Les autorités françaises ont confirmé qu'un attaquant avait détourné un compte utilisateur de Tchap pour accéder à des salons publics de la messagerie sécurisée de l'État, l'intrus affirmant avoir aspiré des dizaines de milliers de comptes et des centaines de milliers de messages.
Le 29 janvier 2026, Match Group — maison mère de Hinge, Match et OKCupid — a révélé une fuite après que le groupe ShinyHunters a détourné, par hameçonnage vocal, le compte Okta SSO d'un employé ; les données exposées incluent noms, dates de naissance, numéros de téléphone et adresses IP.
En août 2025, Google a confirmé qu'une instance CRM Salesforce contenant les coordonnées de prospects professionnels de Google Ads avait été piratée par ShinyHunters (UNC6040) via une attaque par vishing, exposant environ 2,55 millions d'enregistrements (raisons sociales, e-mails et numéros de téléphone).
Un développeur junior chez C&M Software — fournisseur autorisé par la Banque centrale pour la connectivité au système de paiement instantané Pix — a été payé environ 5 000 R$ pour livrer ses identifiants. Les attaquants ont utilisé cet accès pour vider environ 800 millions de R$ (148 millions de dollars) des comptes de réserve de six institutions financières brésiliennes en 2,5 heures.
Victim
C&M Software (fournisseur d'infrastructure de paiement Pix)
Le 8 mars 2024, l'opérateur public France Travail a révélé une fuite de données exposant les informations personnelles de jusqu'à 43 millions de demandeurs d'emploi inscrits au cours des 20 dernières années, dont nom, date de naissance, numéro de sécurité sociale et coordonnées.
Un membre adolescent de Lapsus$ a compromis le Slack interne et les systèmes de développement de Rockstar Games par ingénierie sociale, puis a divulgué environ 90 séquences en cours de développement du jeu inédit Grand Theft Auto VI — l'une des plus grandes fuites de l'histoire du jeu vidéo.
Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.
Le groupe d'extorsion Lapsus$ a compromis l'ordinateur portable d'un ingénieur de support du sous-traitant Sitel d'Okta, obtenant une fenêtre d'accès de 25 minutes en janvier 2022 qui a touché deux locataires clients. L'intrusion n'est devenue publique que lorsque Lapsus$ a diffusé des captures d'écran en mars.
Plus de 700 clients de BDO Unibank, la plus grande banque des Philippines, ont perdu de l'argent par des virements en ligne non autorisés acheminés vers des comptes UnionBank sous l'alias « Mark Nagoyo » ; cinq suspects ont été arrêtés et BDO a remboursé les victimes.
Une campagne d'hameçonnage a compromis 47 comptes de messagerie du personnel de Service NSW, exposant 738 Go de données et environ 3,8 millions de documents ; environ 104 000 clients ont vu leurs informations personnelles, dont des permis de conduire et des certificats de naissance, volées.
Un fraudeur se faisant passer pour un client légitime d'Experian a obtenu les données personnelles de 24 millions de Sud-Africains et de 793 749 entreprises, dans ce qui est devenu l'une des plus grandes fuites de données de l'histoire de l'Afrique du Sud.
Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.
Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.
Un e-mail de harponnage porteur du logiciel malveillant PlugX a compromis JTB, la plus grande agence de voyages du Japon, exposant les données personnelles — dont des milliers de numéros de passeport — de jusqu'à 7,93 millions de clients.
La police sud-coréenne a attribué la violation du détaillant en ligne Interpark — exposant les données personnelles de plus de 10 millions d'acheteurs — à l'agence de renseignement nord-coréenne, qui a utilisé le harponnage avant d'exiger une rançon en bitcoins de plusieurs millions de dollars.
Un e-mail d'hameçonnage ciblé porteur d'un logiciel malveillant a compromis le Service des retraites du Japon, divulguant les noms, identifiants, adresses et dates de naissance d'environ 1,25 million d'affiliés et forçant une refonte nationale de la cybersécurité du secteur public.