrements (noms, pseudonymes et empreintes d'e-mails) ont été extraits, et 114 millions des hachages MD5 ont été craqués pour révéler les adresses e-mail.
En novembre 2020, un ensemble de fuites de données ont été rendues publiques, dont celle de la « plateforme de réussite entrepreneuriale » GeniusU. Remontant au mois précédent, les données comprenaient 1,3 million de noms, des adresses e-mail et IP, des genres, des liens vers des profils de réseaux sociaux et des mots de passe stockés sous forme d'empreintes bcrypt.
En septembre 2020, le service Nitro PDF a subi une fuite de données massive qui a exposé plus de 70 millions d'adresses e-mail uniques. La fuite a également exposé des noms, des empreintes de mots de passe bcrypt et les titres de documents convertis. Les données ont été fournies à HIBP par dehashed.com.
Fin 2020, la plateforme AdTech Eskimi a subi une fuite de données qui a exposé 26 millions d'enregistrements avec 1,2 million d'adresses e-mail uniques. Les données comprenaient des noms d'utilisateur, des dates de naissance, des genres et des mots de passe stockés sous forme d'empreintes MD5 non salées.
En mai 2023, 478 000 enregistrements d'utilisateurs du forum de piratage désormais disparu connu sous le nom de « RaidForums » ont été publiés sur un autre forum de piratage. Les données remontaient à septembre 2020 et comprenaient des adresses e-mail, des noms d'utilisateur, des dates de naissance, des adresses IP et des mots de passe stockés sous forme de hachages Argon2.
En septembre 2020, le site désormais disparu Games Box a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. Les données concernées comprenaient 1,4 million d'adresses e-mail ainsi que des noms d'utilisateur, des genres, des âges et des mots de passe stockés sous forme d'empreinte ou en clair.
En juin 2020, puis à nouveau en septembre de la même année, Horse Isle « The Secrent Land of Horses » a subi une fuite de données. L'incident a exposé 28 000 adresses e-mail uniques ainsi que des noms, noms d'utilisateur, adresses IP, genres, achats et mots de passe en clair.
En septembre 2020, le programme de récompenses cashback ShopBack a subi une fuite de données. L'incident a exposé plus de 20 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, le pays de résidence et des mots de passe stockés sous forme de hachages SHA-1 salés. Les données ont été fournies à HIBP par dehashed.com.
En mars 2023, le « centre commercial en ligne du Canada » Shopper+ a divulgué une fuite de données découverte sur un forum de piratage public. La fuite remontait à septembre 2020 et incluait 878 000 enregistrements de clients avec des adresses e-mail et physiques, des noms, des numéros de téléphone et, dans certains cas, des genres et des dates de naissance.
En septembre 2020, la plateforme de gestion et de réservation hôtelière RedDoorz a subi une fuite de données ayant exposé plus de 5,8 millions de comptes utilisateurs. Les données compromises incluaient des noms, des adresses e-mail, des numéros de téléphone, des genres, des dates de naissance et des mots de passe stockés sous forme de hachages bcrypt.
En 2024, des données relatives à un service inconnu désigné sous le nom de « Hopamedia » et remontant à 2020 sont apparues dans une base de données exposée publiquement. Les données comprenaient près de 24 millions d'enregistrements contenant adresse e-mail, nom, numéro de téléphone, le pays de la personne et son opérateur de télécommunications.
En août 2020, le détaillant indien Livpure a subi une fuite de données qui a exposé plus d'un million d'achats clients avec 270 mille adresses e-mail uniques. Les données comprenaient également des noms, des numéros de téléphone, des adresses postales et des détails sur les articles achetés.
En août 2020, Experian South Africa a subi une fuite de données qui a exposé les informations personnelles de dizaines de millions d'individus. Seuls 1,3 million des enregistrements contenaient des adresses e-mail, tandis que la plupart contenaient des numéros d'identité délivrés par le gouvernement, des noms, des adresses, des professions et des employeurs, entre…
En août 2020, le site de transport public napolitain Unico Campania a été piraté et les données ont largement circulé. La fuite contenait 166 000 enregistrements d'utilisateurs avec des adresses e-mail et des mots de passe en clair.
En août 2020, le magasin de vêtements Bonobos a subi une fuite de données qui a exposé près de 70 Go de données contenant 2,8 millions d'adresses e-mail uniques. La fuite a également exposé des noms, des adresses physiques et IP, des numéros de téléphone, des historiques de commandes et des mots de passe stockés sous forme de hachages SHA-512 salés, dont…
En août 2020, l'application de suivi d'entraînement Jefit a subi une fuite de données. Les données ont ensuite été vendues au sein de la communauté du piratage et comprenaient plus de 9 millions d'adresses e-mail et IP, de noms d'utilisateur et de mots de passe stockés sous forme d'empreintes vBulletin ou argon2.
En août 2020, le site web de partage de vidéos et d'images explicites de gore et de cruauté envers les animaux a subi une fuite de données. La fuite a exposé 74 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP, des genres et des hachages de mots de passe SHA-1 non salés.
En octobre 2020, la nouvelle d'une fuite de données chez Lazada RedMart a éclaté, contenant des enregistrements aussi récents que juillet 2020 et vendus via une place de marché en ligne. Au total, les données contenaient 1,1 million d'adresses e-mail clients ainsi que des noms, des numéros de téléphone, des adresses postales, des numéros de carte de crédit partiels et des mots de passe…
En juillet 2020, le site Utah Gun Exchange a subi une fuite de données qui touchait également plusieurs autres sites associés. Au total, 235 000 adresses e-mail uniques ont été exposées avant d'être échangées en ligne, accompagnées de noms, de noms d'utilisateur, de genres, d'adresses IP et de hachages de mots de passe.
En juillet 2020, la plateforme e-commerce française WiziShop a subi une fuite de données. La fuite a exposé 18 Go de données comprenant des noms, des numéros de téléphone, des dates de naissance, des adresses physiques et IP, des hachages de mots de passe SHA-1 et près de 3 millions d'adresses e-mail uniques.
En juillet 2020, le service Minecraft russe StreamCraft a subi une fuite de données qui a ensuite été redistribuée au sein d'un corpus de données plus vaste. Les données comprenaient 1,8 million d'enregistrements de noms d'utilisateur, d'adresses e-mail et IP et de mots de passe stockés sous forme d'empreintes MD5 ou bcrypt.
Vers juillet 2020, le service américain de livraison d'alcool en ligne Drizly a subi une fuite de données. Les données ont été vendues en ligne avant d'être largement redistribuées et contenaient 2,5 millions d'adresses e-mail uniques ainsi que des noms, des adresses postales et IP, des numéros de téléphone, des dates de naissance et…
En juin 2020, le fournisseur de solutions pour la restauration OrderSnapp a subi une fuite de données qui a exposé 1,3 million d'adresses e-mail uniques. Les données touchées comprenaient également des noms, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme de hachages bcrypt. Les données ont été fournies à HIBP par dehashed.com.
Mi-2020, la plateforme d'histoires créées par les utilisateurs Wattpad a subi une fuite exposant environ 268,8 millions d'enregistrements, dont des noms, adresses e-mail, dates de naissance et mots de passe hachés en bcrypt. La base a d'abord été vendue en privé, puis diffusée gratuitement sur un forum de piratage.
En juin 2020, l'application bancaire numérique Dave a subi une fuite de données qui a exposé 7,5 millions de lignes de données et est ensuite apparue en téléchargement public sur un forum de piratage.
En juin 2020, le service d'examen en ligne ProctorU a subi une fuite de données qui a ensuite été largement partagée au sein des communautés de piratage en ligne. La fuite contenait 444 000 enregistrements d'utilisateurs, dont des noms, des adresses e-mail et postales, des numéros de téléphone et des mots de passe stockés sous forme de hachages bcrypt.
En juin 2020, le site web de décoration d'intérieur Havenly a subi une fuite de données qui a touché près de 1,4 million de membres du service. Les données exposées comprenaient des adresses e-mail, des noms, des numéros de téléphone, des localisations géographiques et des mots de passe stockés sous forme d'empreintes SHA-1, le tout ayant ensuite été partagé…
En juin 2020, le fabricant de portefeuilles matériels de cryptomonnaie Ledger a subi une fuite de données qui a exposé plus d'un million d'adresses e-mail. Les données ont d'abord été vendues avant d'être divulguées publiquement en décembre 2020 et comprenaient des noms, des adresses postales et des numéros de téléphone.
En juin 2020, le service de crédit indonésien Kreditplus a subi une fuite de données qui a exposé 896 k enregistrements contenant 769 k adresses e-mail uniques. La fuite a exposé de nombreuses informations personnelles, notamment des noms, la composition familiale, des informations sur les conjoints, les revenus et les dépenses, les religions et l'emploi…
En juin 2020, l'opérateur de bus égyptien Swvl a subi une fuite de données qui a touché plus de 4 millions de membres du service. Les données exposées comprenaient des noms, des adresses e-mail, des numéros de téléphone, des photos de profil, des données partielles de carte de crédit (type et 4 derniers chiffres) et des mots de passe stockés sous forme de condensats bcrypt, tous…
En juin 2020, l'entreprise de données d'entraînement pour l'IA Appen a subi une fuite de données exposant les informations de près de 5,9 millions d'utilisateurs, qui ont ensuite été vendues en ligne. La fuite comprenait des noms, des adresses e-mail et des mots de passe stockés sous forme de hachages bcrypt.
En juillet 2020, Promo, qui se proclame « créateur de vidéos marketing n°1 mondial », a subi une fuite de données qui a ensuite été largement partagée sur un forum de piratage. L'incident a exposé 22 millions d'enregistrements contenant près de 15 millions d'adresses e-mail uniques ainsi que des adresses IP, des sexes, des noms et des données salées…
En juin 2020, le service de parfums en ligne Scentbird a subi une fuite de données ayant exposé les informations personnelles de plus de 5,8 millions de clients. Des informations personnelles, dont des noms, des adresses e-mail, des genres, des dates de naissance, des mots de passe stockés sous forme de hachages bcrypt et des indicateurs de robustesse des mots de passe, ont été…
En juin 2020, le service brésilien de financement participatif Vakinha a subi une fuite de données qui a touché près de 4,8 millions de membres. Les données exposées comprenaient des adresses e-mail, des noms, des numéros de téléphone, des localisations géographiques et des mots de passe stockés sous forme de hachages bcrypt, le tout ayant ensuite été largement partagé…
En juin 2020, la plateforme de prêt mexicaine yotepresto.com a subi une fuite de données. Plus de 1,4 million de clients ont été touchés par cette fuite qui a divulgué des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes bcrypt. Les données ont été fournies à HIBP par dehashed.com.
En 2020, un corpus de données contenant près d'un quart de milliard d'enregistrements répartis sur plus de 400 champs différents a été attribué à tort à la société de marketing par base de données Acxiom et a ensuite circulé au sein de la communauté de piratage.
En juin 2020, le site de développement web SitePoint a subi une fuite de données ayant exposé plus d'un million d'enregistrements de clients. Les données touchées incluaient des adresses e-mail et IP, des noms, des noms d'utilisateur, des biographies et des mots de passe stockés sous forme de hachages bcrypt.
Vers juin 2019, le service de livraison indien Dunzo a subi une fuite de données. Exposant 3,5 millions d'adresses e-mail uniques, la fuite de Dunzo comprenait également des noms, des numéros de téléphone et des adresses IP, le tout largement diffusé en ligne via un forum de piratage.
En juin 2020, la place de marché en ligne d'antiquités LiveAuctioneers a subi une fuite de données qui a ensuite été vendue en ligne puis largement redistribuée au sein de la communauté de piratage.
Mi-2020, un corpus de données de 437 Go attribué à une entité nommée « Acuity » a été créé puis largement diffusé. Cependant, la source n'a pas pu être attribuée avec certitude à une entreprise connue portant le nom d'Acuity.
Vers la mi-2020, Mashable a subi une fuite de données qui est ensuite apparue publiquement en novembre 2020. Les données comprenaient 1,4 million d'adresses e-mail uniques ainsi que des noms, des sexes, des jetons d'authentification expirés, des localisations physiques, des liens vers des profils de réseaux sociaux ainsi que les jours et mois de naissance.
En mai 2020, la société de marketing sur les réseaux sociaux Preen.Me a été la cible d'une attaque par rançon qui a entraîné la publication de centaines de milliers d'enregistrements. Plus de 236 000 adresses e-mail uniques ont été exposées lors de l'attaque, ainsi que des noms, des noms d'utilisateur et des liens vers des profils de réseaux sociaux.
En mai 2020, le forum de piratage Nulled.ch a été compromis et les données publiées sur un forum de piratage rival. Plus de 43 000 enregistrements ont été compromis, comprenant des adresses IP et e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés, ainsi que l'historique des messages privés de l'administrateur du site.
En décembre 2022, la société de recherche en investissement Zacks a annoncé une fuite de données. Le mois suivant, des rapports ont fait état d'un incident touchant 820 000 clients. Cependant, en juin 2023, un ensemble de données concernant près de 9 millions de clients de Zacks est apparu avant d'être largement diffusé sur un forum de piratage populaire.
En mai 2020, la place de marché en ligne pour artistes indépendants Minted a subi une fuite de données qui a exposé 4,4 millions d'enregistrements de clients uniques, ensuite vendus sur une place de marché du dark web. Les données exposées comprenaient également des noms, des adresses postales, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes bcrypt.
En mai 2020, plus de 1,3 million d'enregistrements du jeu MMO Stalker Online ont été compromis. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe hachés.
En avril 2020, le plus grand site de vente en ligne d'Indonésie, Tokopedia, a été compromis et environ 91 millions de comptes utilisateurs — noms, e-mails, mots de passe hachés et dates de naissance — ont été mis en vente sur des forums du dark web.
En avril 2020, la boutique d'applications Android indépendante Aptoide a subi une fuite de données. L'incident a entraîné l'exposition de 20 millions d'enregistrements de clients qui ont ensuite été partagés en ligne via un forum de piratage populaire.
En avril 2020, le fournisseur d'accès à Internet népalais Vianet a subi une fuite de données. L'attaque contre le FAI a entraîné l'exposition de 177 000 enregistrements clients, dont 94 000 adresses e-mail uniques. Des noms, des numéros de téléphone et des adresses postales ont également été exposés.
En avril 2020, la plateforme de commerce électronique brésilienne HomeRefill, aujourd'hui disparue, a subi une fuite de données qui a ensuite été rediffusée dans le cadre d'un corpus de données plus vaste. Les données comprenaient 187 000 adresses e-mail uniques ainsi que des noms, numéros de téléphone, dates de naissance et empreintes de mots de passe salées.
En avril 2020, le forum de détournement de comptes et de SIM swapping OGUsers a subi sa deuxième fuite de données en moins d'un an. Comme lors de la précédente fuite, les données exposées comprenaient des adresses e-mail et IP, des noms d'utilisateur, des messages privés et des mots de passe stockés sous forme de hachages MD5 salés.
En avril 2020, le site de vêtements imprimés personnalisés Teespring a subi une fuite de données qui a exposé 8,2 millions de dossiers clients. Les données comprenaient des adresses e-mail, des noms, des localisations géographiques et des identifiants de réseaux sociaux.
En mars 2020, le site coréen de décoration intérieure ???? (Decorating the House) a subi une fuite de données qui a touché près de 1,3 million de membres. Diffusées via l'URL ggumim.co.kr, les données exposées comprenaient des adresses e-mail, des noms, des noms d'utilisateur et des numéros de téléphone, qui ont ensuite tous été partagés…
En mars 2020, l'entreprise irlandaise de logiciels de gestion de salles de sport Glofox a subi une fuite de données qui a exposé 2,3 millions d'enregistrements d'adhérents. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone, des genres, des dates de naissance et des mots de passe stockés sous forme d'empreintes MD5 sans sel.
En mars 2020, le service d'impression de photos Chatbooks a subi une fuite de données qui a ensuite été mise en vente sur une place de marché du dark web. La fuite contenait 15 millions de dossiers d'utilisateurs avec 2,5 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des profils de réseaux sociaux et des hachages SHA-512 salés…
En juin 2020, 14 fuites de données jusque-là non divulguées sont apparues en vente, dont celle du service de livraison brésilien « James ». La fuite s'est produite en mars 2020 et a exposé 1,5 million d'adresses e-mail uniques, les localisations des clients exprimées en longitude et latitude et des mots de passe stockés sous forme d'empreintes bcrypt.
En mars 2020, le site de photos de banque d'images 123RF a subi une fuite de données qui a touché plus de 8 millions d'abonnés et a ensuite été vendue en ligne. La fuite comprenait des adresses e-mail, IP et postales, des noms, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5. Les données ont été fournies à HIBP par dehashed.com.
Les données personnelles de 538 millions de comptes Sina Weibo — dont les numéros de téléphone de 172 millions d'utilisateurs — ont été mises en vente sur le dark web pour environ 250 $, dans une fuite que Weibo a attribuée à un abus de correspondance de carnet d'adresses remontant à 2018. Le ministère chinois de l'Industrie a convoqué l'entreprise au sujet de sa gestion des données personnelles.
En mars 2020, un vaste ensemble d'informations personnelles désigné sous le nom de « Lead Hunter » a été fourni à HIBP après avoir été découvert exposé sur un serveur Elasticsearch accessible au public.
Vers mars 2020, le site de recrutement brésilien Catho a été compromis et est ensuite apparu aux côtés de 20 autres sites compromis mis en vente sur une place de marché du dark web. La fuite comprenait près de 11 millions de dossiers avec 1,2 million d'adresses e-mail uniques.
En février 2020, le réseau de marketing d'affiliation Tamodo a subi une fuite de données qui a ensuite été partagée sur un forum de piratage populaire. L'incident a exposé près de 500 000 comptes comprenant des noms, des adresses e-mail, des dates de naissance et des mots de passe stockés sous forme de condensats bcrypt.
En février 2020, le site web de jeux AnimeGame a subi une fuite de données. L'incident a touché 1,4 million d'abonnés et a exposé des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés. Les données ont ensuite été partagées sur un forum de piratage populaire et ont été fournies à HIBP par dehashed.com.
En février 2020, le site de cours de guitare TrueFire a subi une fuite de données qui a touché 600 000 membres. La fuite a exposé de nombreuses informations personnelles, dont des noms, des adresses e-mail et postales, des soldes de compte et des hachages de mots de passe MD5 non salés. Les données ont été fournies à HIBP par dehashed.com.
En février 2020, un immense trésor d'informations personnelles désigné sous le nom de "db8151dd" a été fourni à HIBP après avoir été découvert exposé sur un serveur Elasticsearch accessible publiquement.
En février 2020, la boutique en ligne de coques pour appareils électroniques grand public Slickwraps a subi une fuite de données. L'incident a entraîné l'exposition de 858 000 adresses e-mail uniques réparties entre des fiches clients et des abonnés à la newsletter.
En février 2020, l'entreprise de marketing israélienne Straffic a exposé une base de données contenant 140 Go de données personnelles. La base de données Elasticsearch accessible publiquement contenait plus de 300 millions de lignes avec 49 millions d'adresses e-mail uniques. Les données exposées comprenaient également des noms, des numéros de téléphone, des adresses physiques et des genres.
Début 2020, le service de livraison de repas Home Chef a subi une fuite de données qui a ensuite été revendue en ligne. La fuite a exposé les informations personnelles de près de 9 millions de clients, notamment les noms, adresses IP, codes postaux, les 4 derniers chiffres des numéros de carte bancaire et les mots de passe stockés sous forme d'empreintes bcrypt…
Début 2020, le site web indonésien d'électronique grand public Bhinneka a subi une fuite de données qui a exposé près de 1,3 million de dossiers clients. Les données comprenaient des adresses e-mail et physiques, des noms, des genres, des dates de naissance, des numéros de téléphone et des hachages de mots de passe salés.
En janvier 2020, l'application mobile permettant de « tout comparer » Wishbone a subi une nouvelle fuite de données faisant suite à celle de 2016. De nombreuses informations personnelles, dont près de 10 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des localisations géographiques et d'autres données personnelles…
Début 2020, le service de rencontres en ligne MeetMindful a subi une fuite de données qui a exposé 1,4 million d'adresses e-mail uniques de clients. Les données comprenaient un vaste éventail d'informations personnelles utilisées pour trouver des partenaires amoureux, notamment des attributs physiques, la consommation d'alcool, de drogues et…
En janvier 2020, le créateur d'applications de voyage Ulmon a subi une fuite de données. Le service comptait près de 1,3 million d'enregistrements avec 777 000 adresses e-mail uniques, des noms, des mots de passe stockés sous forme de hachages bcrypt et, dans certains cas, des identifiants de profils de réseaux sociaux, des numéros de téléphone et des biographies.
En janvier 2020, le site de résolution de problèmes mathématiques Mathway a subi une fuite de données qui a exposé plus de 25 millions d'enregistrements. Les données ont ensuite été vendues sur une place de marché du dark web et comprenaient des noms, des identifiants Google et Facebook, des adresses e-mail et des empreintes de mots de passe salées.
En janvier 2020, le service de rencontres en ligne Zoosk a subi une fuite de données qui a ensuite été largement partagée au sein des communautés de piratage en ligne. La fuite contenait 24 millions d'adresses e-mail uniques ainsi que des informations personnelles détaillées, dont des genres, des orientations sexuelles, des dates de naissance,…
En janvier 2020, l'application de rencontres basée à Barcelone MobiFriends a subi une fuite de données qui a exposé 3,5 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des genres, des dates de naissance et des empreintes de mots de passe MD5.
En janvier 2020, le forum espagnol de téléphonie mobile HTC Mania a subi une fuite de données du site basé sur vBulletin. L'incident a exposé 1,5 million d'adresses e-mail de membres, noms d'utilisateur, adresses IP, dates de naissance, empreintes de mots de passe MD5 salées et historiques de mots de passe.
En janvier 2020, le détaillant de vêtements en ligne Pampling a subi une fuite de données qui a exposé 383 000 adresses e-mail uniques de clients. Les données ont ensuite été partagées sur un forum de piratage populaire et comprenaient également des noms, des noms d'utilisateur et des hachages de mots de passe MD5 non salés.
Aux alentours de 2019 ou 2020, le service de streaming de films lituanien Filmai.in a subi une fuite de données exposant 645 000 adresses e-mail, des noms d'utilisateur et des mots de passe en clair.
En janvier 2021, NordLocker a fourni à HIBP 1,1 million d'adresses e-mail collectées par un logiciel malveillant anonyme. La campagne de malware s'est déroulée entre 2018 et 2020 et a infecté 3,25 millions d'ordinateurs, volant des fichiers, des identifiants et prenant des captures d'écran et des photos à l'aide de la webcam de l'ordinateur.
En décembre 2019, le site de réservation Sonicbids a subi une fuite de données qu'il a attribuée à « un incident de confidentialité des données impliquant nos services d'hébergement cloud tiers ». La fuite contenait 752 000 enregistrements d'utilisateurs comprenant des noms et noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme d'empreintes PBKDF2.
En décembre 2019, une vaste collection de données de la société de paris nigériane Surebet247 a été envoyée à HIBP. Aux côtés de Surebet247, des sauvegardes de bases de données des sites de paris BetAlfa, BetWay, BongoBongo et TopBet étaient également incluses.
Aux alentours de décembre 2019, une prétendue fuite de données du service d'annuaire d'avocats Avvo a été publiée sur un forum de piratage en ligne et utilisée dans une arnaque d'extorsion (il est possible que l'exposition remonte à une date antérieure).
En décembre 2019, la plateforme de jeu désormais disparue GameSprite a subi une fuite de données qui a exposé plus de 6 millions d'adresses e-mail uniques. Les données concernées comprenaient également des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.
En décembre 2019, le site web de jeux allemand aujourd'hui disparu Go Ninja a subi une fuite de données qui a exposé 5 millions d'adresses e-mail uniques. Les données touchées comprenaient des identifiants, des adresses e-mail et IP et des empreintes MD5 salées de mots de passe.
En décembre 2019, le site de jeux aujourd'hui disparu SoarGames a subi une fuite de données qui a exposé 4,8 millions d'adresses e-mail uniques. Les données concernées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des empreintes de mots de passe MD5 salées.
En décembre 2019, le forum du site JoyGames a subi une fuite de données qui a exposé 4,5 millions d'adresses e-mail uniques. Les données touchées comprenaient également des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.
En décembre 2019, le site de jeu aujourd'hui disparu Unigame (créateur de Hunter Online) a subi une fuite de données qui a ensuite été redistribuée au sein d'un corpus de données plus vaste. Les données comprenaient 844 000 adresses e-mail et des hachages de mots de passe MD5 salés.
En novembre 2019, le site éducatif vietnamien TaiLieu aurait subi une fuite de données exposant 7,3 millions de dossiers clients. Les données touchées comprenaient des noms et noms d'utilisateur, des adresses e-mail, des dates de naissance, des genres et des mots de passe stockés sous forme de condensats MD5 non salés.
En novembre 2019, le site d'actualités technologiques serbe Benchmark a subi une violation de son forum qui a exposé 93 000 dossiers clients. La fuite a exposé des adresses IP et e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
Mi-2021, des rapports ont fait état d'une fuite de données de l'entreprise indonésienne de télécommunications IndiHome. Plus de 26 millions de lignes de données prétendument issues de l'entreprise ont été publiées sur un forum de piratage populaire et contenaient 12,6 millions d'adresses e-mail uniques ainsi que des noms, adresses IP, genres et…
Vers novembre 2019, la « faculté préparatoire à distance pour les spécialités informatiques » russe Universarium a subi une fuite de données. L'incident a exposé 565 000 adresses e-mail et mots de passe en clair. Universarium n'a pas répondu à plusieurs tentatives de prise de contact échelonnées sur de nombreuses semaines.
En novembre 2019, le site web d'Indian Rail a laissé plus de 2 millions d'enregistrements exposés sur une instance de base de données Firebase non protégée. Les données exposées comprenaient 583 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des mots de passe stockés en clair.
En octobre 2019, les chercheurs en sécurité Vinny Troia et Bob Diachenko ont identifié un serveur Elasticsearch non protégé contenant 1,2 milliard d'enregistrements de données personnelles.
En octobre 2019, le forum néerlandais de prostitution Hookers.nl a subi une fuite de données qui a exposé les informations personnelles de travailleuses du sexe et de leurs clients.
En octobre 2019, le service d'information StarTribune, basé dans le Minnesota, a subi une fuite de données qui a ensuite été vendue sur le dark web. La fuite a exposé plus de 2 millions d'adresses e-mail uniques accompagnées de noms, noms d'utilisateur, adresses physiques, dates de naissance, genres et mots de passe stockés sous forme d'empreintes bcrypt.
En septembre 2019, la boutique de costumes d'Halloween The Halloween Spot a subi une fuite de données. Initialement attribuée à tort à la boutique de déguisements Smiffys, la fuite contenait 13 Go de données avec plus de 10 000 adresses e-mail uniques ainsi que des noms, des adresses postales et IP, des numéros de téléphone et des historiques de commandes.
En septembre 2019, le forum de zoophilie et de bestialité Zooville a subi une fuite de données. Les noms d'utilisateur et les adresses e-mail de 71 000 membres ont été consultés via une vulnérabilité non corrigée du logiciel de forum vBulletin, puis distribués en ligne.
En septembre 2019, le site de torrents polonais AgusiQ-Torrents.pl a subi une fuite de données. L'incident a exposé 90 000 dossiers de membres, dont des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5.
Un serveur Elasticsearch non sécurisé exploité par le cabinet équatorien Novaestrat a exposé 20,8 millions d'enregistrements couvrant la quasi-totalité de la population de l'Équateur, dont 6,7 millions d'enfants, des données financières et automobiles.
En septembre 2019, le forum de discussion sur les « lolcows » (personnes que l'on peut « traire » pour en tirer des rires) Kiwi Farms a subi une fuite de données. L'avis de divulgation indiquait que des adresses e-mail et IP, des dates de naissance et des contenus créés par les membres avaient tous été exposés lors de l'incident.
En septembre 2019, le fournisseur de bots RuneScape EpicBot a subi une fuite de données qui a affecté 817 000 abonnés. Les données issues de la fuite ont ensuite été partagées sur un forum de piratage populaire et comprenaient des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme d'empreintes MD5 salées ou bcrypt.
En septembre 2019, le pirate Gnosticplayers a compromis le développeur de jeux Zynga, accédant aux données de près de 173 millions de joueurs de Words With Friends et Draw Something. Les données exposées comprenaient e-mails, noms d'utilisateur, numéros de téléphone et hachages de mots de passe SHA-1 salés.
En 2019, l'application de suivi de sports d'hiver AlpineReplay a subi une fuite de données qui a exposé 900 000 adresses e-mail uniques. Intégrée par la suite au service Trace, la fuite comprenait des noms, des noms d'utilisateur, des genres, des dates de naissance, des poids et des mots de passe stockés sous forme de hachages MD5 non salés ou bcrypt.
En août 2019, le site de création de bandes dessinées ToonDoo a subi une fuite de données. Les données ont ensuite été rediffusées sur un forum de piratage populaire en novembre, où les informations personnelles de plus de 6 millions d'abonnés ont été partagées.
En août 2019, le programme de fidélité allemand de Mastercard « Priceless Specials » a subi une fuite de données. Les données personnelles de près de 90 000 membres du programme ont ensuite largement circulé en ligne et comprenaient des noms, des adresses e-mail et IP, des numéros de téléphone et des données partielles de cartes de crédit.
En août 2019, Audi USA a subi une fuite de données après qu'un prestataire a laissé des données non sécurisées et exposées sur Internet. Les données contenaient 2,7 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales et des informations sur les véhicules, y compris le numéro VIN.
En août 2019, le site d'emploi européen aujourd'hui disparu europa.jobs (lien vers le cache Google) a subi une fuite de données. L'incident a exposé 226 000 adresses e-mail uniques ainsi que de nombreuses informations personnelles, notamment des noms, des dates de naissance, des candidatures et des mots de passe.
En août 2019, une fuite de données provenant de la pharmacie en ligne espagnole Promofarma est apparue en vente sur une place de marché du dark web. La fuite a exposé plus de 2,7 millions d'enregistrements et contenait près de 1,3 million d'adresses e-mail de clients uniques. Les données comprenaient également les noms des clients et ont été fournies à HIBP par dehashed.com.
En juillet 2019, le site de jeux pour enfants Club Penguin Rewritten (CPRewritten) a subi une fuite de données (remarque : CPRewritten est une recréation indépendante du jeu Club Penguin de Disney).
En juillet 2019, la plateforme d'échange de mode et de baskets StockX a subi une fuite de données qui a ensuite été vendue via une place de marché du dark web. Les données exposées comprenaient 6,8 millions d'adresses e-mail uniques, des noms, des adresses physiques, des achats et des mots de passe stockés sous forme d'empreintes MD5 salées.
En juillet 2019, MGM Resorts a découvert une fuite de données sur l'un de ses services cloud. La fuite comprenait 10,6 millions d'enregistrements de clients avec 3,1 millions d'adresses e-mail uniques remontant à 2017.
En juillet 2019, MGM Resorts a découvert une fuite de données sur l'un de ses services cloud. La fuite comprenait 10,6 millions d'enregistrements de clients avec 3,1 millions d'adresses e-mail uniques remontant à 2017.
En juillet 2019, le site web de piratage Cracked.to a subi une fuite de données. Il y avait 749 000 adresses e-mail uniques réparties entre 321 000 utilisateurs du forum et d'autres tables de la base de données.
En juillet 2019, le jeu de rythme musical Flash Flash Revolution a subi une fuite de données. La fuite de 2019 a touché près de 1,9 million de membres et s'ajoute à la fuite de données de 2016 du même service.
En juillet 2019, une fuite de données massive de l'Agence nationale des recettes bulgare a commencé à circuler, avec des données concernant 5 millions de personnes. Prétendument obtenues en juin, les données ont été largement partagées en ligne et comprenaient des informations fiscales aux côtés de noms, de numéros de téléphone, d'adresses physiques et de 471 000 adresses uniques…
En juillet 2019, le site web de piratage BlackSpigotMC a subi une fuite de données. Le site basé sur le forum XenForo aurait été compromis par un site web de piratage rival, ce qui a entraîné la divulgation de 8,5 Go de données, dont la base de données et le site web lui-même.
Mi-2019, la plateforme indienne de tutorat en ligne interactif Vedantu a subi une fuite de données qui a exposé les données personnelles de 687 000 utilisateurs. L'extraction de base de données au format JSON a exposé de nombreuses informations personnelles, dont des adresses e-mail et IP, des noms, des numéros de téléphone, des genres et des mots de passe stockés sous forme de…
Vers juillet 2019, les forums du jeu Planet Calypso ont subi une fuite de données. La fuite de ce forum basé sur vBulletin a exposé des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En 2019, Quidd, place de marché en ligne pour l'échange d'autocollants, de cartes, de jouets et d'autres objets de collection, a subi une fuite de données. La fuite a exposé près de 4 millions d'adresses e-mail, de noms d'utilisateur et de mots de passe d'utilisateurs stockés sous forme de hachages bcrypt.
En juillet 2019, le forum de la bande dessinée en ligne XKCD a subi une fuite de données qui a touché 562 000 abonnés. Le forum phpBB compromis a divulgué des noms d'utilisateur, des adresses e-mail et IP et des mots de passe stockés au format MD5 phpBB3. Les données ont été fournies à HIBP par le chercheur en sécurité éthique et analyste de données Adam Davies.
En juin 2019, le site web d'estimation d'œuvres d'art basé en France Artvalue.com a laissé sa base d'abonnés de 158 000 membres exposée publiquement dans un fichier texte sur son site web. Les données exposées comprenaient des noms, des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5.
En juin 2019, le site « Art of Human Hacking » Social Engineered a subi une fuite de données. La fuite du forum MyBB a été publiée sur un forum de piratage rival et comprenait 89 000 adresses e-mail uniques réparties entre 55 000 utilisateurs du forum et d'autres tables de la base de données.
En juin 2019, le site de piratage Void.to a subi une fuite de données. On y trouvait 95 000 adresses e-mail uniques réparties entre 86 000 utilisateurs du forum et d'autres tables de la base de données.
En juin 2019, la bibliothèque de Vienne (Wiener Büchereien) a subi une fuite de données. Les données compromises comprenaient 224 000 adresses e-mail uniques, des noms, des adresses physiques, des numéros de téléphone et des dates de naissance. Les données ayant fait l'objet de la fuite ont ensuite été publiées sur Twitter par l'auteur présumé de la fuite.
En octobre 2019, 1,4 million de comptes du service de portefeuille de cryptomonnaies GateHub ont été publiés sur un forum de piratage populaire. GateHub avait précédemment reconnu une fuite de données en juin, bien qu'avec un nombre plus restreint de comptes touchés.
En juin 2019, le site web désormais disparu Condo.com a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un ensemble de données plus important. Les données concernées comprenaient 1,5 million d'adresses e-mail ainsi que des noms, des numéros de téléphone et, pour un petit nombre de dossiers, des adresses postales.
Le pirate en série GnosticPlayers a compromis la plateforme de design australienne Canva en mai 2019, dérobant les données d'environ 137 millions d'utilisateurs, dont e-mails, noms, localisations et mots de passe hachés avec bcrypt.
En mai 2019, le site de serveurs Minecraft Minehut a subi une fuite de données. L'entreprise a indiqué qu'une sauvegarde de base de données avait été obtenue, après quoi elle a notifié tous les utilisateurs concernés. 397 000 adresses e-mail issues de l'incident ont été fournies à HIBP.
En mai 2019, l'Ordre des avocats de Rome a subi une fuite de données provoquée par un groupe se réclamant d'Anonymous Italy. Les données de dizaines de milliers d'avocats romains ont été extraites du système compromis et redistribuées en ligne.
En mai 2019, le service de commande de nourriture en ligne EatStreet a subi une fuite de données affectant 6,4 millions de clients. Une grande quantité de données personnelles a été obtenue, notamment des noms, des numéros de téléphone, des adresses, des données partielles de cartes de crédit et des mots de passe stockés sous forme d'empreintes bcrypt.
En mai 2019, le site web de littérature chinois Read Novel aurait subi une fuite de données qui a exposé 22 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des sexes, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5 salés. En savoir plus sur les fuites de données chinoises dans Have I Been Pwned.
Mi-2019, le site de triche pour jeux vidéo « Aimware » a subi une fuite de données qui a exposé les informations personnelles de centaines de milliers d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur, des messages de forum, des messages privés, l'activité sur le site et des mots de passe stockés sous forme de hachages MD5 salés.
Un instantané de 2019 des données utilisateurs de Deezer, conservé par un ancien partenaire tiers en violation de son contrat, a été diffusé en novembre 2022 et a exposé environ 229 millions d'enregistrements — noms, e-mails, dates de naissance et localisations. Aucun mot de passe ni donnée de paiement n'a été touché.
En mai 2019, l'existence d'une vaste opération de spam par SMS connue sous le nom d'« ApexSMS » a été révélée, après qu'une instance MongoDB du même nom a été trouvée exposée sans mot de passe.
En 2019, le service de recherche de dossiers publics Instant Checkmate a subi une fuite de données qui a été révélée début 2023. Les données comprenaient près de 12 millions d'adresses e-mail clients uniques, des noms, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes scrypt.
En 2019, le service de recherche de dossiers publics TruthFinder a subi une fuite de données révélée plus tard, début 2023. Les données comprenaient plus de 8 millions d'adresses e-mail uniques de clients, des noms, des numéros de téléphone et des mots de passe stockés sous forme de hachages scrypt.
Vers la mi-2019, le site de commerce électronique Storenvy a subi une fuite de données qui a exposé des millions d'enregistrements clients. Une partie des enregistrements compromis a ensuite été publiée sur un forum de piratage avec des empreintes de mots de passe craquées, tandis que l'intégralité du corpus de 23 millions de lignes a été mise en vente.
En avril 2019, le service de gestion de PDF Lumin PDF a subi une fuite de données. La fuite n'a été divulguée publiquement qu'en septembre, lorsque 15,5 millions d'enregistrements de données d'utilisateurs sont apparus en téléchargement sur un forum de piratage populaire.
En octobre 2020, le service de psychothérapie finlandais Vastaamo a fait l'objet d'une attaque par rançongiciel ciblant d'abord l'entreprise elle-même, puis directement ses patients.
En mars 2019, l'entreprise japonaise spécialisée dans la soudure Hakko Corporation a subi une fuite de données. L'incident a exposé près de 10 000 enregistrements clients incluant des adresses e-mail et postales, des numéros de téléphone, des noms, des identifiants, des genres, des dates de naissance et des mots de passe en clair.
En mars 2019, le jeu de plateforme multijoueur Everybody Edits a subi une fuite de données. L'incident a exposé 871 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des adresses IP. Les données ont ensuite été diffusées en ligne sous forme d'un ensemble de fichiers.
En août 2020, une fuite de données concernant la compagnie aérienne russe Utair, remontant à l'année précédente, a été révélée. La fuite contenait plus de 400 000 adresses e-mail uniques accompagnées de nombreuses informations personnelles, dont des noms, des adresses postales, des dates de naissance, des numéros de passeport et un programme de fidélité…
En mars 2019, le site de jeux en ligne MindJolt a subi une fuite de données qui a exposé 28 millions d'adresses e-mail uniques. Les noms et les dates de naissance ont également été touchés, mais aucun mot de passe.
Aux alentours de mars 2019, l'agence de voyages en ligne brésilienne Hurb (anciennement Hotel Urbano) a subi une fuite de données. Les données sont ensuite apparues en ligne en téléchargement l'année suivante et comprenaient plus de 20 millions d'enregistrements clients avec adresses e-mail et IP, noms, dates de naissance, numéros de téléphone…
En mars 2019, une opération de spam connue sous le nom d'« Intelimost » a envoyé des millions d'e-mails semblant provenir de personnes que les destinataires connaissaient. Le chercheur en sécurité Bob Diachenko a trouvé plus de 3 millions d'adresses e-mail uniques dans une base de données Elasticsearch exposée, ainsi que des mots de passe en clair utilisés pour accéder au…
Début 2019, la compagnie aérienne malaisienne Malindo Air a subi une fuite de données qui a exposé des dizaines de millions d'enregistrements de clients. Comportant 4,3 millions d'adresses e-mail uniques, la fuite a également exposé de nombreuses informations personnelles, notamment des noms, des dates de naissance, des sexes, des adresses postales, des numéros de téléphone et…
En février 2019, la librairie brésilienne Estante Virtual a subi une fuite de données qui a affecté 5,4 millions de clients. Les données exposées comprenaient des noms, des noms d'utilisateur, des adresses e-mail et postales, des numéros de téléphone, des dates de naissance et des empreintes de mots de passe SHA-1 non salées.
Début 2019, l'application japonaise d'agenda Lifebear est apparue en vente sur une place de marché du dark web parmi de nombreux autres sites web piratés. La fuite a exposé près de 3,7 M d'adresses e-mail uniques, de noms d'utilisateur et de mots de passe stockés sous forme de hachages MD5 salés.
En février 2019, le service de validation d'adresses e-mail verifications.io a subi une fuite de données. Découverte par Bob Diachenko et Vinny Troia, la fuite était due au stockage des données dans une instance MongoDB laissée accessible publiquement sans mot de passe, et a entraîné l'exposition de 763 millions d'adresses e-mail uniques…
En février 2019, le site d'éducation et de création de jeux Game Salad a subi une fuite de données. L'incident a touché 1,5 million de comptes et a exposé des adresses e-mail, des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme d'empreintes SHA-256.
En février 2019, le détaillant de produits personnalisés CafePress a subi une fuite de données. Les données exposées comprenaient 23 millions d'adresses e-mail uniques, certains enregistrements contenant également des noms, des adresses physiques, des numéros de téléphone et des mots de passe stockés sous forme de hachages SHA-1.
En février 2019, le forum de piratage Demon Forums a subi une fuite de données. La compromission du forum vBulletin a exposé 52 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En février 2019, des données du service de diffusion en direct YouNow ont été mises en vente sur une place de marché du dark web. Bien que la date exacte de la fuite ne soit pas claire, les données concernées comprenaient 18 millions d'adresses e-mail uniques, des adresses IP, des noms, des noms d'utilisateur et des liens vers des profils de réseaux sociaux.
En août 2022, les données clients du site d'achats indien « LBB » (Little Black Book) ont été publiées sur un forum de piratage populaire. Les données contenaient plus de 3 M d'enregistrements avec 39 k adresses e-mail uniques ainsi que des adresses IP et postales, des noms et des informations sur les appareils, les données les plus récentes remontant à…
En février 2019, le forum devkitPro a subi une fuite de données. Le forum basé sur phpBB a vu 1 508 adresses e-mail uniques exposées lors de la fuite, ainsi que des messages de forum, des messages privés et des mots de passe stockés sous forme de hachages salés faibles. La fuite de données a été soumise par l'exploitant du forum lui-même à HIBP.
En janvier 2019, la plateforme indonésienne d'orientation universitaire et professionnelle Youthmanual a subi une fuite de données qui a exposé 1,1 million d'enregistrements. La fuite comprenait 938 000 adresses e-mail uniques ainsi que des informations personnelles détaillées, dont des noms, des genres, des dates et lieux de naissance, des numéros de téléphone, des adresses physiques…
En janvier 2019, la plateforme d'organisation d'événements Peatix a subi une fuite de données. L'incident a exposé 4,2 millions d'adresses e-mail, des noms et des hachages de mots de passe salés. Les données ont été fournies à HIBP par dehashed.com.
En janvier 2019, le site de réservation de voyages et d'hôtels ixigo a subi une fuite de données. Les données sont apparues en vente sur une place de marché du dark web le mois suivant et comprenaient plus de 17 millions d'adresses e-mail uniques ainsi que des noms, genres, numéros de téléphone, liens vers des profils Facebook et des mots de passe stockés sous forme…
En janvier 2019, le site web de portail de jeux Armor Games a subi une fuite de données. Au total, 10,6 millions d'adresses e-mail ont été touchées par la fuite, qui a également exposé des noms d'utilisateur, des adresses IP, les dates de naissance des comptes administrateurs et des mots de passe stockés sous forme de hachages SHA-1 salés.
En janvier 2020, le constructeur de motos Royal Enfield a laissé une base de données exposée publiquement, ce qui a entraîné la publication accidentelle des données de plus de 400 000 clients. Les données touchées incluaient des adresses e-mail et physiques, des noms, des informations sur les motos, des profils de réseaux sociaux, des mots de passe et d'autres informations personnelles…
En décembre 2018, le portail d'emploi indien IIMJobs a subi une fuite de données qui a exposé 4,1 millions d'adresses e-mail uniques. Les données comprenaient également des noms, numéros de téléphone, localisations géographiques, dates de naissance, intitulés de poste, candidatures et lettres de motivation, ainsi que des mots de passe stockés sous forme d'empreintes MD5 non salées.
Aux alentours de décembre 2018, la plateforme publicitaire en ligne BannerBit a subi une fuite de données. Contenant 213 000 adresses e-mail uniques et des mots de passe en texte clair, les données ont été fournies à HIBP par un tiers. Plusieurs tentatives ont été faites pour contacter BannerBit, mais aucune réponse n'a été reçue.
En décembre 2018, le site web Town of Salem produit par BlankMediaGames a subi une fuite de données. Signalées à HIBP par DeHashed, les données contenaient 7,6 millions d'adresses e-mail uniques d'utilisateurs aux côtés de noms d'utilisateur, d'adresses IP, d'historiques d'achats et de mots de passe stockés sous forme de hachages phpass.
En mai 2019, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données. La fuite a exposé une sauvegarde de base de données datant de décembre 2018, publiée sur un forum de piratage rival. Elle comprenait 161 000 adresses e-mail uniques réparties sur 113 000 utilisateurs du forum et d'autres tables de la base de données.
En décembre 2018, le site de jeux de rôle sur table Roll20 a subi une fuite de données. Près de 4 millions de clients ont été touchés par la fuite et ont vu leurs adresses e-mail et IP, leurs noms, leurs hachages bcrypt de mots de passe et les 4 derniers chiffres de leurs cartes de crédit exposés.
En septembre 2021, le site thaïlandais d'enseignement de l'anglais Ajarn a découvert qu'il avait été victime d'une fuite de données remontant à décembre 2018. La fuite a été signalée à HIBP par l'entreprise elle-même et comprenait 266 000 adresses e-mail, noms, genres, numéros de téléphone et autres informations personnelles.
Vers décembre 2018, le centre commercial numérique Wanelo a subi une fuite de données. Les données ont ensuite été mises en vente sur une place de marché du dark web aux côtés d'un ensemble d'autres fuites de données en avril 2019.
En décembre 2018, le site de cartographie Mappery a subi une fuite de données qui a exposé plus de 205 000 adresses e-mail uniques. L'incident a également exposé des noms d'utilisateur, la localisation géographique de l'utilisateur et des mots de passe stockés sous forme d'empreintes SHA-1 non salées.
En décembre 2018, le site web slovaque de visionnage de films en ligne gratuit Bombuj.eu a subi une fuite de données. L'incident a exposé plus de 575 000 adresses e-mail uniques et des mots de passe stockés sous forme de hachages MD5 non salés. Aucune réponse n'a été reçue de Bombuj.eu lorsqu'il a été contacté au sujet de l'incident.
La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.
L'application de messagerie vidéo Dubsmash a été compromise en décembre 2018, exposant environ 162 millions de comptes avec des adresses e-mail, des noms d'utilisateur et des empreintes de mots de passe PBKDF2 qui ont ensuite été mises en vente sur la place de marché du dark web Dream Market par le courtier GnosticPlayers.
En décembre 2018, le réseau social de partage de photos Fotolog a subi une fuite de données qui a exposé 16,7 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur et des empreintes de mots de passe SHA-256 non salées.
En novembre 2018, la plateforme de modpacks Minecraft connue sous le nom de Technic a subi une fuite de données. Technic a rapidement divulgué la fuite et indiqué que les données touchées comprenaient les adresses e-mail et IP de plus de 265 000 utilisateurs uniques, des journaux de discussion, des messages privés et des mots de passe stockés sous forme de condensats bcrypt avec un facteur…
Des attaquants ont dérobé la base de données clients du groupe de commerce en ligne polonais Morele.net, exposant les données d'environ 2,2 millions de clients et lançant une campagne de hameçonnage par SMS réclamant un faux « complément » de 1 PLN via une passerelle de paiement contrefaite. L'UODO polonais a infligé son amende RGPD record d'alors, de 660 000 EUR.
En novembre 2018, le chercheur en sécurité Bob Diachenko a identifié une base de données non protégée que l'on pensait être hébergée par un agrégateur de données. Après une enquête plus approfondie, les données ont été liées à la société de marketing Data & Leads.
En novembre 2018, le chercheur en sécurité Bob Diachenko a identifié une base de données non protégée hébergée par l'agrégateur de données « Adapt ». Fournisseur de « contacts de qualité à jour », le service a exposé plus de 9,3 M de dossiers uniques de personnes et d'informations sur leurs employeurs, dont leurs noms, employeurs, intitulés de poste,…
En novembre 2018, le service de bac à sable WordPress permettant de créer des sites web temporaires WP Sandbox a découvert que son service était utilisé pour héberger un site de phishing tentant de collecter des comptes Microsoft OneDrive.
En novembre 2018, la Società Italiana degli Autori ed Editori (Société italienne des auteurs et éditeurs, ou SIAE) a été piratée, défigurée et près de 4 Go de données ont été divulgués publiquement via Twitter. Les données comprenaient les noms, adresses e-mail et mots de passe de plus de 14 000 utilisateurs enregistrés.
En octobre 2018, le chercheur en sécurité Bob Diachenko a identifié plusieurs bases de données exposées contenant des centaines de millions d'enregistrements. L'un de ces ensembles de données était une instance Elasticsearch sur AWS contenant des données de prospects commerciaux et 5,8 millions d'adresses e-mail uniques.
Des retraits frauduleux chez BankIslami ont déclenché la plus grande fuite du secteur bancaire pakistanais, avec les détails de plus de 19 000 cartes de paiement de 22 banques mis en vente sur le forum de carding Joker's Stash et encaissés via des distributeurs et terminaux de paiement à l'étranger.
Une intrusion pluriannuelle dans les systèmes informatiques de Cathay Pacific a exposé les données personnelles de 9,4 millions de passagers dans le monde, dont des numéros de passeport et de pièce d'identité, valant à la compagnie aérienne l'amende maximale de 500 000 £ infligée par l'ICO britannique avant le RGPD.
En octobre 2018, le site d'éducation et de services de courtage en métaux précieux GoldSilver a subi une fuite de données qui a exposé 243 000 adresses e-mail uniques, couvrant à la fois des clients et des abonnés à la liste de diffusion.
En octobre 2018, le service de réservation de restaurants Eatigo a subi une fuite de données qui a exposé 2,8 millions de comptes. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone, des profils de réseaux sociaux, des genres et des mots de passe stockés sous forme d'empreintes MD5 non salées.
En octobre 2018, le service de télévision sur internet Pluto TV a subi une fuite de données qui a ensuite été largement partagée dans les communautés de pirates. Pluto TV « a décidé de ne pas informer proactivement les utilisateurs de la fuite » qui contenait 3,2 millions d'adresses e-mail et IP uniques, des noms, des noms d'utilisateur, des sexes, des dates de naissance…
En octobre 2018, le site dédié à la publication de photos dénudées et d'autres contenus érotiques d'épouses Wife Lovers a subi une fuite de données. La base de données sous-jacente alimentait au total 8 sites web pour adultes différents et contenait plus de 1,2 million d'adresses e-mail uniques.
En octobre et novembre 2018, le chercheur en sécurité Bob Diachenko a identifié plusieurs instances MongoDB non protégées que l'on pense hébergées par un agrégateur de données.
En octobre 2018, le service Minecraft russe VimeWorld a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un ensemble de données plus vaste. Les données comprenaient 3,1 millions d'enregistrements de noms d'utilisateur, d'adresses e-mail et IP et de mots de passe stockés sous forme de hachages MD5 ou bcrypt.
En septembre 2018, le chercheur en sécurité Bob Diachenko a découvert une vaste collection de données personnelles exposées dans une instance MongoDB non protégée. Les données semblent avoir été utilisées dans des campagnes marketing (probablement à des fins de spam) mais comportaient peu de données d'identification autres qu'une…
En septembre 2018, une collection de près de 42 millions de paires d'adresses e-mail et de mots de passe en clair a été téléversée sur le service anonyme de partage de fichiers kayo.moe.
En septembre 2018, l'application de rencontre Color Dating, destinée à mettre en relation des personnes d'origines ethniques différentes, a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un ensemble de données plus important. La fuite a exposé 220 000 adresses e-mail uniques ainsi que des biographies, des noms, des photos de profil et des hachages de mots de passe bcrypt.
En septembre 2018, le site allemand de réseau social Knuddels a subi une fuite de données. L'incident a exposé 808 k adresses e-mail uniques ainsi que des noms d'utilisateur, des noms réels, la ville de la personne et son mot de passe en clair. Knuddels a par la suite été condamné à une amende de 20 k€ pour cette fuite.
En avril 2024, plus d'un demi-million d'enregistrements provenant du site de jeux italien Multiplayer.it ont été publiés sur un forum de piratage populaire. Les données concernées comprenaient des adresses e-mail, des noms d'utilisateur et des empreintes de mots de passe MD5 salées.
En août 2018, la plateforme d'investissement en cryptomonnaie Atlas Quantum a subi une fuite de données. La fuite a divulgué les données personnelles de 261 000 investisseurs de la plateforme, notamment leurs noms, numéros de téléphone, adresses e-mail et soldes de compte.
En août 2018, le créateur de jeux interactifs furry pour adultes HTH Studios a subi une fuite de données touchant plusieurs référentiels de données clients. Plusieurs mois plus tard, les données sont apparues sur un forum de piratage populaire et comprenaient 411 000 adresses e-mail uniques ainsi que des adresses physiques et IP, des noms,…
En août 2018, l'entreprise de logiciels espions SpyFone a laissé des téraoctets de données exposés publiquement. Collectées subrepticement pendant que les cibles utilisaient leurs appareils, les données comprenaient des photos, des enregistrements audio, des messages texte et l'historique de navigation, exposés par le biais de plusieurs mauvaises configurations au sein…
À la mi-2018, le site de shopping de mode HauteLook figurait parmi un ensemble de sites compromis dont les données ont ensuite été vendues début 2019. Les données comprenaient plus de 28 millions d'adresses e-mail uniques ainsi que des noms, des genres, des dates de naissance et des mots de passe stockés sous forme d'empreintes bcrypt.
En août 2018, le site d'échange Roblox Rbx.Rocks a subi une fuite de données. Près de 25 000 enregistrements ont été envoyés à HIBP en novembre et comprenaient des noms, des adresses e-mail et des mots de passe stockés sous forme de hachages bcrypt. En juillet 2019, 125 000 enregistrements supplémentaires ont émergé, portant la taille totale de l'incident à 150 000.
En juillet 2018, le personnel du site de jeux Lanwar a découvert une fuite de données qui, selon eux, remonte à un moment au cours des mois précédents. Les données contenaient 45 k noms, adresses e-mail, noms d'utilisateur et mots de passe en clair.
La start-up d'engagement commercial Apollo a laissé en 2018 une base de données de 9 milliards de points de données et plus de 200 millions de fiches de contact exposée sans mot de passe ; un sous-ensemble de 126 millions d'adresses e-mail uniques a été intégré à Have I Been Pwned après sa découverte par le chercheur Vinny Troia.
En juillet 2018, le service de création de vidéos dans le cloud Animoto a subi une fuite de données. La fuite a exposé 22 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance, le pays d'origine et des hachages de mots de passe salés.
En juillet 2018, l'entreprise de commerce électronique britannique Fashion Nexus a subi une fuite de données qui a exposé 1,4 million d'enregistrements. Plusieurs sites web développés par sa société sœur White Room Solutions ont été touchés par la fuite, parmi lesquels des sites tels que Jaded London et AX Paris.
En juillet 2018, le service de marque-pages sociaux et de partage ShareThis a subi une fuite de données. L'incident a exposé 41 millions d'adresses e-mail uniques ainsi que des noms et, dans certains cas, des dates de naissance et des hachages de mots de passe.
Mi-2018, le service d'abonnement social de livres électroniques Bookmate figurait parmi une série de sites qui ont été compromis et dont les données ont ensuite été vendues début 2019. Les données comprenaient près de 4 millions d'adresses e-mail uniques aux côtés de noms, de genres, de dates de naissance et de mots de passe stockés sous forme de hachages SHA-512 salés.
Mi-2018, la communauté de photographie en ligne 500px a subi une fuite de données. L'incident a exposé près de 15 millions d'adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des genres, des dates de naissance et un hachage de mot de passe MD5 ou bcrypt.
En juillet 2018, le jeu en ligne massivement multijoueur Stronghold Kingdoms a subi une fuite de données. Près de 5,2 millions de comptes ont été touchés par l'incident, qui a exposé des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes SHA-1 salées.
En juillet 2018, le service de santé et de remise en forme 8fit a subi une fuite de données. Les données sont ensuite apparues en vente sur une place de marché du dark web en février 2019 et comprenaient plus de 15 M d'adresses e-mail uniques ainsi que des noms, des genres, des adresses IP et des mots de passe stockés sous forme de hachages bcrypt.
En juillet 2018, l'entreprise indienne de location de voitures en libre-service Zoomcar a subi une fuite de données qui a ensuite été vendue sur une place de marché du dark web en 2020. La fuite a exposé plus de 3,5 millions d'enregistrements, dont des noms, des adresses e-mail et IP, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes bcrypt.
La société de marketing de données Exactis a laissé une base de données de près de 340 millions d'enregistrements sur des particuliers et des entreprises exposée sur un serveur accessible publiquement, sans pare-feu. Chaque enregistrement contenait jusqu'à 400 champs de données de profilage personnel, des coordonnées à l'âge des enfants, en passant par la religion et les habitudes.
En juin 2018, le service World of Warcraft Light's Hope a subi une fuite de données qu'il a ensuite signalée lui-même à HIBP. Plus de 30 k utilisateurs uniques ont été touchés et leurs données exposées comprenaient des adresses e-mail, des dates de naissance, des messages privés et des mots de passe stockés sous forme de hachages bcrypt.
En juin 2018, le jeu de rôle en ligne massivement multijoueur (MMORPG) Mortal Online a subi une fuite de données. Un fichier contenant 570 000 adresses e-mail et mots de passe craqués a ensuite été distribué en ligne.
En juin 2018, le serveur de commande et de contrôle d'un botnet malveillant connu sous le nom de « Trik Spam Botnet » était mal configuré, exposant ainsi les adresses e-mail de plus de 43 millions de personnes.
En juin 2018, le Bureau de lutte contre la cybercriminalité de la police criminelle centrale estonienne a contacté HIBP et demandé de l'aide pour rendre consultable un ensemble de données de 655 000 adresses e-mail.
Victim
Estonian Citizens (via Estonian Cybercrime Bureau)
Mi-2018, le détaillant basé à Hong Kong Romwe a subi une fuite de données ayant exposé près de 20 millions de clients. Les données ont ensuite été vendues en ligne et incluent des noms, des numéros de téléphone, des adresses e-mail et IP, les localisations géographiques des clients et des mots de passe stockés sous forme de hachages SHA-1 salés.
En juin 2018, le détaillant de mode rapide SHEIN a subi une compromission de ses systèmes de paiement exposant environ 39 millions d'identifiants de comptes. En 2022, l'État de New York a infligé une amende de 1,9 million de dollars à la maison mère Zoetop pour avoir minimisé la fuite et omis d'avertir la plupart des victimes.
En mai 2018, le site web du service de distribution de billets Ticketfly a été défacé par un attaquant et a ensuite été mis hors ligne. L'attaquant aurait demandé une rançon pour partager les détails de la vulnérabilité avec Ticketfly mais n'a pas reçu de réponse et a par la suite publié les données de la fuite…
En mai 2018, le site de partage d'œuvres de fiction pour adultes connu sous le nom d'Adult-FanFiction.Org a vu 186 000 enregistrements exposés lors d'une fuite de données. Les données contenaient des noms, des adresses e-mail, des dates de naissance et des mots de passe stockés à la fois sous forme de hachages MD5 et en clair.
À la mi-2018, la plateforme de design d'intérieur Houzz a vu un fichier contenant des données utilisateurs récupéré par un tiers non autorisé. L'entreprise l'a appris fin 2018 et l'a divulgué début 2019. Environ 49 millions de comptes ont été exposés, dont des e-mails, des identifiants, des hachages de mots de passe salés et des localisations déduites de l'adresse IP.
En mai 2018, la place de marché de commerce social Poshmark a été piratée et environ 36 millions de comptes utilisateurs ont été exposés, dont des adresses e-mail, des noms, des identifiants, le genre, la localisation et des mots de passe hachés avec bcrypt. L'entreprise a confirmé l'incident en août 2019.
En mai 2018, le forum de piratage russe Lolzteam a subi une fuite de données qui a exposé 400 k membres. Les données touchées comprenaient des noms d'utilisateur et des adresses e-mail qui ont ensuite été redistribués via un autre forum de piratage.
En mai 2018, le site web sud-africain de consultation en ligne des amendes de circulation connu sous le nom de ViewFines a subi une fuite de données. Plus de 934 000 enregistrements contenant 778 000 adresses e-mail uniques ont été exposés et comprenaient des noms, des numéros de téléphone, des pièces d'identité officielles et des mots de passe stockés en clair.
En mai 2018, le forum de l'entreprise singapourienne de matériel informatique Creative Technology a subi une fuite de données qui a entraîné la divulgation de 483 000 adresses e-mail uniques. Fonctionnant sur une ancienne version de vBulletin, la fuite a également divulgué des noms d'utilisateur, des adresses IP et des hachages de mots de passe MD5 salés.
En mai 2018, le site web Linux Forums a subi une fuite de données qui a entraîné la divulgation de 276 k adresses e-mail uniques. Fonctionnant sur une ancienne version de vBulletin, la fuite a également divulgué des noms d'utilisateur, des adresses IP et des hachages de mots de passe MD5 salés.
Une violation de 2015 de la plateforme Zing du géant technologique vietnamien VNG a exposé environ 163 millions de comptes Zing ID, dont les identifiants, mots de passe, e-mails et numéros de téléphone se sont ensuite retrouvés en vente sur RaidForums.
L'entreprise de technologie éducative Chegg a révélé une fuite survenue en 2018 touchant environ 40 millions d'utilisateurs, exposant des e-mails, des noms et des hachages de mots de passe MD5 non salés ; la FTC a ensuite cité quatre fuites et ordonné à Chegg de revoir sa sécurité.
En avril 2018, le site de divertissement en ligne Funny Games a subi une fuite de données qui a divulgué 764 000 enregistrements, dont des noms d'utilisateur, des adresses e-mail et IP et des empreintes de mots de passe MD5 salées.
Des attaquants ont accédé aux systèmes de l'application de VTC Careem, basée à Dubaï, et volé les noms, courriels, numéros de téléphone et historiques de trajets d'environ 14 millions de passagers et 558 000 chauffeurs au Moyen-Orient, en Afrique du Nord et en Asie du Sud.
En avril 2018, une liste de credential stuffing contenant 111 millions d'adresses e-mail et de mots de passe, connue sous le nom de Pemiblanc, a été découverte sur un serveur français. La liste contenait des adresses e-mail et des mots de passe rassemblés à partir de différentes fuites de données et utilisés pour mener des attaques de prise de contrôle de comptes contre d'autres…
En avril 2018, la plateforme de gestion publicitaire connue sous le nom d'AerServ a subi une fuite de données. Rachetée par InMobi plus tôt dans l'année, la fuite d'AerServ a touché plus de 66 000 adresses e-mail uniques et comprenait également des coordonnées et des mots de passe stockés sous forme de hachages SHA-512 salés.
En avril 2018, la base de données d'art en ligne Artsy a subi une fuite de données qui est par conséquent apparue en vente sur une place de marché du dark web. Plus d'un million de comptes ont été touchés et comprenaient des adresses IP et e-mail, des noms et des mots de passe stockés sous forme de hachages SHA-512 salés.
En avril 2018, Emuparadise, qui se proclamait « le plus grand site de jeux rétro au monde », a subi une fuite de données. Le forum vBulletin compromis a exposé 1,1 million d'adresses e-mail, d'adresses IP, de noms d'utilisateur et de mots de passe stockés sous forme d'empreintes MD5 salées. Les données ont été fournies à HIBP par dehashed.com.
En mars 2018, Wendy's aux Philippines a subi une fuite de données qui a touché plus de 52 000 clients et candidats à l'emploi. La fuite a exposé de nombreuses informations personnelles, notamment des noms, des adresses e-mail et IP, des adresses physiques, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5.
En mars 2018, le site web zoophile connu sous le nom de Bestialitysextaboo a été piraté. Un ensemble de divers sites fonctionnant sur le même service ont également été compromis et les détails du piratage (y compris des liens vers les données) ont été publiés sur un forum populaire.
En février 2018, le site de photographie EyeEm a subi une fuite de données. La fuite a été identifiée au sein d'une collection d'autres incidents majeurs et a exposé près de 20 millions d'adresses e-mail uniques, des noms, des noms d'utilisateur, des biographies et des empreintes de mots de passe.
En février 2018, une vaste collection de près de 3 000 fuites de données présumées a été découverte en ligne. Bien que certaines de ces données aient déjà été vues dans Have I Been Pwned, 2 844 des fichiers, contenant plus de 80 millions d'adresses e-mail uniques, n'avaient jamais été observés auparavant.
En mars 2018, la Florida Virtual School (FLVS) a publié une notification de fuite de données sur son site web. L'école avait identifié une fuite de données survenue entre le 6 mai 2016 et le 12 février 2018, et un fichier XML contenant 368 000 enregistrements d'élèves a ensuite été retrouvé en circulation.
En février 2018, des données appartenant au site web automobile polonais autocentrum.pl ont été trouvées en ligne. Les données contenaient 144 000 adresses e-mail et mots de passe en texte clair.
Aux alentours de février 2018, le site d'emploi Jobandtalent a subi une fuite de données qui est ensuite apparue en vente avec d'autres fuites un an plus tard. L'incident a touché 11 millions d'abonnés et a exposé leurs noms, adresses e-mail et IP et des mots de passe stockés sous forme d'empreintes SHA-1 salées.
En février 2018, l'application MyFitnessPal d'Under Armour a été compromise, exposant environ 144 millions de comptes avec noms d'utilisateur, e-mails et mots de passe hachés via un mélange de SHA-1 et bcrypt ; les données ont ensuite été mises en vente par GnosticPlayers.
En janvier 2018, le site de modèles Joomla JoomlArt a exposé par inadvertance plus de 22 000 enregistrements clients uniques dans un ticket Jira. Les données exposées provenaient d'iJoomla et de JomSocial, deux services que JoomlArt avait acquis l'année précédente.
En janvier 2018, le site web immobilier indien PropTiger a subi une fuite de données qui a entraîné l'exposition d'un fichier de base de données de 3,46 Go, ensuite largement partagé sur un forum de piratage populaire 2 ans plus tard.
Le géant brésilien du e-commerce Netshoes a exposé les données personnelles — noms, identifiants fiscaux CPF, e-mails et historiques d'achat — d'environ 2 millions de clients, suscitant l'une des premières actions répressives majeures du parquet brésilien à la suite d'une violation de données.
En janvier 2018, le site de jeux pour enfants Club Penguin Rewritten (CPRewritten) a subi une fuite de données (remarque : CPRewritten est une recréation indépendante du jeu Club Penguin de Disney).
Des journalistes de Tribune India ont démontré que des intermédiaires rémunérés pouvaient fournir des dossiers Aadhaar complets — y compris des données d'identité liées à la biométrie d'environ 1,1 milliard de résidents indiens — pour 500 roupies par dossier.
Victim
Unique Identification Authority of India (UIDAI) / Aadhaar
Vers janvier 2018, une collection de plus de 464 000 enregistrements clients du détaillant en ligne indien DailyObjects a été divulguée en ligne. Les données comprenaient des noms, des adresses postales et e-mail, des numéros de téléphone et des « codes PIN » stockés en clair.
En janvier 2020, la place de marché de mode indienne Elanic a vu 2,8 millions d'enregistrements avec 2,3 millions d'adresses e-mail uniques publiés publiquement sur un forum de piratage populaire. Elanic a confirmé avoir « vérifié les données qui avaient été extraites de l'un de nos serveurs de test où ces données étaient exposées publiquement » et que les…
En décembre 2017, le site d'actualités boursières The Fly on the Wall a subi une fuite de données. Les données de la fuite comprenaient 84 000 adresses e-mail uniques ainsi que des historiques d'achat et des données de carte de crédit.
En décembre 2017, le tracker torrent danois connu sous le nom de HoundDawgs a subi une fuite de données. Plus de 55 Go de données ont été divulgués publiquement et, bien qu'il y ait eu initialement des controverses sur la gravité de l'incident, les données contenaient effectivement plus de 45 000 adresses e-mail uniques accompagnées de journaux détaillés…
En décembre 2017, le site de paroles de chansons connu sous le nom de Lyrics Mania a subi une fuite de données. Les données compromises comprenaient 109 000 noms d'utilisateur, adresses e-mail et mots de passe en clair. De nombreuses tentatives ont été faites pour contacter Lyrics Mania au sujet de l'incident, mais aucune réponse n'a été reçue.
En décembre 2017, le forum belge de motos 2fast4u a découvert une fuite de données dans son système. La fuite du forum vBulletin a touché plus de 17 000 utilisateurs et a exposé des adresses e-mail, des noms d'utilisateur et des mots de passe MD5 salés.
En décembre 2017, le service de livraison de produits pour animaux PetFlow a subi une fuite de données qui est par conséquent apparue en vente sur une place de marché du dark web. Près d'1 million de comptes ont été touchés et ont exposé des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 non salés.
Vers décembre 2017, le site d'édition de photos en ligne piZap a subi une fuite de données. Les données ont ensuite été mises en vente sur une place de marché du dark web avec un ensemble d'autres fuites de données en février 2019.
En décembre 2017, il a été découvert que l'application de clavier virtuel ai.type avait laissé une énorme quantité de données accessibles publiquement dans une instance MongoDB non sécurisée.
En décembre 2017, la boutique suisse de DVD en ligne connue sous le nom de dvd-shop.ch a subi une fuite de données. L'incident a conduit à l'exposition de 68 000 adresses e-mail et de mots de passe en clair. Le site a depuis été mis à jour pour indiquer qu'il est actuellement fermé.
En décembre 2017, le site d'achat de skins Counter-Strike connu sous le nom d'Open CS:GO (Counter-Strike: Global Offensive) a subi une fuite de données (l'adresse redirige depuis vers dropgun.com).
En novembre 2017, la base de données télévisuelle ouverte connue sous le nom de TheTVDB.com a subi une fuite de données. Les données de la fuite ont été publiées sur un forum de piratage et comprenaient 182 000 enregistrements avec des noms d'utilisateur, des adresses e-mail et des condensats de mots de passe MySQL.
Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.
Les données personnelles de 46,2 millions d'abonnés mobiles malaisiens — noms, numéros de carte d'identité, numéros de carte SIM et IMSI, et adresses provenant d'au moins une douzaine d'opérateurs et de MVNO — ont été divulguées et mises en vente en ligne, dans la plus grande fuite de données de l'histoire de la Malaisie.
Victim
Opérateurs mobiles malaisiens (Maxis, Celcom, DiGi, U Mobile et autres)
Le service de généalogie et de tests ADN MyHeritage a été compromis en octobre 2017, exposant environ 92 millions d'adresses e-mail de comptes et d'empreintes de mots de passe SHA-1 salées. L'incident n'a été découvert et divulgué qu'en juin 2018.
En mars 2019, le site web de commerce électronique indonésien Bukalapak a découvert une fuite de données de ses sauvegardes remontant à octobre 2017. L'incident a exposé environ 13 millions d'adresses e-mail uniques aux côtés d'adresses IP, de noms et de mots de passe stockés sous forme de hachages bcrypt et SHA-512 salés.
En octobre 2017, le service brésilien aujourd'hui disparu de récupération de sous-titres en portugais Legendas.TV a subi une fuite de données qui a exposé près de 4 M de fiches clients. Les données touchées comprenaient des noms, des noms d'utilisateur, des adresses e-mail et IP ainsi que des hachages SHA-1 non salés.
En avril 2018, le site Pokémon connu sous le nom de Smogon a annoncé avoir subi une fuite de données. La fuite remontait à septembre 2017 et touchait son forum basé sur XenForo. Les données exposées comprenaient des noms d'utilisateur, des adresses e-mail, des genres ainsi que des empreintes de mots de passe bcrypt et MD5.
En avril 2021, des pirates ont mis en vente des données provenant de la plateforme financière indienne en ligne Moneycontrol. Les données comprenaient 763 000 adresses e-mail uniques (prétendument un sous-ensemble d'une fuite plus large de 40 millions de comptes), ainsi que des localisations géographiques, des numéros de téléphone, des genres, des dates de naissance…
En août 2017, un spambot du nom d'Onliner Spambot a été identifié par le chercheur en sécurité Benkow moʞuƎq. Le logiciel malveillant comportait un composant serveur situé à une adresse IP aux Pays-Bas, qui exposait un grand nombre de fichiers contenant des informations personnelles.
En août 2017, le service de courtage de cryptomonnaies Coinmama a subi une fuite de données qui a touché 479 000 abonnés. La fuite a été découverte en février 2019, les données exposées comprenant des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 WordPress.
En septembre 2017, on a appris que Taringa avait subi une fuite de données exposant 28 millions d'enregistrements. Connu sous le nom de « Reddit latino-américain », l'avis de divulgation de la fuite de Taringa indiquait que l'incident remontait au mois d'août de la même année.
En juillet 2017, le site de commerce électronique tchèque MALL.cz a subi une fuite de données à la suite de laquelle 735 000 comptes uniques comprenant des adresses e-mail, des noms, des numéros de téléphone et des mots de passe ont été publiés en ligne.
Au milieu de l'année 2017, une liste de spam de plus de 105 millions de personnes appartenant à l'Amérique des entreprises a été découverte en ligne. Désignée sous le nom de « B2B USA Businesses », la liste classait les adresses e-mail par employeur, fournissant des informations sur les intitulés de poste des personnes ainsi que leurs numéros de téléphone professionnels et leurs adresses postales.
Un contrat d'externalisation informatique bâclé a exposé l'intégralité de la base de données suédoise des véhicules et des permis de conduire — y compris des données sur des identités protégées, des policiers et des militaires — à des informaticiens étrangers non habilités, déclenchant une crise politique nationale.
Victim
Agence suédoise des transports (Transportstyrelsen)
En juin 2017, le service de playlists en ligne connu sous le nom de 8Tracks a subi une fuite de données qui a touché 18 millions de comptes. Dans sa communication, 8Tracks a indiqué que « le vecteur de l'attaque était le compte GitHub d'un employé, qui n'était pas sécurisé par une authentification à deux facteurs ».
En juin 2017, une base de données non sécurisée contenant plus de 10 millions de VIN (numéros d'identification de véhicule) a été découverte par des chercheurs. Provenant vraisemblablement de concessionnaires automobiles américains, les données comprenaient une multitude d'informations personnelles et de données de véhicules ainsi que 397 000 adresses e-mail uniques.
En mai 2017, le site de guide de restaurants Zomato a été piraté, entraînant l'exposition de près de 17 millions de comptes. Les données ont par la suite été redistribuées en ligne et contiennent des adresses e-mail, des noms d'utilisateur et des empreintes MD5 salées de mots de passe (l'empreinte du mot de passe n'était pas présente sur tous les comptes).
En mai 2017, le site de partage de polices DaFont a subi une fuite de données entraînant l'exposition de 637 000 enregistrements. Prétendument due à une vulnérabilité d'injection SQL exploitée par plusieurs parties, les données exposées comprenaient des noms d'utilisateur, des adresses e-mail et des mots de passe stockés en MD5 sans salage.
En mai 2017, l'entreprise de télécommunications canadienne Bell a subi une fuite de données entraînant l'exposition de millions de dossiers clients. Les données ont par conséquent été divulguées en ligne, accompagnées d'un message de l'attaquant déclarant qu'il « rendait publique une partie importante des données de Bell.ca en raison du…
En mai 2017, la plateforme éducative Edmodo a été piratée, entraînant l'exposition de 77 millions d'enregistrements comprenant plus de 43 millions d'adresses e-mail uniques de clients. Les données ont par conséquent été publiées sur un forum de piratage populaire et mises à disposition gratuitement.
En octobre 2020, la société de données applicatives Reincubate a subi une fuite de données ayant exposé une sauvegarde de novembre 2017 (l'enregistrement le plus récent des données datait de plusieurs mois auparavant). Les données comprenaient plus de 616 000 adresses e-mail uniques, des noms et des mots de passe stockés sous forme de hachages PBKDF2.
En mai 2017, la plateforme de partage de fichiers Ge.tt a subi une fuite de données. Les données ont ensuite été mises en vente sur une place de marché du dark web en février 2019, aux côtés de nombreuses autres fuites.
En avril 2017, le forum vBulletin du jeu Underworld Empire a subi une fuite de données qui a exposé 429 000 comptes. Les données ont ensuite été publiées sur un forum de piratage à la mi-février 2018, où elles ont été mises à disposition en téléchargement.
En mars 2017, le jeu Flash basé sur le jeu de cartes à collectionner Yu-Gi-Oh nommé Dueling Network a subi une fuite de données. Le site lui-même avait été mis hors ligne en 2016 à la suite d'une mise en demeure, mais le forum est resté en ligne une année supplémentaire.
En mars 2017, le site français de colocation connu sous le nom d'Appartoo a subi une fuite de données. L'incident a exposé une grande quantité d'informations personnelles concernant près de 50 000 membres, notamment des adresses e-mail, des genres, des âges, des messages privés échangés entre les utilisateurs du service et des mots de passe stockés sous forme de SHA-256…
En mars 2017, le service de télémarketing Health Now Networks a laissé exposée une base de données contenant des centaines de milliers de dossiers médicaux. Au total, plus de 900 000 enregistrements contenaient d'importants volumes d'informations personnelles, dont des noms, des dates de naissance, diverses pathologies et…
En mars 2017, un fichier contenant 8 millions de lignes de données prétendument issues de l'agrégateur de données Factual a été compilé puis échangé sous prétexte qu'il s'agissait d'une « fuite ». Les données contenaient 2,5 millions d'adresses e-mail uniques ainsi que des noms d'entreprises, des adresses et des numéros de téléphone.
En mars 2017, un fichier de sauvegarde de base de données de 27 Go nommé « Master Deeds » a été envoyé à HIBP par un soutien du projet. Après une analyse détaillée plus tard dans l'année, le fichier s'est avéré contenir les données personnelles de dizaines de millions de résidents sud-africains vivants et décédés.
En 2016, l'entreprise de cinéma sud-africaine Ster-Kinekor présentait une faille de sécurité qui a divulgué une grande quantité de données clients via une vulnérabilité d'énumération dans l'API de son ancien site web.
Aux alentours de mars 2017, le site web de partage de fichiers Bolt a subi une fuite de données entraînant l'exposition de 995 000 dossiers d'utilisateurs uniques. Les données provenaient de son forum vBulletin et contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe MD5 salés.
En février 2017, l'éditeur de logiciels de surveillance d'appareils mobiles Retina-X a été piraté et des données clients ont été téléchargées avant d'être effacées de ses serveurs.
En février 2017, des centaines de milliers de dossiers du festival de musique Coachella ont été découverts en vente en ligne. Prétendument issues d'une combinaison du site principal de Coachella et de leur forum de discussion basé sur vBulletin, les données comprenaient près de 600 000 noms d'utilisateur, adresses IP et e-mail et…
En février 2017, le forum du site pour adultes FreeOnes a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. Les données comprenaient 960 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.
En janvier 2017, l'hébergeur gratuit de services cachés Freedom Hosting II a subi une fuite de données. L'attaque aurait mis hors ligne 20 % des sites du dark web fonctionnant derrière les services cachés Tor, l'attaquant affirmant que sur les 10 613 sites touchés, plus de 50 % du contenu était de la pédopornographie.
En décembre 2018, le site de science des données DataCamp a subi une fuite de données remontant à janvier 2017. L'incident a exposé 760 000 adresses e-mail et IP uniques ainsi que des noms et des mots de passe stockés sous forme de hachages bcrypt.
En janvier 2019, le jeu MMO et RPG aujourd'hui disparu SwordFantasy a subi une fuite de données qui a exposé 2,7 millions d'adresses e-mail uniques. Les autres données touchées comprenaient le nom d'utilisateur, l'adresse IP et des condensats MD5 salés de mots de passe.
En janvier 2016, un grand nombre de forums vBulletin non corrigés ont été compromis par un acteur connu sous le nom de « CrimeAgency ». Au total, 140 forums ont vu leurs données, notamment des noms d'utilisateur, des adresses e-mail et des mots de passe (principalement stockés sous forme de hachages MD5 salés), extraites puis diffusées.
Aux alentours de janvier 2017, la boutique de cosmétiques Sephora a subi une fuite de données. Touchant des clients d'Asie du Sud-Est, d'Australie et de Nouvelle-Zélande, 780 000 adresses e-mail uniques étaient incluses dans la fuite ainsi que des noms, des genres, des dates de naissance, des origines ethniques et d'autres informations personnelles.
En janvier, CloudPets, le fabricant d'ours en peluche qui enregistrent la voix des enfants et l'envoient à la famille et aux amis via internet, a laissé sa base de données exposée publiquement, et celle-ci a ensuite été téléchargée par des tiers (les données ont également fait l'objet de 3 demandes de rançon différentes).
À une date inconnue, aux alentours de 2017, le service indien de formation et d'évaluation connu sous le nom de Hub4Tech a subi une fuite de données via une attaque par injection SQL. L'incident a exposé près de 37 000 adresses e-mail uniques et des mots de passe stockés sous forme d'empreintes MD5 non salées.
Aux alentours de janvier 2017, le site de fans de Lady Gaga connu sous le nom de « Little Monsters » a subi une fuite de données qui a touché 1 million de comptes. Les données contenaient des noms d'utilisateur, des adresses e-mail, des dates de naissance et des hachages bcrypt des mots de passe.
Mi-2019, la nouvelle d'une présumée fuite de données chez LiveJournal a éclaté. Elle faisait suite à de multiples signalements d'abus d'identifiants visant Dreamwidth à partir de 2018, un fork de LiveJournal partageant une part importante de sa base d'utilisateurs.
Début 2017, le forum du site web de jeux R2 Games a été piraté. R2 était déjà apparu sur HIBP en 2015 après un incident précédent. Celui-ci a exposé plus d'un million de comptes utilisateurs uniques et les hachages de mots de passe MD5 correspondants, sans sel.
En janvier 2017, un immense trésor de données provenant de River City Media a été découvert exposé en ligne. Les données contenaient près de 1,4 milliard d'enregistrements, dont des adresses e-mail et IP, des noms et des adresses physiques, le tout utilisé dans le cadre d'une gigantesque opération de spam.
Aux alentours de 2017, le site web destiné aux russophones en Amérique connu sous le nom de Russian America a subi une fuite de données. L'incident a exposé 183 000 enregistrements uniques comprenant des noms, des adresses e-mail, des numéros de téléphone et des mots de passe stockés à la fois en clair et sous forme de hachages MD5.
En janvier 2017, la société de services de téléphonie automatisée Victory Phones a laissé une base de données MongoDB accessible publiquement sans mot de passe. Par la suite, 213 Go de données ont été téléchargés par une partie non autorisée, dont des noms, des adresses, des numéros de téléphone et plus de 166 000 adresses e-mail uniques.
En décembre 2016, plus de 200 millions de « profils d'enrichissement de données » ont été trouvés en vente sur le darknet. Le vendeur prétendait que les données provenaient d'Experian et, bien que cette affirmation ait été rejetée par l'entreprise, les données elles-mêmes se sont avérées légitimes, suggérant qu'elles pouvaient provenir d'autres…
En décembre 2016, une énorme liste de paires d'adresses e-mail et de mots de passe est apparue dans une « combo list » désignée sous le nom d'« Anti Public ». La liste contenait 458 millions d'adresses e-mail uniques, dont beaucoup avec plusieurs mots de passe différents piratés depuis divers systèmes en ligne.
En décembre 2016, le forum de la plateforme publique de calcul distribué basée sur la blockchain Ethereum a subi une fuite de données. La base de données contenait plus de 16 000 adresses e-mail uniques ainsi que des adresses IP, des messages privés de forum et des mots de passe hachés (majoritairement) en bcrypt.
En décembre 2016, un attaquant a compromis le site web de PayAsUGym, exposant les données personnelles de plus de 400 000 clients. Les données ont par conséquent été divulguées publiquement et largement diffusées via Twitter.
En décembre 2016, le forum du site Mr Excel, dédié aux astuces et solutions Microsoft Excel, a subi une fuite de données. Le piratage du forum vBulletin a conduit à l'exposition de plus de 366 000 comptes ainsi que des adresses e-mail et IP, des dates de naissance et des mots de passe salés hachés en MD5.
En décembre 2016, le forum du site web de biohacking Biohack.me a subi une fuite de données qui a exposé 3 400 comptes. Les données comprenaient des noms d'utilisateur, des adresses e-mail et des mots de passe hachés ainsi que les messages privés des membres du forum. Les données ont été soumises à HIBP par les opérateurs de Biohack.me eux-mêmes.
Fin 2016, le site de jeu de mode Fashion Fantasy Game a subi une fuite de données. L'incident a exposé 2,3 millions de comptes utilisateurs uniques et les empreintes de mots de passe MD5 correspondantes sans sel. Les données ont été transmises à Have I Been Pwned grâce à rip@creep.im.
Vers décembre 2016, le service en ligne de serveurs privés World of Warcraft Warmane a subi une fuite de données. L'incident a exposé plus de 1,1 million de comptes comprenant des noms d'utilisateur, des adresses e-mail, des dates de naissance et des hachages MD5 salés des mots de passe.
Fin 2016, la principale plateforme vidéo en ligne chinoise Youku a subi une fuite de données exposant environ 92 millions de comptes utilisateur uniques ainsi que des noms d'utilisateur et des mots de passe hachés en MD5, qui ont ensuite circulé sur des places de marché du dark web.
En novembre 2016, on a appris que des pirates échangeaient les détails de centaines de milliers de comptes pornographiques xHamster. Au total, les données contenaient près de 380 000 enregistrements d'utilisateurs uniques comprenant des adresses e-mail, des noms d'utilisateur et des hachages MD5 non salés des mots de passe.
Vers novembre 2016, la société de gestion de l'optimisation pour les moteurs de recherche RankWatch a exposé publiquement une base de données MongoDB sans mot de passe, à la suite de quoi ses données ont été exfiltrées et publiées sur un forum en ligne.
En juin 2017, on a appris que CashCrate avait subi une fuite de données exposant 6,8 millions de dossiers. La compromission du site de rémunération contre sondages remontait à novembre 2016 et a exposé des noms, des adresses postales, des adresses e-mail et des mots de passe stockés en texte clair pour les anciens comptes, ainsi que de faibles hachages MD5…
En novembre 2016, le développeur de jeux Suba Games a subi une fuite de données qui a entraîné l'exposition de 6,1 millions d'adresses e-mail uniques. Les données concernées comprenaient également des noms d'utilisateur et des mots de passe, dont la plupart circulaient en clair dans le fichier compromis après avoir été craqués à partir d'empreintes MD5 salées.
En octobre 2016, le service de bannissement Minecraft connu sous le nom de MCBans a subi une fuite de données entraînant l'exposition de 120 000 enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des empreintes de mots de passe de format inconnu.
En octobre 2016, l'entreprise de divertissement pour adultes Friend Finder Networks a subi une fuite de données massive. L'incident a touché plusieurs ressources en ligne distinctes détenues par l'entreprise, la plus importante étant le site Adult FriendFinder, présenté comme « la plus grande communauté sexe et échangiste au monde ».
Fin 2016, une énorme liste de paires d'adresses e-mail et de mots de passe est apparue dans une « combo list » désignée sous le nom d'« Exploit.In ». La liste contenait 593 millions d'adresses e-mail uniques, dont beaucoup avec plusieurs mots de passe différents piratés à partir de divers systèmes en ligne.
En octobre 2016, des données prétendument obtenues auprès du site web chinois GFAN ont fait surface et contenaient 22,5 millions de comptes. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En octobre 2016, un volumineux fichier Mongo DB contenant des dizaines de millions de comptes a été partagé publiquement sur Twitter (le fichier a depuis été supprimé). La base de données contenait plus de 58 millions d'adresses e-mail uniques ainsi que des adresses IP, des noms, des adresses postales, des genres, des intitulés de poste, des dates de naissance et des numéros de téléphone…
En octobre 2016, la plateforme française de partage de vidéos Dailymotion a été victime d'une fuite exposant environ 85,2 millions de comptes utilisateurs, avec adresses email et noms d'utilisateur, et des hachages bcrypt de mots de passe pour près de 18 millions d'entre eux.
Vers octobre 2016, le site Pokémon espagnol Pokémon Negro a subi une fuite de données. L'attaque a entraîné la divulgation de 830 000 comptes comprenant des adresses e-mail et IP ainsi que des mots de passe en texte clair. Pokémon Negro n'a pas répondu lorsqu'il a été contacté au sujet de la fuite.
En septembre 2016, des données prétendument obtenues du site de jeux chinois connu sous le nom d'Aipai.com et contenant 6,5 M de comptes ont été divulguées en ligne. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
Deux fuites distinctes — révélées en 2016 mais remontant à 2013 et 2014 — ont exposé l'intégralité des comptes Yahoo existants. Trois milliards de comptes : la plus grande exposition de données d'une seule entreprise de l'histoire.
En août 2016, il a été signalé que le service de création et d'hébergement de serveurs Minecraft Pocket Edition connu sous le nom de Leet avait subi une fuite de données qui a touché 6 millions d'abonnés.
En septembre 2016, le nouveau site web eThekwini eServices en Afrique du Sud a été lancé avec plusieurs failles de sécurité qui ont conduit à la fuite des informations personnelles et des factures de services publics de plus de 98 000 résidents, réparties sur 82 000 adresses e-mail uniques.
En septembre 2016, le site d'investissement immobilier Real Estate Mogul a vu une instance MongoDB compromise et 5 Go de données téléchargés par une partie non autorisée. Les données contenaient des annonces immobilières incluant des adresses ainsi que les noms, numéros de téléphone et 308 000 adresses e-mail uniques des vendeurs.
En septembre 2016, des données auraient été obtenues depuis le site chinois connu sous le nom de uuu9.com et contenaient 7,5 millions de comptes. Bien qu'il existe des preuves que les données sont authentiques, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En septembre 2016, plus de 16 Go de journaux provenant d'un service identifié comme étant digimon.co.in ont été obtenus, très probablement à partir d'une instance MongoDB non protégée. Le service a cessé de fonctionner peu de temps après et aucune information ne subsiste sur sa nature précise.
En septembre 2016, le site de rémunération au clic ClixSense a subi une fuite de données qui a exposé 2,4 millions d'identités d'abonnés. Les données compromises ont ensuite été publiées en ligne par les attaquants qui affirmaient qu'il s'agissait d'un sous-ensemble d'une fuite de données plus importante totalisant 6,6 millions de dossiers.
En septembre 2016, près de 21 Go de données du site web français utilisé comme « moyen normalisé et décentralisé d'échange pour la publication d'articles de newsgroups » NemoWeb ont été divulgués à partir de ce qui semble avoir été une base Mongo DB non protégée.
En 2016, une liste de plus de 33 millions de personnes du monde de l'entreprise américaine provenant du service NetProspex de Dun & Bradstreet a été divulguée en ligne. D&B estiment que ces données de marketing ciblé ont été perdues par un client qui les leur avait achetées.
En août 2016, l'éditeur suisse en libre accès connu sous le nom de MDPI a vu 17,5 Go de données obtenues à partir d'une instance Mongo DB non protégée. Les données contenaient des échanges d'e-mails entre MDPI et ses auteurs et relecteurs, comprenant 845 000 adresses e-mail uniques.
En août 2016, le forum du site de fans de Pocket PC PPCGeeks a subi une fuite de données qui a exposé plus de 490 000 enregistrements. La fuite du forum vBulletin a exposé des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des mots de passe stockés sous forme de hachages MD5 salés.
En août 2016, le site de recrutement technologique GeekedIn a laissé une base de données MongoDB exposée et plus de 8 millions d'enregistrements ont été extraits par un tiers inconnu. Les données compromises avaient été initialement récupérées sur GitHub en violation de ses conditions d'utilisation et contenaient des informations exposées dans des profils publics,…
En août 2016, le forum d'Epic Games a subi une fuite de données, prétendument due à une vulnérabilité d'injection SQL dans vBulletin. L'attaque a entraîné l'exposition de 252 000 comptes, comprenant des noms d'utilisateur, des adresses e-mail et des empreintes MD5 salées de mots de passe.
En août 2016, le forum Unreal Engine a subi une fuite de données, prétendument due à une vulnérabilité d'injection SQL dans vBulletin. L'attaque a entraîné l'exposition de 530 000 comptes, dont des noms d'utilisateur, des adresses e-mail et des hachages MD5 salés des mots de passe.
En août 2016, le forum de jeu russe connu sous le nom de Cross Fire (ou cfire.mail.ru) a été piraté, ainsi qu'un certain nombre d'autres forums du fournisseur de messagerie russe mail.ru. Le forum vBulletin contenait 12,8 millions de comptes, notamment des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 salés.
En août 2016, le site de jeux russe connu sous le nom de Пара Па (ou parapa.mail.ru) a été piraté, de même que plusieurs autres forums hébergés par le fournisseur de messagerie russe mail.ru. Le forum vBulletin contenait 4,9 millions de comptes, dont des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 salés.
En août 2016, l'application mobile permettant de « tout comparer » connue sous le nom de Wishbone a subi une fuite de données. Les données contenaient 9,4 millions d'enregistrements avec 2,2 millions d'adresses e-mail uniques et constituaient prétendument un sous-ensemble de l'ensemble de données complet.
En août 2016, les données compromises du forum vBulletin de GSM-Hosting sont apparues en vente aux côtés de dizaines d'autres services piratés. La fuite a touché 2,6 millions d'utilisateurs du service et comprenait des adresses e-mail et IP, des identifiants et des empreintes MD5 salées de mots de passe.
En août 2016, le forum Grand Theft Auto GTAGaming a été piraté et près de 200 000 comptes utilisateurs ont été divulgués. Le forum, basé sur vBulletin, comprenait des identifiants, des adresses e-mail et des empreintes de mots de passe.
En juillet 2016, le site d'actualités sur les jeux DLH.net a subi une fuite de données qui a exposé 3,3 millions d'identités d'abonnés. Outre les clés utilisées pour échanger et activer des jeux sur la plateforme Steam, la fuite a également entraîné l'exposition d'adresses e-mail, de dates de naissance et de hachages de mots de passe MD5 salés.
En août 2016, Roblox a divulgué une fuite de données ayant affecté plus de 50 000 utilisateurs. L'incident de sécurité a touché des adresses e-mail et IP, des noms d'utilisateur, des achats et des soldes de Robux laissés exposés sur un serveur de test.
En juillet 2016, un pirate connu sous le nom de Phineas Fisher a piraté le parti au pouvoir en Turquie (le Parti de la justice et du développement, ou « AKP ») et a obtenu l'accès à 300 000 e-mails. L'intégralité du contenu de ces e-mails a ensuite été publiée par WikiLeaks et rendue consultable.
En juin 2016, le site social pour adolescents connu sous le nom de i-Dressup a été piraté et plus de 2 millions de comptes utilisateurs ont été exposés. Au moment où le piratage a été signalé, les exploitants de i-Dressup étaient injoignables et la faille d'injection SQL sous-jacente restait ouverte, exposant prétendument un total de 5,5 millions de comptes.
En juillet 2016, le forum du jeu "Clash of Kings" a subi une fuite de données qui a touché 1,6 million d'abonnés. Les données concernées comprenaient des noms d'utilisateur, des adresses IP et e-mail et des mots de passe stockés sous forme de hachages MD5. Les données ont été fournies à HIBP par dehashed.com.
En juillet 2016, le forum officiel des développeurs de Dota2 a subi une fuite de données qui a exposé près de 2 millions d'utilisateurs. Le piratage du forum vBulletin a entraîné la divulgation d'adresses e-mail et IP, de noms d'utilisateur et de mots de passe stockés sous forme de hachages MD5 salés.
En juillet 2016, le site de rencontres musulman Shadi.com a subi une fuite de données ayant exposé les adresses e-mail de plus de 2 millions de membres. La fuite a également exposé des mots de passe stockés sous forme de hachages MD5 ainsi que leurs équivalents en clair.
En juillet 2016, une fuite de données du forum de bases de données désormais disparu « dBforums » est apparue en vente aux côtés de plusieurs autres piratés à la société mère, Penton.
En juillet 2016, le site Mac Forums, qui se présentait comme « The Ultimate Source For Your Mac », a subi une fuite de données. Le système basé sur vBulletin a exposé plus de 326 000 noms d'utilisateur, adresses e-mail et IP, dates de naissance et mots de passe stockés sous forme d'empreintes MD5 salées.
En 2016, le site dédié à aider les internautes à pirater des comptes de messagerie et de jeux en ligne, connu sous le nom d'Abusewith.us, a subi plusieurs fuites de données. Le site aurait eu un administrateur en commun avec le tristement célèbre site LeakedSource, tous deux ayant depuis été fermés.
Vers la mi-2016, le forum communautaire de cracking connu sous le nom de CrackingForum a subi une fuite de données. Le forum basé sur vBulletin a exposé 660 000 adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés.
En juillet 2016, le service de livraison de repas basé en Inde FreshMenu a subi une fuite de données. L'incident a exposé les données personnelles de plus de 110 000 clients et comprenait leurs noms, adresses e-mail, numéros de téléphone, adresses postales et historiques de commandes.
En juillet 2016, le site d'anime Funimation a subi une fuite de données qui a touché 2,5 millions de comptes. Les données contenaient des noms d'utilisateur, des adresses e-mail, des dates de naissance et des empreintes SHA1 salées de mots de passe.
Début 2017, GPS Underground figurait parmi un ensemble de sites web vBulletin compromis trouvés en vente en ligne. La fuite remontait à la mi-2016 et comprenait 670 000 enregistrements avec des identifiants, des adresses e-mail et IP, des dates de naissance et des empreintes MD5 salées de mots de passe.
En juillet 2016, le site aujourd'hui disparu Kaneva, le service permettant de « construire et explorer des mondes virtuels », a subi une fuite de données qui a exposé 3,9 millions d'enregistrements utilisateurs. Les données comprenaient des adresses e-mail, des noms d'utilisateur, des dates de naissance et des empreintes de mots de passe MD5 salées.
En juillet 2016, le site désormais disparu de listes de jeux en ligne gratuits OnRPG a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. L'incident a exposé un peu plus d'1 million d'adresses e-mail et IP, ainsi que des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En 2016, le réseau mondial de jeu en LAN aujourd'hui disparu Tunngle a subi une fuite de données qui a exposé 8,2 millions d'adresses e-mail uniques. Les données compromises comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.
En juillet 2016, le forum Web Hosting Talk a subi une fuite de données qui a ensuite été mise en vente. La fuite du forum basé sur vBulletin a exposé 515 000 enregistrements d'utilisateurs comprenant des noms d'utilisateur, des adresses e-mail, des adresses IP et des hachages MD5 salés des mots de passe.
Vers juin 2016, le site immobilier StreetEasy a subi une fuite de données. Au total, 988 000 adresses e-mail uniques figuraient dans la fuite, accompagnées de noms, de noms d'utilisateur et d'empreintes SHA-1 de mots de passe, l'ensemble ayant été mis en vente sur une place de marché du dark web en février 2019.
À la mi-2016, le service d'annuaire téléphonique et d'adresses Whitepages faisait partie d'une série de sites dont les données ont été compromises puis vendues début 2019. Les données comprenaient plus de 11 millions d'adresses e-mail uniques ainsi que des noms et des mots de passe stockés sous forme de hachage SHA-1 ou bcrypt.
En juin 2016, le site de rencontres Muslim Match a vu 150 000 adresses e-mail exposées. Les données comprenaient des discussions et des messages privés entre personnes en quête de relations ainsi que de nombreux autres attributs personnels, dont des mots de passe hachés en MD5.
En juin 2016, le site HLTV, « la référence du Counter Strike compétitif », a été piraté et 611 000 comptes ont été exposés. L'attaque a entraîné l'exposition des noms, noms d'utilisateur, adresses e-mail et empreintes bcrypt des mots de passe.
En juin 2016, le studio de développement de jeux Facepunch a subi une fuite de données qui a exposé 343 000 utilisateurs. Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail et IP, des dates de naissance et des empreintes de mots de passe MD5 salées. Facepunch a indiqué avoir eu connaissance de l'incident et en avoir averti les personnes concernées à l'époque.
En juin 2016, le jeu multijoueur en ligne Evony a été piraté et plus de 29 millions de comptes uniques ont été exposés. L'attaque a entraîné l'exposition de noms d'utilisateur, d'adresses e-mail et IP et d'empreintes MD5 de mots de passe (sans sel).
Vers la mi-2016, le service italien de création de forums connu sous le nom de ForumCommunity a subi une fuite de données. L'incident a touché plus de 776 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des empreintes de mots de passe MD5 non salées. Aucune réponse n'a été reçue de ForumCommunity lorsqu'il a été contacté.
Vers juillet 2016, le site de mangas connu sous le nom de mangafox.me a subi une fuite de données. Le forum basé sur vBulletin a exposé 1,3 million de comptes comprenant des noms d'utilisateur, des adresses e-mail et IP, des dates de naissance et des empreintes de mots de passe MD5 salées.
En juin 2016, l'application Facebook connue sous le nom d'Uiggy a été piratée et 4,3 millions de comptes ont été exposés, dont 2,7 millions étaient associés à une adresse e-mail. Les comptes divulgués ont également exposé des noms, des genres et l'identifiant Facebook des propriétaires.
Les identifiants d'environ 360 millions de comptes MySpace antérieurs à 2013 ont été mis en vente sur le dark web en 2016. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés, rendant trivialement cassable l'une des plus grandes fuites d'identifiants jamais divulguées.
En mai 2015, près de 100 000 enregistrements d'utilisateurs ont été extraits du site de torrents hongrois connu sous le nom de Teracod. Les données ont ensuite été découvertes en cours de partage par torrent et comprenaient des adresses e-mail, des mots de passe, des messages privés entre membres et l'historique d'appairage des adresses IP utilisant le service.
En juillet 2016, un tweet a été publié avec un lien vers une présumée fuite de données de BlueSnap, une passerelle de paiement et un fournisseur de comptes marchands mondial. Les données contenaient 324 000 enregistrements de paiement répartis sur 105 000 adresses e-mail uniques et incluaient des attributs personnels tels que le nom, l'adresse du domicile et le numéro de téléphone.
En mai 2016, le site de jeux en ligne Army Force Online a subi une fuite de données qui a exposé 1,5 million de comptes. Les données compromises se trouvaient régulièrement échangées en ligne et comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe MD5.
En mai 2016, le site Fur Affinity destiné aux personnes s'intéressant aux personnages animaux anthropomorphes (également connus sous le nom de « furries ») a été piraté. L'attaque a exposé 1,2 million d'adresses e-mail (de nombreux comptes avaient une adresse « première » et « dernière » différente associée) et des mots de passe hachés.
Quelque temps avant mai 2016, le forum connu sous le nom de « Rosebutt Board » a été piraté et 107 000 comptes ont été exposés. Ce forum se décrivant comme le « premier forum pour les amateurs de fisting anal, de prolapsus, d'insertions énormes et de rosebutt » a vu des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe MD5 salés faiblement stockés piratés…
En mai 2016, le service de serveur multijoueur pour Minecraft Shotbow a annoncé avoir subi une fuite de données. L'incident a entraîné l'exposition de plus d'un million d'adresses e-mail uniques, de noms d'utilisateur et de hachages de mots de passe SHA-256 salés.
En mai 2016, le forum de la communauté de cracking connu sous le nom de Nulled.cr a été piraté et 599 000 comptes utilisateurs ont été divulgués publiquement. Les données compromises comprenaient des adresses e-mail et IP, des hachages de mots de passe MD5 salés faibles et des centaines de milliers de messages privés entre membres.
En mai 2016, le forum de jeux vietnamien GameVN a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. Les données divulguées du forum basé sur XenForo comprenaient 1,4 million d'adresses e-mail uniques, des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.
Une archive de 1,4 Go contenant des fichiers internes, des dossiers de comptes clients et près d'un million de numéros de cartes de paiement stockés en clair a été diffusée en ligne, incluant des dossiers sur la famille royale Al Thani du Qatar, le personnel d'Al Jazeera et des cibles de renseignement présumées.
En avril 2016, le service de livraison de repas en ligne Foodora a subi une fuite de données qui a ensuite été largement redistribuée en ligne. La fuite comprenait les informations personnelles de centaines de milliers de clients de plusieurs pays, dont leurs noms, adresses de livraison, numéros de téléphone et…
En avril 2016, des données clients provenant de l'application de streaming connue sous le nom de « 17 » ont été mises en vente sur une place de marché d'un service caché Tor. Les données contenaient plus de 4 millions d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 non salés.
Une base de données MongoDB mal configurée a laissé l'intégralité du fichier électoral national mexicain — 93,4 millions d'enregistrements comprenant noms, adresses, dates de naissance et numéros d'identité nationale — accessible publiquement sur le cloud d'Amazon, sans mot de passe, pendant des mois.
Victim
Instituto Nacional Electoral (INE) — registre électoral mexicain
Aux alentours d'avril 2016, la société KnownCircle, spécialisée dans « l'automatisation marketing pour les agents et les prestataires de services professionnels », a vu un grand volume de données récupéré par une partie externe.
Une base de données de 6,6 Go contenant les numéros d'identité nationaux, noms complets, noms des parents, adresses et dates de naissance de 49,6 millions de citoyens turcs a été divulguée en clair en ligne, exposant la quasi-totalité de la population adulte.
Vers avril 2016, le site web de jeux Guns and Robots a subi une fuite de données entraînant l'exposition de 143 000 enregistrements uniques. Les données contenaient des adresses e-mail et IP, des identifiants et des empreintes SHA-1 de mots de passe.
Des pirates ont défiguré le site web de la Commission électorale des Philippines et divulgué l'intégralité de sa base de données d'inscription des électeurs — des dossiers sur environ 55 millions d'électeurs, dont 15,8 millions d'empreintes digitales et 1,3 million de numéros de passeport d'expatriés — dans l'une des plus grandes fuites gouvernementales jamais survenues.
En janvier 2021, des données provenant de plusieurs services compromis, dont Tuned Global, ont été diffusées sur un forum de piratage public. La fuite semble remonter à 2016 et comprend 985 000 enregistrements contenant des adresses e-mail, des noms, un petit nombre d'adresses postales et de numéros de téléphone, ainsi que des mots de passe stockés…
En mars 2016, le site web pour adultes Naughty America a été piraté et les données ont ensuite été vendues en ligne. La fuite comprenait des données provenant de nombreux systèmes avec divers attributs d'identité personnelle, le plus volumineux d'entre eux contenant des mots de passe stockés sous forme d'empreintes MD5 facilement craquables.
En mars 2016, le service de protection contre les attaques DDoS Staminus a été « massivement piraté », entraînant une panne de plus de 20 heures et la divulgation des identifiants de clients (avec des empreintes MD5 non salées), de tickets de support, de numéros de carte de crédit et d'autres données sensibles.
En mars 2016, le développeur de jeux polonais CD Projekt RED a subi une fuite de données. Le piratage de leur forum a entraîné l'exposition de près de 1,9 million de comptes ainsi que de noms d'utilisateur, d'adresses e-mail et de mots de passe SHA1 salés.
En février 2016, le portail et service de messagerie russe KM.RU a été la cible d'une attaque qui a ensuite été détaillée sur Reddit. Protestant prétendument contre « la politique étrangère de la Russie à l'égard de l'Ukraine », KM.RU faisait partie de plusieurs sites russes touchés par la fuite et a impacté près de 1,5 M de comptes…
En février 2016, le site de rencontres mate1.com a subi une énorme fuite de données entraînant la divulgation des informations de plus de 27 millions d'abonnés. Les données comprenaient des informations profondément personnelles sur leur vie privée, notamment leurs habitudes de consommation de drogue et d'alcool, leurs niveaux de revenus et leurs fétiches sexuels, ainsi que…
En février 2016, la société de jeux russe Nival a été la cible d'une attaque qui a ensuite été détaillée sur Reddit. Protestant prétendument contre « la politique étrangère de la Russie à l'égard de l'Ukraine », Nival faisait partie de plusieurs sites russes touchés par la fuite et a vu plus de 1,5 million de comptes compromis, comprenant…
En février 2016, le mod de simulation de camionnage en ligne TruckersMP a subi une fuite de données qui a exposé 84 000 comptes utilisateurs. Pour la première fois sur « Have I Been Pwned », les données compromises ont été soumises directement par l'organisation elle-même victime de la fuite.
En février 2016, le site web de la distribution Linux connue sous le nom de Linux Mint a été piraté et l'ISO infectée par une porte dérobée. Le site hébergeait également un forum phpBB qui a ensuite été mis en vente avec près de 145 k adresses e-mail, mots de passe et autres informations personnelles d'abonnés.
En février 2016, le site slovaque de suivi de torrents SkTorrent a été piraté et plus de 117 000 enregistrements ont été divulgués en ligne. Le dump de données comprenait des noms d'utilisateur, des adresses e-mail et des mots de passe stockés en clair.
Vers février 2016, des données prétendument obtenues auprès de V-Tight Gel (gel de resserrement vaginal) ont fait surface. Bien que l'ensemble de données ait été intitulé V-Tight, il contenait 50 autres noms de domaine (majoritairement liés au bien-être), pour la plupart détenus par la même entité.
En février 2016, le jeu de rythme musical connu sous le nom de Flash Flash Revolution a été piraté et 1,8 million de comptes ont été exposés. Outre les adresses e-mail et IP, le forum vBulletin a également exposé des empreintes de mots de passe MD5 salées.
Vers janvier 2016, le site Minecraft World Map, conçu pour partager des cartes créées pour le jeu, a été piraté et plus de 71 000 comptes d'utilisateurs ont été exposés. Les données comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe salés et hachés.
Début 2016, le forum du client BitTorrent uTorrent a subi une fuite de données qui a été révélée plus tard dans l'année. La base de données du forum basé sur IP.Board contenait 395 000 comptes, dont des noms d'utilisateur, des adresses e-mail et des hachages de mots de passe MD5 sans sel.
En janvier 2016, le site web d'esport Battlefy a subi une fuite de données qui a exposé 83 000 enregistrements de clients. Les données touchées comprenaient des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages bcrypt.
En janvier 2016, le revendeur de comptes piratés EpicNPC a subi une fuite de données qui a affecté 409 000 abonnés. Les données concernées comprenaient des noms d'utilisateur, des adresses IP et e-mail et des mots de passe stockés sous forme d'empreintes MD5 salées. Les données ont été fournies à HIBP par dehashed.com.
Aux alentours de 2016, le site web d'animés Anime-Planet a subi une fuite de données qui a touché 369 000 abonnés. Les données exposées comprenaient des noms d'utilisateur, des adresses IP et e-mail, des dates de naissance et des mots de passe stockés sous forme de hachages MD5 non salés et, pour les comptes plus récents, de hachages bcrypt.
En janvier 2016, le forum du célèbre logiciel de torrent BitTorrent a été piraté. Le forum basé sur IP.Board stockait les mots de passe sous forme de faibles hachages SHA1 salés et les données compromises comprenaient également des noms d'utilisateur, des adresses e-mail et IP.
En janvier 2016, le site de jeu D3Scene a subi une fuite de données. Le forum vBulletin compromis a exposé 569 000 adresses e-mail, adresses IP, noms d'utilisateur et mots de passe stockés sous forme de hachages MD5 salés. Les données ont été fournies à HIBP par dehashed.com.
En janvier 2016, la communauté Minecraft connue sous le nom de Lifeboat a été piratée et plus de 7 millions de comptes ont fuité. Lifeboat a eu connaissance de l'incident pendant trois mois avant que la fuite ne soit rendue publique, mais a choisi de ne pas avertir ses clients.
Vers janvier 2016, la communauté Android britannique connue sous le nom de MoDaCo a subi une fuite de données qui a exposé 880 000 identités d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes MD5 salées.
En janvier 2016, le monde virtuel en ligne connu sous le nom d'Onverse a été piraté et 800 000 comptes ont été exposés. Outre des adresses e-mail et IP, le site a également exposé des hachages de mots de passe MD5 salés.
Mi-2015, le site Minecraft néerlandais ServerPact a été piraté et 73 000 comptes ont été exposés. Outre des dates de naissance et des adresses e-mail et IP, le site a également exposé des hachages de mots de passe SHA1 utilisant le nom d'utilisateur comme sel.
Vers début 2016, le site de jeu Xpgamesaves (XPG) a subi une fuite de données entraînant l'exposition de 890 000 enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés des mots de passe.
En décembre 2015, l'application de messagerie instantanée Trillian a subi une fuite de données. La fuite a été révélée en juillet 2016 et a exposé divers attributs de données personnelles, dont des noms, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 salés.
Vers la fin de 2015, le créateur de « produits de marketing à la performance » QuinStreet a vu un certain nombre de ses ressources en ligne compromises. L'attaque a touché 28 sites distincts, principalement des forums technologiques tels que flashkit.com, codeguru.com et webdeveloper.com (consultez la liste complète des sites).
En décembre 2015, le service de création et d'exécution de serveurs Minecraft gratuits connu sous le nom d'Aternos a subi une fuite de données qui a touché 1,4 million d'abonnés. Les données comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe hachés.
Fin 2015, le site technologique et social DaniWeb a subi une fuite de données. L'attaque a entraîné la divulgation de 1,1 million de comptes, notamment des adresses e-mail et IP, accompagnées de hachages MD5 salés des mots de passe.
Un pirate se faisant appeler Hacker Buba a compromis InvestBank, basée à Sharjah, exigé une rançon de 3 millions de dollars, puis divulgué des dizaines de milliers de dossiers clients — dont numéros de cartes de crédit, passeports et détails de comptes — lorsque la banque a refusé de payer.
Fin 2015, la communauté d'anime connue sous le nom de Nihonomaru a vu son forum vBulletin piraté et 1,7 million de comptes exposés. Les données compromises comprenaient des adresses e-mail et IP, des noms d'utilisateur et des empreintes de mots de passe salées.
Vers la fin de 2015, le forum de programmation programmingforums.org a subi une fuite de données entraînant l'exposition de 707 000 enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés de mots de passe.
En décembre 2015, le forum dédié aux discussions sur les photos de célébrités nues connu sous le nom de « The Fappening » (nommé d'après les fuites iCloud de 2014) a été compromis et 179 000 comptes ont été divulgués. Les données de membres exposées comprenaient des noms d'utilisateur, des adresses e-mail et des condensats salés de mots de passe.
En novembre 2015, près de 270 000 comptes du forum de support MajorGeeks ont été compromis. Les comptes étaient activement vendus et échangés en ligne et comprenaient des adresses e-mail, des empreintes de mots de passe salées et des adresses IP.
En novembre 2015, le site de rencontres Beautiful People a été piraté et plus de 1,1 million de comptes ont été divulgués. Les données s'échangeaient dans des cercles clandestins et comprenaient une énorme quantité d'informations personnelles liées aux rencontres.
En novembre 2015, le fournisseur américain d'internet et de télévision par câble Comcast a subi une fuite de données qui a exposé 590 000 adresses e-mail de clients et mots de passe en texte clair. 27 000 comptes supplémentaires comportaient des adresses postales, l'ensemble des données étant vendu sur des forums clandestins.
En novembre 2015, un service d'Ancestry connu sous le nom de RootsWeb a subi une fuite de données. La fuite n'a été découverte qu'à la fin de 2017, lorsqu'un fichier contenant près de 300 000 adresses e-mail et mots de passe en texte clair a été identifié.
Fin 2015, le site de correspondants en ligne InterPals a vu son site web piraté et 3,4 millions de comptes exposés. Les données compromises comprenaient des adresses e-mail, des localisations géographiques, des dates de naissance et des empreintes de mots de passe salées.
En novembre 2015, le salon de discussion en ligne connu sous le nom de « xat » a été piraté et 6 millions de comptes d'utilisateurs ont été exposés. Utilisées comme moteur de discussion sur des sites web, les données divulguées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe hachés.
En novembre 2015, l'éditeur de logiciels de forum vBulletin a subi une grave fuite de données. L'attaque a entraîné la divulgation de comptes d'utilisateurs de forums ainsi que de comptes clients, totalisant près de 519 000 enregistrements.
En novembre 2015, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 776 000 dossiers d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés des mots de passe.
Fin 2015, le site web de jeux R2Games a été piraté et plus de 2,1 millions d'enregistrements personnels divulgués. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
En octobre 2015, le site de torrents Mac-Torrents a été piraté et près de 94 000 noms d'utilisateur, adresses e-mail et mots de passe ont été divulgués. Les mots de passe étaient hachés en MD5 sans sel.
En octobre 2015, le forum de discussion PHP PHP Freaks a été piraté et 173 000 comptes utilisateurs ont été divulgués publiquement. La fuite comprenait plusieurs attributs de données personnelles ainsi que des mots de passe salés et hachés.
Vers octobre 2015, le site web de manga Go Games a subi une fuite de données. Les données exposées comprenaient 3,4 millions d'enregistrements clients incluant des adresses e-mail et IP, des identifiants et des mots de passe stockés sous forme d'empreintes MD5 salées. Go Games n'a pas répondu lorsqu'il a été contacté au sujet de l'incident.
Vers octobre 2015, le forum de jeux en ligne connu sous le nom de Gamerzplanet a été piraté et plus de 1,2 million de comptes ont été exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme d'empreintes salées au moyen d'une implémentation faible permettant d'en craquer rapidement un grand nombre.
En octobre 2015, le site de piratage de jeux multijoueurs MPGH a été piraté et 3,1 millions de comptes d'utilisateurs ont été divulgués. La fuite du forum vBulletin contenait des noms d'utilisateur, des adresses e-mail, des adresses IP et des empreintes de mots de passe salées.
En octobre 2015, le détaillant de stéroïdes anabolisants NapsGear a subi une fuite de données. Une grande quantité d'informations personnelles sur 287 000 clients a été exposée, notamment des adresses e-mail, des noms, des adresses, des numéros de téléphone, des historiques d'achat et des empreintes de mots de passe MD5 salées.
En octobre 2015, un jeu de données attribué au fournisseur de messagerie chinois NetEase (163.com et 126.com) a fait surface, exposant prétendument environ 234 millions d'adresses e-mail et de mots de passe en clair. NetEase a nié toute fuite ; HIBP classe l'incident comme non vérifié.
Entre la mi et la fin 2015, une liste de spam connue sous le nom de Special K Data Feed a été découverte, contenant près de 31 millions d'identités. Les données incluent des attributs personnels tels que des noms, des adresses physiques et IP, des genres, des dates de naissance et des numéros de téléphone. En savoir plus sur les listes de spam dans HIBP.
En octobre 2015, le site de financement participatif Patreon a été piraté et plus de 16 Go de données ont été divulgués publiquement. Le dump comprenait près de 14 Go d'enregistrements de base de données avec plus de 2,3 millions d'adresses e-mail uniques, des millions de messages personnels et des mots de passe stockés sous forme de hachages bcrypt.
Vers septembre 2015, le forum PSP de PlayStation connu sous le nom de PSP ISO a été piraté et près de 1,3 million de comptes exposés. Outre des adresses e-mail et IP, le forum vBulletin a également exposé des hachages de mots de passe MD5 salés.
En septembre 2015, le forum Nintendo Wii U connu sous le nom de WIIU ISO a été piraté et 458 000 comptes ont été exposés. Outre des adresses e-mail et IP, le forum vBulletin a également exposé des hachages MD5 salés des mots de passe.
Vers septembre 2015, le forum XBOX 360 connu sous le nom de XBOX360 ISO a été piraté et 1,2 million de comptes ont été exposés. Outre des adresses e-mail et IP, le forum vBulletin a également exposé des hachages MD5 salés des mots de passe.
En septembre 2015, le forum de discussion Final Fantasy connu sous le nom de FFShrine a été compromis et les données ont été publiées publiquement. Environ 620 000 enregistrements ont été divulgués, contenant des adresses e-mail, des adresses IP et des empreintes salées de mots de passe.
En septembre 2015, l'agence d'évaluation du crédit et courtier en données de consommation basé aux États-Unis Experian a subi une fuite de données qui a affecté 15 millions de clients ayant sollicité un financement auprès de T-Mobile.
En septembre 2015, le site de voyeurisme non consenti « The Candid Board » a subi une fuite de données. Le piratage du forum vBulletin a conduit à l'exposition de plus de 178 000 comptes ainsi que d'adresses e-mail et IP, de dates de naissance et de mots de passe salés hachés avec MD5.
En avril 2021, une sauvegarde de base de données accessible publiquement datant de 2015 de la société d'études de marché ClearVoice Surveys a été récupérée et redistribuée sur un forum de piratage populaire.
En août 2015, le site de partage et de marque-pages de vidéos sociales MyVidster a été piraté et près de 20 000 comptes ont été divulgués en ligne. La fuite comprenait des noms d'utilisateur, des adresses e-mail et des mots de passe hachés.
En août 2015, le service de narration StoryBird a subi une fuite de données exposant 4 millions d'enregistrements avec 1 million d'adresses e-mail uniques. Les données concernées comprenaient également des noms, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes PBKDF2. Les données ont été fournies à HIBP par dehashed.com.
En juillet 2015, le site Pokémon français Pokébip a subi une fuite de données qui a exposé 657 000 identités d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 sans sel.
Un groupe se nommant l'Impact Team a piraté le site de rencontres adultères Ashley Madison, puis a divulgué les données de compte d'environ 32 millions d'utilisateurs — noms, e-mails, préférences sexuelles et historiques de paiement — après que la société mère Avid Life Media a refusé de fermer le site.
Vers la mi-2015, l'application de suivi musical Soundwave a subi une fuite de données. La fuite provenait d'un incident au cours duquel « des données de production avaient été utilisées pour remplir la base de données de test », qui a ensuite été exposée par inadvertance dans une base MongoDB.
En juillet 2015, le site de torrents Seedpeer a été piraté et 282 000 enregistrements de membres ont été exposés. Les données incluaient des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 faibles.
En juillet 2015, le forum IP.Board du site de jeu WildStar a subi une fuite de données qui a exposé les comptes de plus de 738 000 membres du forum. Les données étaient activement échangées sur des forums clandestins et comprenaient des adresses e-mail, des dates de naissance et des mots de passe.
En juillet 2015, la chaîne suédoise de vidéoclubs Hemmakväll a été piratée et près de 50 000 enregistrements ont été divulgués publiquement. Les données divulguées comprenaient divers attributs de leurs clients, notamment des adresses e-mail et postales, des noms et des numéros de téléphone.
En juillet 2015, la société de sécurité italienne Hacking Team a subi une fuite de données majeure qui a entraîné la publication en ligne de plus de 400 Go de ses données via un torrent. Les données consultables sur « Have I Been Pwned? » proviennent des 189 Go de dossiers de courrier PST contenus dans le dump.
En juillet 2015, le dépôt Cydia connu sous le nom de myRepoSpace a été piraté et les données des utilisateurs divulguées publiquement. Cydia est conçu pour faciliter l'installation d'applications sur des appareils iOS jailbreakés.
En juillet 2015, le forum de discussion du centre multimédia Plex a été piraté et plus de 327 000 comptes exposés. Le forum IP.Board comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
Vers la mi-2015, le forum de CheapAssGamer.com a subi une fuite de données. La base de données du forum basé sur IP.Board contenait 445 000 comptes, dont des noms d'utilisateur, des adresses e-mail et IP et des hachages de mots de passe MD5 salés.
Au cours de l'année 2015, le forum iPmart (désormais connu sous le nom de Mobi NUKE) a été piraté et les informations de plus de 2 millions de membres du forum ont été exposées. Le forum vBulletin comprenait des adresses IP, des dates de naissance et des mots de passe stockés sous forme d'empreintes salées utilisant une implémentation faible permettant d'en craquer rapidement un grand nombre.
Vers juillet 2015, le forum de hacks et de mods pour Sony PlayStation connu sous le nom de PS3Hax a été piraté et plus de 447 000 comptes exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
À un moment en 2015, le site suédois de magie SvenskaMagic a subi une fuite de données qui a exposé plus de 30 000 enregistrements. Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail et des empreintes de mots de passe MD5. Les données ont été soumises elles-mêmes à HIBP par SvenskaMagic.
En juin 2015, le serveur Minecraft français connu sous le nom de Minefield a été piraté et 188 000 enregistrements de membres ont été exposés. Le forum IP.Board comprenait des adresses e-mail et IP, des dates de naissance et des mots de passe stockés sous forme d'empreintes salées via une implémentation faible permettant d'en craquer rapidement un grand nombre.
En juin 2015, le fabricant de manettes de jeu personnalisées Scuf Gaming a subi une fuite de données. L'incident a exposé 129 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des noms d'affichage, des adresses IP et des hachages de mots de passe.
À la mi-2016, il est allégué que le site web pour adultes connu sous le nom d'Eroticy a été piraté. Près de 1,4 million de comptes uniques ont été trouvés en circulation fin 2016, contenant une multitude d'informations personnelles allant des adresses e-mail aux numéros de téléphone en passant par les mots de passe en clair.
En mai 2015, le forum Minecraft Pocket Edition a été piraté et plus de 16 000 comptes ont été divulgués publiquement. Prétendument piratées par @rmsg0d, les données du forum comprenaient de nombreuses informations personnelles pour chaque utilisateur. Le forum a depuis été mis hors service.
En mai 2015, le forum Bitcoin Talk consacré au Bitcoin a été piraté et plus de 500 000 adresses e-mail uniques ont été exposées. L'attaque a entraîné l'exposition d'une multitude de données personnelles, dont des noms d'utilisateur, des adresses e-mail et IP, des genres, des dates de naissance, des questions de sécurité et des hachages MD5 de leurs réponses ainsi que des hachages de…
En mai 2015, le site de rencontres pour adultes Adult FriendFinder a été piraté et près de 4 millions d'enregistrements ont été publiés publiquement. La fuite de données comprenait des informations personnelles extrêmement sensibles sur les personnes, leur statut relationnel et leurs préférences sexuelles, combinées à des données personnelles identifiables.
En mai 2015, le site automobile indien connu sous le nom de Gaadi a vu 4,3 millions d'enregistrements exposés lors d'une fuite de données. Les données contenaient des noms d'utilisateur, des adresses e-mail et IP, des genres, la ville des utilisateurs ainsi que des mots de passe stockés à la fois en clair et sous forme d'empreintes MD5.
En mai 2015, le logiciel de « surveillance » connu sous le nom de mSpy a subi une importante fuite de données. Le logiciel (prétendument souvent utilisé pour espionner des victimes sans méfiance) stockait de nombreuses informations personnelles au sein de son service en ligne qui, après avoir été compromises, ont été rendues librement accessibles sur Internet.
En mai 2015, Спрашивай.ру (le site russe d'avis anonymes) aurait vu 6,7 millions de données d'utilisateurs exposées par un pirate connu sous le nom de « w0rm ».
En mai 2015, le site web polonais de modélisation 3D connu sous le nom d'Evermotion a subi une fuite de données entraînant l'exposition de 435 000 enregistrements d'utilisateurs uniques. Les données provenaient d'un forum vBulletin et contenaient des adresses e-mail, des noms d'utilisateur, des dates de naissance et des empreintes MD5 salées de mots de passe.
Mi-2015, le forum des fournisseurs de serveurs dédiés abordables connu sous le nom de Kimsufi a subi une fuite de données. Le forum vBulletin contenait plus d'un demi-million de comptes, comprenant des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe stockés sous forme de hachages MD5 salés.
Au milieu de l'année 2015, le forum de l'hébergeur connu sous le nom d'OVH a subi une fuite de données. Le forum vBulletin contenait 453 000 comptes comprenant des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme de hachages MD5 salés.
En avril 2015, la Telecom Regulatory Authority of India (TRAI) a publié des dizaines de milliers d'e-mails envoyés par des citoyens indiens en faveur de la neutralité du net dans le cadre de la campagne SaveTheInternet.
Début 2015, une liste de spam connue sous le nom de SC Daily Phone a fait surface, contenant près de 33 millions d'identités. Les données incluent des attributs personnels tels que des noms, des adresses physiques et IP, des genres, des dates de naissance et des numéros de téléphone. En savoir plus sur les listes de spam dans HIBP.
Début 2015, le site suédois d'actualités technologiques SweClockers a été piraté et 255 000 comptes ont été exposés. L'attaque a entraîné l'exposition de noms d'utilisateur, d'adresses e-mail et de condensats salés de mots de passe stockés avec une combinaison de MD5 et SHA512.
En mars 2015, le site de jeux Snail a subi une fuite de données qui a touché 1,4 million d'abonnés. Les données concernées comprenaient des noms d'utilisateur, des adresses IP et e-mail ainsi que des mots de passe stockés sous forme d'empreintes MD5 non salées. Les données ont été fournies à HIBP par dehashed.com.
Vers mars 2015, l'hébergeur web gratuit 000webhost a subi une fuite de données majeure qui a exposé près de 15 millions de dossiers clients. Les données ont été vendues et échangées avant que 000webhost ne soit alerté en octobre. La fuite comprenait des noms, des adresses e-mail et des mots de passe en clair.
Probablement début 2015, le site de jeux vidéo GameTuts a subi une fuite de données et plus de 2 millions de comptes utilisateurs ont été exposés. Le site a ensuite fermé en juillet 2016 mais il a été identifié comme ayant été hébergé sur un forum vBulletin.
En mars 2015, le forum d'anime et de manga HongFire a subi une fuite de données. Le piratage de leur forum vBulletin a entraîné l'exposition de 1 million de comptes ainsi que des adresses e-mail et IP, noms d'utilisateur, dates de naissance et mots de passe MD5 salés.
En février 2015, la base de données du fournisseur d'accès Internet moldave « StarNet » a été publiée en ligne. Le dump comprenait près de 140 000 adresses e-mail, dont beaucoup étaient accompagnées de détails personnels incluant des coordonnées, des habitudes d'utilisation du FAI et même des numéros de passeport.
Vers février 2015, le site de financement immobilier MyFHA a subi une fuite de données qui a divulgué les informations personnelles de près d'un million de personnes.
En février 2015, le forum suédois connu sous le nom de Flashback a vu des données internes sensibles concernant 40 000 membres publiées par le tabloïd Aftonbladet. Les données auraient été vendues à ce dernier par Researchgruppen (le Groupe de recherche), qui a pour habitude de révéler l'identité d'utilisateurs autrement anonymes, principalement ceux…
Vers février 2015, le forum Sony PlayStation connu sous le nom de PSX-Scene a été piraté et plus de 340 000 comptes exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
Vers février 2015, le forum Xbox connu sous le nom de Xbox-Scene a été piraté et plus de 432 000 comptes ont été exposés. Le forum IP.Board comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible permettant d'en déchiffrer rapidement un grand nombre.
En janvier 2015, le collectif de pirates connu sous le nom de « Lizard Squad » a créé un service de DDoS appelé « Lizard Stresser » qui pouvait être acheté pour mener des attaques contre des cibles en ligne.
En 2015, le forum indépendant désormais disparu consacré à la série animée Bleach a subi une fuite de données qui a exposé 144 000 dossiers d'utilisateurs. Les données touchées comprenaient des noms d'utilisateur, des adresses e-mail et des hachages de mots de passe MD5 salés.
En décembre 2014, l'organisation d'e-sport connue sous le nom de Team SoloMid a été piratée et 442 000 comptes de membres ont été divulgués. Les comptes comprenaient des adresses e-mail et IP, des noms d'utilisateur et des condensats salés de mots de passe.
En novembre 2014, le site sur l'acné acne.org a subi une fuite de données qui a exposé plus de 430 000 comptes de membres du forum. Les données étaient activement échangées sur des forums clandestins et comprenaient des adresses e-mail, des dates de naissance et des mots de passe.
En novembre 2014, le jeu en ligne Warframe a été piraté et 819 000 adresses e-mail uniques ont été exposées. Prétendument due à une faille d'injection SQL dans Drupal, l'attaque a exposé des noms d'utilisateur, des adresses e-mail et des données dans une colonne « pass » correspondant au modèle de hachage de mot de passe SHA12 salé utilisé par Drupal 7.
En novembre 2014, le forum Malwarebytes a été piraté et 111 000 enregistrements de membres ont été exposés. Le forum basé sur IP.Board comprenait des adresses e-mail et IP, des dates de naissance et des mots de passe stockés sous forme d'empreintes salées via une implémentation faible permettant d'en craquer rapidement un grand nombre.
En novembre 2014, le forum de Bot of Legends a subi une fuite de données. Le forum IP.Board contenait 238 000 comptes, dont des noms d'utilisateur, des adresses e-mail et IP et des mots de passe stockés sous forme de hachages MD5 salés.
En octobre 2014, le site de triches de jeux connu sous le nom de ILikeCheats a subi une fuite de données qui a exposé 189 000 comptes. Le forum basé sur vBulletin a divulgué des noms d'utilisateur, des adresses IP et e-mail et des empreintes MD5 faibles des mots de passe. Les données ont été fournies avec le soutien de dehashed.com.
Les attaquants ont exploité un serveur dépourvu d'authentification à deux facteurs pour compromettre plus de 90 serveurs de JPMorgan Chase et dérober les coordonnées de 76 millions de foyers et 7 millions de petites entreprises — l'une des plus importantes intrusions jamais subies par une institution financière américaine.
En octobre 2014, le forum belge d'actualités sur les jeux 9Lives (aujourd'hui disparu) a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus large. La fuite a exposé 109 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des hachages de mots de passe MD5 salés.
En octobre 2014, la plateforme d'échange de Bitcoin BTC-E a été piratée et 568 000 comptes ont été exposés. Les données comprenaient des adresses e-mail et IP, des soldes de portefeuille et des mots de passe hachés.
Vers septembre 2014, le service de réseau social aujourd'hui disparu Tout a subi une fuite de données. La fuite est apparue plusieurs années plus tard et comprenait 653 000 adresses e-mail uniques, des noms, des adresses IP, la localisation de l'utilisateur, sa biographie et des mots de passe stockés sous forme de hachages bcrypt.
En septembre 2014, plusieurs grandes fuites de comptes utilisateurs sont apparues sur le Russian Bitcoin Security Forum, dont une comportant près de 5 millions d'adresses e-mail et de mots de passe, principalement sur le domaine mail.ru.
En septembre 2014, une fuite massive de comptes de Yandex, le géant russe des moteurs de recherche qui propose également des services de messagerie, a été révélée. Le million de comptes prétendument « compromis » a été divulgué en même temps que près de 5 millions de comptes mail.ru, les deux entreprises affirmant que les identifiants étaient…
En septembre 2014, le jeu en ligne Bin Weevils a subi une fuite de données. Bien qu'il ait initialement été déclaré que seuls les noms d'utilisateur et les mots de passe avaient été exposés, un article ultérieur sur DataBreaches.net a indiqué qu'un ensemble plus large d'attributs personnels avait été touché (des commentaires y suggèrent également que les données…
Vers septembre 2014, le site web de bots RuneScape Powerbot a subi une fuite de données entraînant l'exposition de plus d'un demi-million d'enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés de mots de passe.
En août 2014, le forum de piratage Roblox Vermillion a subi une fuite de données qui a exposé plus de 8 000 enregistrements d'abonnés. La fuite du forum MyBB a exposé des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des hachages de mots de passe salés.
En août 2022, des millions d'enregistrements de la banque mexicaine « Banorte » ont été publiquement divulgués sur un forum de piratage populaire, notamment 2,1 millions d'adresses e-mail uniques, des adresses postales, des noms, des numéros de téléphone, des numéros RFC (fiscaux), des genres et des soldes bancaires.
En août 2014, le site de régime et de nutrition diet.com a subi une fuite de données entraînant l'exposition de 1,4 million d'enregistrements d'utilisateurs uniques remontant jusqu'à 2004.
En août 2014, le site web de RPG Pokémon Pokémon Creed a été piraté à la suite d'un différend avec le site rival, Pokémon Dusk. Dans une publication sur Facebook, « Cruz Dusk » a annoncé le piratage puis a divulgué la base de données MySQL extraite sur pkmndusk.in.
En juillet 2014, le forum iOS Insanelyi a été piraté par un attaquant connu sous le nom de Kim Jong-Cracks. Source d'informations populaire pour les utilisateurs d'appareils iOS jailbreakés sous Cydia, la fuite d'Insanelyi a divulgué plus de 104 000 adresses e-mail d'utilisateurs, noms d'utilisateur et mots de passe faiblement hachés (MD5 salé).
En février 2017, le site web des forces de l'ordre PoliceOne a confirmé avoir subi une fuite de données. La fuite contenait plus de 700 000 comptes qui sont apparus en vente auprès d'un courtier en données et comprenait des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe MD5 salés.
En juin 2014, le forum d'optimisation pour les moteurs de recherche Black Hat World a vu trois quarts de million de comptes compromis depuis son système. La fuite comprenait divers attributs personnellement identifiables qui ont été rendus publics sous la forme d'un script de base de données MySQL.
En juin 2014, le site de torrents Sumo Torrent a été piraté et 285 000 enregistrements de membres ont été exposés. Les données comprenaient des adresses IP, des adresses e-mail et des mots de passe stockés sous forme d'empreintes MD5 faibles.
En juin 2014, Domino's Pizza en France et en Belgique a été piraté par un groupe se faisant appeler « Rex Mundi » et leurs données clients ont été prises en otage contre rançon. Domino's a refusé de payer la rançon et six mois plus tard, les attaquants ont publié les données ainsi que des trésors d'autres comptes piratés.
En juin 2014, le site d'échange de mangas Mangatraders.com a vu les noms d'utilisateur et les mots de passe de plus de 900 000 utilisateurs divulgués sur Internet (environ 855 000 des adresses e-mail étaient uniques). Les mots de passe étaient faiblement hachés avec une seule itération de MD5, ce qui les rendait vulnérables et faciles à craquer.
En mai 2014, le forum de l'antivirus Avast a été piraté et 423 000 enregistrements de membres ont été exposés. Le forum basé sur Simple Machines comprenait des noms d'utilisateur, des e-mails et des hachages de mots de passe.
Les attaquants ont utilisé un petit nombre d'identifiants d'employés compromis pour accéder au réseau d'entreprise d'eBay et exfiltrer une base de données couvrant les 145 millions d'utilisateurs — noms, mots de passe chiffrés, adresses e-mail et postales, numéros de téléphone et dates de naissance.
En mai 2014, l'entreprise de gestion de liens Bitly a annoncé avoir subi une fuite de données. La fuite contenait plus de 9,3 millions d'adresses e-mail uniques, de noms d'utilisateur et de mots de passe hachés, la plupart utilisant SHA1 et un petit nombre utilisant bcrypt.
En mai 2014, plus de 25 000 comptes utilisateurs ont été compromis sur le site asiatique pour personnes lesbiennes, gays, bisexuelles et transgenres connu sous le nom de « Fridae ». L'attaque, annoncée sur Twitter, semble avoir été orchestrée par Deletesec qui affirme que « les armes numériques anéantiront tout secret au sein de…
En avril 2014, le site web australien « Business Acumen Magazine » a été piraté par un attaquant connu sous le nom de 1337MiR. La fuite a entraîné l'exposition de plus de 26 000 comptes, dont des noms d'utilisateur, des adresses e-mail et des mots de passe stockés avec un algorithme de hachage cryptographique faible (MD5 sans sel).
Au début de l'année 2014, le site de jeux vidéo NextGenUpdate aurait subi une fuite de données qui a divulgué près de 1,2 million de comptes. La fuite comprenait notamment des noms d'utilisateur, des adresses e-mail, des adresses IP et des mots de passe salés et hachés.
En 2014, le réseau social pour les mères CafeMom a subi une fuite de données. Les données ont fait surface aux côtés d'un certain nombre d'autres fuites historiques, dont Kickstarter, Bitly et Disqus, et contenaient 2,6 millions d'adresses e-mail et des mots de passe en clair.
En avril 2014, le site d'emploi bigmoneyjobs.com a été piraté par un attaquant connu sous le nom de « ProbablyOnion ». L'attaque a entraîné l'exposition de plus de 36 000 comptes d'utilisateurs, notamment des adresses e-mail, des noms d'utilisateur et des mots de passe stockés en clair.
En mars 2014, l'éditeur de logiciels de home cinéma sur PC Boxee a vu ses forums compromis lors d'une attaque. Les attaquants ont obtenu l'intégralité de la base de données MySQL vBulletin et l'ont rapidement mise en téléchargement sur le forum Boxee lui-même.
En mars 2014, le service de booter Quantum Booter (également appelé Quantum Stresser) a subi une fuite qui a entraîné la divulgation de sa base de données interne.
Un vidage de données de près de 100 millions de comptes du portail Internet russe Rambler — souvent appelé « le Yahoo russe » — a refait surface à des fins d'échange en 2016, exposant environ 91 millions de noms d'utilisateur uniques et des mots de passe stockés en clair.
En février 2014, Spirol Fastening Solutions, basé dans le Connecticut, a subi une fuite de données qui a exposé plus de 70 000 enregistrements clients. L'attaque aurait été menée en exploitant une vulnérabilité d'injection SQL qui a permis d'extraire des données du système CRM de Spirol, allant des noms des clients aux entreprises, en passant par les coordonnées…
En février 2014, l'Internet Governance Forum (créé par les Nations unies pour le dialogue politique sur les questions de gouvernance d'Internet) a été attaqué par le collectif de pirates connu sous le nom de Deletesec.
En février 2014, le guide britannique des services et des entreprises connu sous le nom de Muslim Directory a été attaqué par le pirate connu sous le nom de @th3inf1d3l. Les données ont par conséquent été divulguées publiquement et comprenaient les comptes web de dizaines de milliers d'utilisateurs contenant des données telles que leurs noms, leur adresse postale, leur âge…
En février 2014, la plateforme de financement participatif Kickstarter a annoncé avoir subi une fuite de données. La fuite contenait près de 5,2 millions d'adresses e-mail uniques, de noms d'utilisateur et de hachages SHA1 salés des mots de passe.
En février 2014, le site web de Forbes a succombé à une attaque qui a divulgué plus d'un million de comptes utilisateurs. L'attaque a été attribuée à la Syrian Electronic Army, prétendument en représailles à une « haine de la Syrie » perçue.
En février 2014, plus de 2 000 comptes Tesco avec des noms d'utilisateur, des mots de passe et des soldes de cartes de fidélité sont apparus sur Pastebin. Bien que la source de la fuite ne soit pas claire, beaucoup ont confirmé que les identifiants étaient valides pour Tesco, qui a effectivement des antécédents de sécurité en ligne médiocre.
En 2014, un fichier prétendument constitué de données piratées de Coupon Mom a été créé et comprenait 11 millions d'adresses e-mail et de mots de passe en texte clair. Après enquête approfondie, le fichier s'est également avéré contenir des données indiquant qu'elles provenaient d'Armor Games.
En février 2014, le forum vBulletin du site sur la marijuana cannabis.com a été compromis et divulgué publiquement. Bien qu'aucune attribution publique de la fuite n'ait été établie, les données divulguées comprenaient plus de 227 000 comptes et près de 10 000 messages privés échangés entre les utilisateurs du forum.
En février 2014, Bell Canada a subi une fuite de données provoquée par le collectif de pirates connu sous le nom de NullCrew. La fuite portait sur des données provenant de plusieurs sites de Bell et a exposé des adresses e-mail, des noms d'utilisateur, des préférences d'utilisateurs ainsi qu'un certain nombre de mots de passe non chiffrés et des données de cartes bancaires issues de 40 000 enregistrements…
En janvier 2014, l'une des plus grandes communautés de cybercriminels d'Europe de l'Est, connue sous le nom de « Verified », a été piratée. La fuite a exposé près de 17 000 utilisateurs du forum vBulletin, dont leurs messages privés et d'autres informations potentiellement personnellement identifiables.
En septembre 2014, un volumineux ensemble de près de 5 millions de noms d'utilisateur et de mots de passe a été publié sur un forum russe consacré au Bitcoin. Bien que couramment présenté comme 5 millions de « mots de passe Gmail », l'ensemble contenait également 123 000 adresses yandex.ru.
En janvier 2014, le site web de la World Poker Tour (WPT) Amateur Poker League a été piraté par l'utilisateur Twitter @smitt3nz. L'attaque a entraîné la divulgation publique de 175 000 comptes, dont 148 000 adresses e-mail. Le mot de passe en clair de chaque compte figurait également dans la fuite.
Vers 2014, il est allégué que la boutique Android chinoise connue sous le nom de HIAPK a subi une fuite de données qui a touché 13,8 millions d'abonnés uniques. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme…
En janvier 2014, le service en ligne d'aide aux musiciens pour développer leur carrière ReverbNation a subi une fuite de données qui n'a été identifiée qu'en septembre de l'année suivante. La fuite contenait plus de 7 millions de comptes avec des adresses e-mail uniques et des mots de passe SHA1 salés.
En janvier 2014, à peine une semaine après que Gibson Security a détaillé des vulnérabilités dans le service, Snapchat a vu 4,6 millions de noms d'utilisateur et de numéros de téléphone exposés.
En 2014, le forum ThisHabbo (un site de fans de Habbo.com, un site de réseautage social finlandais) est apparu dans une liste de sites compromis qui a depuis été retirée d'internet.
En décembre 2013, le forum vBulletin du site d'ingénierie sociale connu sous le nom d'« AstroPID » a été compromis et divulgué publiquement. Le site fournissait des conseils pour obtenir frauduleusement des biens et des services, souvent en fournissant une « PID » ou Product Information Description légitime.
En décembre 2013, le site de torrents Torrent Invites a été piraté et plus de 352 000 comptes ont été exposés. Le forum vBulletin contenait des noms d'utilisateur, des adresses e-mail et IP, des dates de naissance et des condensats MD5 salés de mots de passe.
En décembre 2013, une fuite touchant cette communauté de jeux en ligne basée en Slovaquie a exposé plus de 38 000 comptes qui ont été rapidement publiés en ligne. La fuite comprenait des adresses e-mail et des mots de passe hachés en MD5 sans sel, dont beaucoup ont été facilement reconvertis en texte clair.
En novembre 2013, Vodafone en Islande a subi une attaque attribuée au collectif de pirates turc « Maxn3y ». Les données ont par conséquent été exposées publiquement et comprenaient des noms d'utilisateur, des adresses e-mail, des numéros de sécurité sociale, des messages SMS, des journaux de serveur et des mots de passe provenant de divers systèmes internes…
En novembre 2013, les créateurs du logiciel de diffusion et d'enregistrement en direct de jeux XSplit ont été compromis lors d'une attaque en ligne. La fuite de données a divulgué près de 3 millions de noms, d'adresses e-mail, de noms d'utilisateur et de mots de passe hachés.
En novembre 2013, le réseau social basé sur l'image We Heart It a subi une fuite de données. L'incident n'a été découvert qu'en octobre 2017 lorsque 8,6 millions d'enregistrements d'utilisateurs ont été envoyés à HIBP.
En octobre 2013, le site de téléchargement (aujourd'hui disparu) « Mecho Download » a subi une fuite de données qui a exposé 438 000 enregistrements. Les données du site basé sur vBulletin comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes MD5 salées.
Des attaquants ont dérobé environ 153 millions d'enregistrements de comptes Adobe — identifiants, e-mails, mots de passe faiblement chiffrés et indices en clair — ainsi que le code source de plusieurs produits Adobe, dans l'une des plus grandes fuites jamais subies par un éditeur de logiciels.
En septembre 2013, le client de partage de médias et de fichiers connu sous le nom d'iMesh a été piraté et environ 50 millions de comptes ont été exposés. Les données ont ensuite été mises en vente sur un site du dark web mi-2016 et comprenaient des adresses e-mail et IP, des noms d'utilisateur et des empreintes MD5 salées.
Fin 2013, le forum Crack Community, spécialisé dans les cracks de jeux, a été compromis et plus de 19 000 comptes ont été publiés en ligne. Construites sur la plateforme de forum MyBB, les données compromises comprenaient des adresses e-mail, des adresses IP et des mots de passe MD5 salés.
En septembre 2013, le forum Windows Win7Vista (depuis renommé forum « Beyond Windows 9 ») a été piraté et sa base de données interne a ensuite été divulguée. Le vidage comprenait les informations personnelles de plus de 200 000 membres ainsi que d'autres données internes extraites du forum.
En septembre 2013, la communauté de partage d'images en ligne imgur a subi une fuite de données. Une partie des données contenant 1,7 million d'adresses e-mail et de mots de passe a refait surface plus de 4 ans plus tard, en novembre 2017.
En septembre 2013, le site de réservation indien connu sous le nom de Yatra a vu 5 millions d'enregistrements exposés lors d'une fuite de données. Les données contenaient des adresses e-mail et postales, des dates de naissance et des numéros de téléphone, ainsi que des codes PIN et des mots de passe stockés en clair.
En août 2013, le jeu de rôle en ligne massivement multijoueur (MMORPG) DragonNest a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé plus de 500 000 adresses e-mail uniques ainsi que des noms d'utilisateur, adresses IP et mots de passe en clair.
Une archive de base de données de 2013 du site d'invitations Evite a été consultée par un attaquant puis échangée en ligne, exposant environ 101 millions d'adresses e-mail uniques ainsi que des noms, numéros de téléphone, adresses postales, dates de naissance et mots de passe en clair.
En août 2013, le jeu vidéo interactif Lord of the Rings Online a subi une fuite de données qui a exposé plus de 1,1 million de comptes de joueurs. Les données étaient activement échangées sur des forums clandestins et comprenaient des adresses e-mail, des dates de naissance et des empreintes de mots de passe.
À un moment de l'année 2013, 45 000 comptes ont été compromis sur le « General Discussion Forum » de Lounge Board, puis divulgués publiquement. Lounge Board était un forum MyBB lancé en 2012 et abandonné mi-2013 (la dernière activité dans les journaux datait d'août 2013).
Aux alentours d'août 2013, le forum d'exploits World of Warcraft connu sous le nom d'OwnedCore a été piraté et plus de 880 000 comptes ont été exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés selon une implémentation faible, ce qui a permis d'en casser rapidement un grand nombre.
En décembre 2015, le site de modding de jeux Nexus Mods a publié un communiqué informant les utilisateurs qu'ils avaient été piratés. Ils ont ensuite daté le piratage à juillet 2013, bien que des éléments suggèrent que les données étaient échangées plusieurs mois auparavant.
En juin 2013, le site web taïwanais Yam.com a subi une fuite de données qui a été partagée sur un forum de piratage populaire en 2021. Les données comprenaient 13 millions d'adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des numéros de téléphone, des adresses postales, des dates de naissance et des empreintes MD5 de mots de passe non salées.
Un jeu de données attribué au réseau social et de rencontres Badoo a exposé environ 112 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance et des hachages de mots de passe MD5 ; les données ont circulé entre traders en 2016 et restent formellement non vérifiées.
En mai 2013, le site de torrents AhaShare.com a subi une fuite qui a entraîné la publication de plus de 180 000 comptes d'utilisateurs. La fuite comprenait une multitude d'informations personnelles sur les utilisateurs inscrits et, malgré les affirmations selon lesquelles il ne diffusait pas de données personnelles identifiables, le site a également…
En mai 2013, le site de voyeurisme non consenti « Non Nude Girls » a subi une fuite de données. Le piratage du forum vBulletin a conduit à l'exposition de plus de 75 000 comptes ainsi que des adresses e-mail et IP, des noms et des mots de passe en clair.
En mai 2016, un ensemble de données compromises provenant du site web d'animaux de compagnie virtuels « Neopets » a été retrouvé en circulation en ligne. Prétendument piratées « plusieurs années plus tôt », les données contiennent des informations personnelles sensibles, dont des dates de naissance, des genres et des noms, ainsi que près de 27 millions d'adresses e-mail uniques…
En avril 2013, le jeu vidéo interactif Dungeons & Dragons Online a subi une fuite de données qui a exposé près de 1,6 million de comptes de joueurs. Les données étaient activement échangées sur des forums clandestins et comprenaient des adresses e-mail, des dates de naissance et des empreintes de mots de passe.
En avril 2013, le site web pour adultes connu sous le nom de Brazzers a été piraté et 790 000 comptes ont été exposés publiquement. Chaque enregistrement comprenait un nom d'utilisateur, une adresse e-mail et un mot de passe stocké en clair. La fuite a été révélée par le site de signalement de fuites de données Vigilante.pw en septembre 2016.
Une intrusion survenue en 2013 sur la plateforme de blogs Tumblr a exposé environ 65 millions d'adresses e-mail et de hachages de mots de passe SHA-1 salés ; l'ampleur n'a été révélée qu'en 2016, lorsque les données ont été mises en vente sur des marchés du dark web.
Début 2013, le jeu multijoueur de fantasy en ligne Heroes of Gaia a subi une fuite de données. Les enregistrements les plus récents de l'ensemble de données indiquent une date de fuite au 4 janvier 2013 et comprennent des identifiants, des adresses IP et e-mail mais aucun mot de passe.
En 2013, le site de réseau social danois FaceUP a subi une fuite de données. L'incident a exposé 87 000 adresses e-mail uniques ainsi que des genres, des dates de naissance, des noms, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes MD5 non salées.
En 2013 (date exacte inconnue), le service chinois de commerce électronique JD a subi une fuite de données qui a exposé 13 Go de données contenant 77 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes SHA-1.
Aux alentours de 2013, OMGPOP, le créateur du jeu Draw Something, a subi une fuite de données. Anciennement connu sous le nom d'i'minlikewithyou ou iilwy, puis racheté par Zynga, la fuite a exposé plus de 7 millions de paires adresse e-mail / mot de passe en clair, qui ont ensuite été divulguées en 2019.
En décembre 2012, le jeu d'arène de bataille en ligne multijoueur connu sous le nom de Heroes of Newerth a été piraté et plus de 8 millions de comptes ont été extraits du système. Les données compromises comprenaient des identifiants, des adresses e-mail et des mots de passe.
En août 2022, le réseau social littéraire BookCrossing a révélé une fuite de données remontant à une sauvegarde de base de données de novembre 2012. L'incident a exposé près de 1,6 million d'enregistrements, dont des noms, des noms d'utilisateur, des adresses e-mail et IP, des dates de naissance et des mots de passe en clair.
En juillet 2018, le site de réseautage social belge Netlog a identifié une fuite de données de ses systèmes remontant à novembre 2012 (PDF). Bien que le service ait été interrompu en 2015, la fuite de données a tout de même touché 49 millions d'abonnés dont les adresses e-mail et les mots de passe en clair ont été exposés.
En août 2012, le site de mode Lookbook a subi une fuite de données. Les données sont ensuite apparues en vente en juin 2016 et comprenaient 1,1 million de noms d'utilisateur, d'adresses e-mail et IP, de dates de naissance et de mots de passe en clair.
En août 2012, le forum dédié à gagner de l'argent avec le botting « The Botting Network » a subi une fuite de données qui a exposé 96 000 enregistrements d'utilisateurs. Ce forum vBulletin aujourd'hui disparu a divulgué 96 000 adresses e-mail, noms d'utilisateur, dates de naissance et condensats MD5 salés de mots de passe.
En août 2012, le site web du forum des utilisateurs Xiaomi a subi une fuite de données. Au total, 7 millions d'adresses e-mail sont apparues dans la fuite, bien qu'une part importante d'entre elles étaient des alias numériques sur le domaine bbs_ml_as_uid.xiaomi.com.
En juillet 2012, le service de publication en ligne « Voices » de Yahoo! a été compromis par une attaque par injection SQL. La fuite a entraîné la divulgation de près d'un demi-million de noms d'utilisateur et de mots de passe stockés en clair.
Au milieu de l'année 2012, le jeu de stratégie en temps réel War Inc. a subi une fuite de données. L'attaque a entraîné l'exposition de plus d'un million de comptes comprenant des noms d'utilisateur, des adresses e-mail et des hachages MD5 salés des mots de passe.
En octobre 2017, le service de commentaires de blog Disqus a annoncé avoir subi une fuite de données. La fuite remontait à juillet 2012 mais n'a été identifiée que des années plus tard, lorsque les données ont finalement refait surface. La fuite contenait plus de 17,5 millions d'adresses e-mail et de noms d'utilisateur uniques.
Un mot de passe d'employé réutilisé — récupéré lors de la fuite LinkedIn de 2012 — a permis à un attaquant de dérober une base d'environ 68 millions d'identifiants d'utilisateurs Dropbox, mise en vente sur le dark web quatre ans plus tard.
En juin 2012, le jeu en ligne multijoueur League of Legends a subi une fuite de données. À l'époque, le service comptait plus de 32 millions de comptes enregistrés et la fuite a touché divers attributs de données personnelles, notamment des mots de passe « chiffrés ».
Une intrusion de 2012 chez LinkedIn a exposé des mots de passe utilisateurs stockés sous forme de hachages SHA-1 non salés. D'abord annoncée à 6,5 millions d'identifiants, l'ampleur réelle de 117 millions de comptes n'est apparue qu'en 2016, lorsque les données ont été mises en vente sur le dark web.
En mai 2012, l'entreprise d'hébergement web, de facturation et d'automatisation WHMCS a subi une fuite de données qui a exposé 134 000 adresses e-mail. La fuite comprenait de nombreuses informations sur les clients et les historiques de paiement, y compris des numéros de carte de crédit partiels.
La plateforme musicale Last.fm a été piratée en mars 2012, exposant plus de 43 millions de comptes avec des noms d'utilisateur, des adresses e-mail et des hachages de mots de passe MD5 non salés ; plus de 96 % des mots de passe ont été cassés en quelques heures lorsque les données ont fait surface en 2016.
En octobre 2017, le site web malaisien lowyat.net a publié un article sur un vaste ensemble de données piratées touchant des millions de Malaisiens, après que quelqu'un l'eut mis en vente sur ses forums.
En mars 2012, l'éditeur de jeux en ligne allemand Gamigo a été piraté et plus de 8 millions de comptes ont été divulgués publiquement. La fuite comprenait des adresses e-mail et des mots de passe stockés sous forme de faibles empreintes MD5 sans sel.
En février 2012, le site pour adultes YouPorn a vu plus de 1,3 million de comptes utilisateur exposés lors d'une fuite de données. Les données rendues publiques comprenaient à la fois des adresses e-mail et des mots de passe en clair.
Vers 2012, le service de messagerie chinois connu sous le nom de 126 aurait subi une fuite de données ayant touché 6,4 millions d'abonnés. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
Vers 2012, le site d'achat chinois connu sous le nom de Taobao aurait subi une fuite de données ayant touché plus de 21 millions d'abonnés. Bien qu'il existe des preuves que les données sont authentiques, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme…
Le plus grand réseau social russe, VK, a été compromis vers 2012, exposant environ 93 millions de comptes avec noms, numéros de téléphone, adresses e-mail et mots de passe en clair. Les données ont été mises en vente en 2016 par le courtier « Peace ».
Fin 2011, une série de fuites de données en Chine a touché jusqu'à 100 millions d'utilisateurs, dont 7,5 millions provenant du site de jeux connu sous le nom de 17173. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
Aux alentours de 2011, le forum désormais disparu RuneScape Boards (également connu sous le nom de RSBoards) a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. Ce service basé sur vBulletin a exposé 223 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP et des hachages de mots de passe MD5 salés.
En décembre 2011, le plus grand forum en ligne de Chine connu sous le nom de Tianya a été piraté et des dizaines de millions de comptes ont été obtenus par l'attaquant. Les données divulguées comprenaient des noms, des noms d'utilisateur et des adresses e-mail.
En décembre 2011, « Anonymous » a attaqué l'entreprise de renseignement mondial connue sous le nom de « Stratfor » et a par conséquent divulgué un véritable trésor de données, comprenant des centaines de gigaoctets d'e-mails et des dizaines de milliers de détails de cartes de crédit qui ont été aussitôt utilisés par les attaquants pour effectuer des dons caritatifs…
En 2011, le China Software Developer Network (CSDN) a subi une fuite de données qui a exposé plus de 6 millions de dossiers d'utilisateurs. Les données comprenaient des adresses e-mail ainsi que des noms d'utilisateur et des mots de passe en texte clair.
En décembre 2011, le plus grand sex-shop en ligne de Norvège, hemmelig.com, a été piraté par un collectif se faisant appeler « Team Appunity ». L'attaque a exposé plus de 28 000 identifiants et adresses e-mail ainsi que des surnoms, le genre, l'année de naissance et des empreintes MD5 de mots de passe sans sel.
En décembre 2011, le site de rencontres chinois connu sous le nom de Zhenai.com a subi une fuite de données qui a touché 5 millions d'abonnés. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme « non vérifiée ».
Fin 2011, des données auraient été obtenues auprès du site chinois connu sous le nom de Dodonew.com et contenaient 8,7 millions de comptes. Bien qu'il existe des preuves que les données sont légitimes, en raison de la difficulté à vérifier catégoriquement cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En octobre 2011, le site web Android Forums a été piraté et 745 000 comptes d'utilisateurs ont ensuite été divulgués publiquement. Les données compromises comprenaient des adresses e-mail, les dates de naissance des utilisateurs et des mots de passe stockés sous forme de hachage MD5 salé.
Vers la mi-2011, des données auraient été obtenues du site d'ingénierie chinois connu sous le nom de Civil Online et contenaient 7,8 millions de comptes. Bien qu'il existe des preuves que les données sont légitimes, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme "non vérifiée".
En juin 2011, dans le cadre d'un dernier vidage de données compromises, le collectif de pirates « LulzSec » a obtenu et publié plus d'un demi-million de noms d'utilisateur et de mots de passe du jeu Battlefield Heroes.
En juin 2011, le groupe hacktiviste connu sous le nom de « LulzSec » a divulgué une dernière grande fuite de données qu'il a intitulée « 50 days of lulz ». Les données compromises provenaient de sources telles qu'AT&T, Battlefield Heroes et le site web hackforums.net.
En 2011, Sony a subi fuite sur fuite sur fuite — ce fut une très mauvaise année pour l'entreprise. Les fuites ont touché divers secteurs de l'activité, allant du réseau PlayStation jusqu'à la branche cinématographique, Sony Pictures.
En 2011, le site de commerce électronique chinois Dangdang a subi une fuite de données. L'incident a exposé plus de 4,8 millions d'adresses e-mail uniques qui ont ensuite été échangées en ligne au cours des années suivantes.
Mi-2011, le service de messagerie instantanée russe connu sous le nom de QIP (Quiet Internet Pager) a subi une fuite de données. L'attaque a entraîné la divulgation de plus de 26 millions de comptes uniques, dont des adresses e-mail et des mots de passe, les données apparaissant finalement publiquement des années plus tard.
Des intrus ont pénétré le PlayStation Network et Qriocity de Sony, compromettant les données personnelles d'environ 77 millions de comptes et provoquant une panne mondiale de 23 jours — l'une des plus grandes violations de données de consommateurs de son temps.
Victim
Sony Network Entertainment / Sony Computer Entertainment
En 2011, le site autoproclamé « meilleur réseau social pour adultes au monde » connu sous le nom de Fling a été piraté et plus de 40 millions de comptes ont été obtenus par l'attaquant.
Vers 2011, le site de jeux chinois connu sous le nom de 7k7k aurait subi une fuite de données ayant touché 9,1 millions d'abonnés. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
Vers 2011, des données auraient été obtenues à partir du site de jeux chinois connu sous le nom de Duowan.com et contenaient 2,6 millions de comptes. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En décembre 2010, Gawker a été attaqué par le collectif de pirates « Gnosis » en représailles à ce qui aurait été un conflit entre Gawker et 4Chan. Les informations concernant les 1,3 million d'utilisateurs de Gawker ont été publiées avec les données des autres sites du groupe, dont Gizmodo et Lifehacker.
En octobre 2010, le bookmaker irlandais Paddy Power a subi une fuite de données qui a exposé 750 000 enregistrements de clients comprenant près de 600 000 adresses e-mail uniques.
En mai 2010, le service de portefeuille électronique connu sous le nom de Neteller a subi une fuite de données qui a exposé plus de 3,6 millions de clients. La fuite n'a été découverte qu'en octobre 2015 et comprenait des noms, des adresses e-mail, des adresses postales et des soldes de comptes.
Vers 2010, le site désormais disparu DivX SubTitles a subi une fuite de données qui a exposé 783 000 comptes d'utilisateurs, notamment des adresses e-mail, des noms d'utilisateur et des mots de passe en clair.
Un point d'entrée par injection SQL a permis au groupe d'Albert Gonzalez d'implanter un logiciel renifleur dans le réseau de traitement des paiements de Heartland, capturant environ 130 millions de numéros de cartes en transit — à l'époque la plus grande violation de données de cartes jamais divulguée.
À un moment de 2009, la plateforme de recrutement Elance a subi une fuite de données qui a affecté 1,3 million de comptes. Apparues en ligne 8 ans plus tard, les données contenaient des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des empreintes SHA1 de mots de passe, parmi d'autres données personnelles.
À un moment donné en 2009, le service de portefeuille électronique connu sous le nom de Money Bookers a subi une fuite de données qui a exposé près de 4,5 millions de clients. Aujourd'hui appelée Skrill, la fuite n'a été découverte qu'en octobre 2015 et comprenait des noms, des adresses e-mail, des adresses postales et des adresses IP.
Aux alentours de 2008, le site destiné à aider les parents à nommer leurs enfants connu sous le nom de Baby Names a subi une fuite de données. L'incident a exposé 846 000 adresses e-mail et mots de passe stockés sous forme de hachages MD5 salés.
En avril 2007, le site de jeux d'argent en ligne Foxy Bingo a été piraté et 252 000 comptes ont été obtenus par les pirates. Les enregistrements compromis ont ensuite été vendus et échangés et comprenaient des données personnelles telles que des mots de passe en clair, des dates de naissance et des adresses postales.
En juillet 2007, le portail de jeux multijoueurs connu sous le nom de gPotato (lien vers une archive du site à l'époque) a subi une fuite de données et plus de 2 millions de comptes utilisateurs ont été exposés. Le site a ensuite fusionné avec le portail Webzen, où les comptes d'origine existent encore aujourd'hui.
Des attaquants menés par Albert Gonzalez ont intercepté le Wi-Fi en magasin, faiblement chiffré, d'un point de vente Marshalls, puis ont rebondi vers les systèmes centraux de TJX, exfiltrant environ 94 millions d'enregistrements de cartes de paiement sur une intrusion de 18 mois — la plus grande violation de données du commerce de détail américain de son époque.