Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.
Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.
ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.
Des attaquants ont exploité une faille de vérification dans l'outil de récupération de compte assisté par IA d'Instagram, High Touch Support, pour déclencher des réinitialisations de mot de passe et détourner 20 225 comptes avant que Meta ne détecte et désactive l'outil.
Révélée vers le 22 mai 2026, la médiathèque numérique départementale de la Haute-Garonne (Média31) a été compromise via l'exploitation de vulnérabilités du site, exposant les données d'environ 765 usagers : noms, e-mails, dates de naissance, villes et identifiants de connexion.
Victim
Médiathèque Numérique du Conseil Départemental de la Haute-Garonne
En mai 2026, Maeva — la marque de locations de vacances du groupe Pierre & Vacances-Center Parcs — a révélé une fuite au cours de laquelle un attaquant a aspiré jusqu'à dix ans d'historique de réservations, exposant noms, dates de naissance, numéros de téléphone et détails de séjour d'environ 4,5 millions de clients sur 1,6 million de réservations.
Le 9 mai 2026, l'acteur AplaGroup a revendiqué une intrusion dans Média31, la plateforme de médiathèque en ligne du réseau des médiathèques de Haute-Garonne, exposant les données d'environ 765 utilisateurs ; l'intrusion a été confirmée le 21 mai 2026.
Le registrar français BookMyName a détecté le 5 mai 2026 un incident de sécurité au cours duquel un attaquant a exploité une vulnérabilité pour modifier frauduleusement des données de contact de domaines, exposant identifiants, noms, e-mails, téléphones et adresses postales de certains clients.
Une campagne mondiale automatisée exploitant une faille d'upload de fichiers non authentifié dans Magento a défacé plus de 7 500 sites e-commerce sur plus de 15 000 hôtes, déposant des fichiers malveillants sur des boutiques liées à Toyota, Fiat, Asus et FedEx.
En avril 2026, un acteur malveillant connu sous le nom de HexDex a mis en vente une base de données dérobée à la Fédération Française du Sport Universitaire (FFSU), exposant l'identité, les coordonnées et les données d'inscription d'environ 1,1 million d'étudiants, licenciés et personnels.
I-Cad, le fichier national français d'identification des chiens, chats et furets, a révélé en mars 2026 qu'une vulnérabilité logicielle de septembre 2025 avait permis l'interrogation automatisée de sa base, exposant les adresses email d'usagers et alimentant des campagnes de phishing.
Mi-2025, Sorbonne Université (Paris) a subi une compromission de son système RH/paie exposant les données personnelles d'environ 32 000 agents et anciens agents, dont coordonnées, informations d'identité et noms de proches.
Fin mars 2025, un acteur malveillant connu sous le pseudonyme « rose87168 » a affirmé avoir dérobé environ 6 millions d'enregistrements d'authentification depuis un serveur SSO/LDAP d'Oracle Cloud, touchant potentiellement plus de 140 000 locataires ; Oracle a d'abord nié toute fuite avant de confirmer une compromission en privé à ses clients.
Un attaquant a exploité une vulnérabilité non corrigée sur un serveur d'accès distant pour s'introduire dans la division Éducation de la Ville d'Helsinki, exposant les données personnelles de dizaines de milliers d'élèves, de tuteurs et d'agents, ainsi que des dossiers sensibles d'aide sociale.
Des pirates liés à l'État chinois ont exploité des failles ProxyShell non corrigées de Microsoft Exchange pour rester indétectés plus d'un an dans les systèmes de la Commission électorale britannique, accédant aux données du registre électoral d'environ 40 millions d'électeurs.
Des attaquants ont exploité une faille zero-day d'Ivanti Endpoint Manager Mobile (CVE-2023-35078, CVSS 10.0) pour compromettre une plateforme TIC partagée par 12 ministères norvégiens, l'exploitation remontant à au moins avril 2023.
En mai 2023, des vagues coordonnées d'attaques ont exploité des vulnérabilités des pare-feu Zyxel pour compromettre 22 entreprises énergétiques danoises, forçant certains opérateurs à passer en mode îlotage, dans ce que SektorCERT a qualifié de plus grand incident cyber visant les infrastructures critiques du Danemark à ce jour.
Une API non authentifiée a exposé les données personnelles de 9,8 millions de clients actuels et anciens d’Optus — noms, dates de naissance, passeports, permis de conduire — à un attaquant anonyme.
Des attaquants ont compromis le centre de données du Federal Board of Revenue du Pakistan en exploitant une copie piratée de Microsoft Hyper-V, mettant hors service tous les sites web de l'administration fiscale et mettant en vente sur un forum russe du dark web l'accès réseau à 360 machines virtuelles.
Des attaquants ont exploité une faille zero-day dans l'appliance de transfert de fichiers Accellion (FTA) vieillissante pour pénétrer la banque centrale de Nouvelle-Zélande, accédant à des fichiers commercialement et personnellement sensibles ; le nettoyage a coûté à la Banque de réserve environ 3,5 millions de dollars néo-zélandais.
Une partie non autorisée a exploité une faille dans l'application d'enregistrement prépayé de Virgin Mobile Polska pour accéder aux données personnelles de plus de 114 000 abonnés, dont les numéros d'identité PESEL et les données de carte d'identité. L'autorité polonaise de protection des données a infligé à l'opérateur une amende de près de 2 millions de PLN pour des tests de sécurité insuffisants.
L'ancienne ingénieure AWS Paige Thompson a exploité un pare-feu applicatif web mal configuré pour extraire les données personnelles d'environ 106 millions de demandeurs et clients de cartes de crédit Capital One depuis S3.
Une simple injection SQL contre un service de TVA peu utilisé a permis à un attaquant d'exfiltrer des données fiscales, de revenus, de santé et de retraite de plus de 6 millions de personnes — soit la quasi-totalité de la population adulte bulgare.
Une faille de référence directe à un objet non sécurisée (IDOR) sur le site web de First American Financial a exposé environ 885 millions de documents d'assurance-titre et de crédit immobilier — dont des numéros de sécurité sociale, des coordonnées bancaires et des images de permis de conduire — remontant à 2003, accessibles à quiconque sans authentification.
Des attaquants ont exploité les logiciels tiers reliant les banques mexicaines au SPEI, le système de paiement interbancaire de la banque centrale, en injectant des virements fantômes et en détournant environ 300 à 400 millions de pesos (~15-20 millions de dollars) retirés en espèces par des mules financières.
Victim
Banco de México (Banxico) / banques participantes au SPEI
Une vulnérabilité Apache Struts non corrigée a permis à des attaquants d'exfiltrer numéros de sécurité sociale, dates de naissance, adresses et numéros de permis de conduire de 147 millions de consommateurs américains, britanniques et canadiens.
Une faille dans la bibliothèque de génération de clés RSA d'Infineon (ROCA, CVE-2017-15361) a rendu théoriquement possible la falsification d'identités numériques pour quelque 750 000 cartes d'identité estoniennes, forçant une suspension nationale des certificats et un renouvellement à distance d'urgence.
Victim
Republic of Estonia (national ID-card / e-residency)
Un bug de dépassement de tampon dans les serveurs périphériques de Cloudflare les amenait à divulguer des fragments de mémoire adjacente — mots de passe, cookies et messages privés d'autres clients — dans des pages web, dont certains ont été mis en cache par les moteurs de recherche. La faille est restée active pendant des mois avant d'être découverte par Project Zero de Google.
Une faille d'inclusion de fichier local a permis aux attaquants de dérober 412 millions de comptes sur les sites pour adultes et de rencontres de FriendFinder Networks, dont AdultFriendFinder. La plupart des mots de passe étaient stockés en clair ou en SHA-1 non salé, et les comptes « supprimés » ne l'avaient jamais réellement été.
Une attaque par injection SQL contre le service Learning Lodge du fabricant de jouets hongkongais VTech a exposé les données personnelles de 6,4 millions d'enfants et près de 5 millions de comptes parents, devenant la première fuite majeure ciblant des données de mineurs.
Une attaque par injection SQL — commise principalement par quatre adolescents britanniques — a exposé les données personnelles d'environ 157 000 clients de TalkTalk, y compris des coordonnées bancaires. Elle a déclenché une amende record de 400 000 £ de l'ICO britannique.
Un intrus a pris le contrôle total de l'autorité de certification néerlandaise DigiNotar, émettant plus de 500 certificats SSL frauduleux — dont un certificat générique *.google.com utilisé pour espionner quelque 300 000 utilisateurs iraniens de Gmail — et provoquant la faillite de l'entreprise.