Skip to content

Incidents dans le pays :

États-Unis

138 incidents catalogued

Exploitation de vulnérabilitéEn cours

Faille SSRF de Cisco Unified CM exploitée pour déposer des webshells (CVE-2026-20230)

Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.

Victim
Cisco Unified Communications Manager
Faille zero-dayContenu

La NAIC confirme une fuite de données après l'exploitation d'une faille zero-day Oracle PeopleSoft par ShinyHunters

La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.

Victim
National Association of Insurance Commissioners (NAIC)
Chaîne d’approvisionnementContenu

La compromission de la chaîne d'approvisionnement de Klue expose les données Salesforce de ses clients

Un identifiant d'API dormant a permis à des attaquants de compromettre la plateforme d'intelligence concurrentielle Klue et de récolter les jetons OAuth des applications connectées de ses clients, exfiltrant des enregistrements Salesforce d'entreprises comme Huntress et Recorded Future lors d'une attaque de la chaîne d'approvisionnement ensuite attribuée au groupe d'extorsion Icarus.

Victim
Klue (et ses clients dont Huntress et Recorded Future)
RançongicielContenu

Cherry Health révèle une fuite de données après une panne attribuée à un rançongiciel

Cherry Health, le plus grand centre de santé fédéral agréé du Michigan, a publié le 18 juin 2026 un avis préliminaire de violation après qu'une activité réseau suspecte détectée en avril a provoqué une panne de plusieurs jours et la copie de données de patients et de personnel, dont des numéros de sécurité sociale.

Victim
Cherry Health
Fuite de donnéesEn cours

Vol de données d'enquêtes internes de Nintendo via la plateforme tierce TinyPulse

Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme RH tierce qu'elle utilisait, après que le groupe SHADOWBYT3$ a prétendu avoir exfiltré environ 859 Mo de données et réclamé une rançon de 2 millions de dollars — tout en soulignant que les systèmes et les données clients de Nintendo n'avaient pas été touchés.

Victim
Nintendo of America
Fuite de donnéesContenu

La fuite chez un prestataire de Texas Parks and Wildlife expose 3 millions de détenteurs de permis

Une compromission du prestataire tiers qui traite la vente des permis de chasse et de pêche du Texas a exposé les numéros de permis de conduire, de passeport et les coordonnées de plus de trois millions de Texans, l'État précisant toutefois que les numéros de sécurité sociale et les données financières n'ont pas été dérobés.

Victim
Texas Parks and Wildlife Department
Records
3.1M
Fuite de donnéesEn cours

Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

Victim
Eastman Kodak
Records
2.2M
Bourrage d’identifiantsEn cours

FortiBleed : un jeu de données fuite les identifiants VPN de ~74 000 pare-feu Fortinet

Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.

Victim
Organizations running Fortinet FortiGate firewalls worldwide
Chaîne d’approvisionnementContenu

Détournement du scope npm Mastra : 144 paquets du framework d'IA piégés (easy-day-js)

Un compte de contributeur détourné a servi à republier 144 paquets du populaire scope npm @mastra (agents d'IA) avec une dépendance malveillante typosquattée, easy-day-js, qui téléchargeait un cheval de Troie d'accès à distance multiplateforme et un voleur de cryptomonnaies sur toute machine de développeur ou système de build qui les installait.

Victim
Mastra (scope npm @mastra)
EspionnageContenu

Campagne d'espionnage UNC6508 visant la recherche médicale et de défense (lié à la RPC)

Le Threat Intelligence Group de Google a révélé que l'acteur lié à la RPC UNC6508 a passé plus d'un an au sein d'environnements de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada, compromettant d'anciens serveurs REDCap, déployant le maliciel sur mesure INFINITERED et détournant les règles de conformité de la messagerie Google Workspace pour exfiltrer discrètement des données de recherche et de défense.

Victim
Institutions de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada
Chaîne d’approvisionnementContenu

Les extensions WordPress OptinMonster, TrustPulse et PushEngage piégées par une attaque de chaîne d'approvisionnement via le CDN d'Awesome Motive

Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.

Victim
Awesome Motive (OptinMonster, TrustPulse, PushEngage)
Logiciel malveillantContenu

152 extensions Chrome « fonds d'écran animés » surprises à collecter des données et à falsifier le trafic de recherche Google

L'équipe de recherche sur les menaces de Socket a mis au jour une famille coordonnée de 152 extensions Chrome « fonds d'écran animés » pour nouvel onglet, réparties sur 38 comptes éditeurs et trois marques, qui enregistraient secrètement la télémétrie des utilisateurs et déguisaient les visites générées par les extensions en faux trafic de recherche organique Google, alors qu'elles déclaraient ne collecter aucune donnée.

Victim
Google Chrome Web Store users
Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)
Exploitation de vulnérabilitéEn cours

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim
Ivanti Sentry
Faille zero-dayEn cours

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim
Microsoft Defender
Exploitation de vulnérabilitéContenu

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim
ServiceNow
Chaîne d’approvisionnementContenu

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim
Microsoft (GitHub repositories)
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
Fuite de donnéesRançon payée

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim
Instructure (Canvas LMS)
Loss
$10.0M
Records
275.0M
Fuite de donnéesRésolu

Fuite de données Under Armour (2025)

En novembre 2025, le groupe de rançongiciel Everest a affirmé avoir volé 343 Go de données au fabricant de vêtements Under Armour. Aucune rançon n'ayant été payée, les données client ont été divulguées en janvier 2026, exposant environ 72,7 millions d'adresses e-mail uniques avec noms, dates de naissance, genres, localisations et historiques d'achat. Cet incident est distinct de la fuite MyFitnessPal de 2018.

Victim
Under Armour
Records
72.7M
Fuite de donnéesContenu

Fuite de données chez Yale New Haven Health (2025)

Une activité réseau suspecte chez Yale New Haven Health a conduit à la plus grande fuite de données de santé aux États-Unis en 2025 : 5,5 millions de patients ont vu leurs noms, coordonnées, dates de naissance, numéros de dossier médical et numéros de sécurité sociale dérobés. Le système de santé a ensuite accepté un règlement collectif de 18 millions de dollars.

Victim
Yale New Haven Health System
Loss
$18.0M
Records
5.6M
Fuite de donnéesRésolu

Fuite de données Hot Topic (2024)

En octobre 2024, le détaillant Hot Topic a subi une fuite de données qui a exposé 57 millions d'adresses e-mail uniques. Les données touchées comprenaient également des adresses postales, numéros de téléphone, achats, genres, dates de naissance et des données bancaires partielles contenant le type de carte, la date d'expiration et les 4 derniers chiffres.

Victim
Hot Topic
Records
56.9M
EspionnageContenu

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim
Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)
RançongicielContenu

Attaque RansomHub contre Halliburton (2024)

RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.

Victim
Halliburton
Loss
$35.0M
Fuite de donnéesRésolu

Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

Victim
National Public Data (Jerico Pictures, Inc.)
Records
2.90B
Bourrage d’identifiantsRançon payée

Violation des relevés d'appels AT&T via Snowflake

AT&T a révélé que des attaquants avaient utilisé des identifiants volés par des infostealers pour s'authentifier auprès de son locataire d'entrepôt de données cloud Snowflake — dépourvu de MFA — et exfiltrer les métadonnées d'appels et de SMS couvrant la quasi-totalité de ses 110 millions de clients mobiles.

Victim
AT&T Communications
Loss
$200.0M
Records
110.0M
RançongicielRançon payée

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim
CDK Global
Loss
$1.00B
Fuite de donnéesRésolu

Fuite de données Advance Auto Parts (2024)

En juin 2024, Advance Auto Parts a confirmé avoir subi une fuite de données mise en vente sur un forum de piratage populaire. Liée à un accès non autorisé aux services cloud Snowflake, la fuite a exposé un grand nombre d'enregistrements concernant à la fois des clients et des employés.

Victim
Advance Auto Parts
Records
79.2M
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M
RançongicielContenu

Attaque par rançongiciel contre Ascension Health

Le rançongiciel Black Basta a paralysé Ascension, l'un des plus grands systèmes de santé américains, après qu'un employé a téléchargé un fichier malveillant. L'attaque a contraint 140 hôpitaux à fonctionner manuellement pendant des semaines, dérouté des ambulances et finalement exposé les données de près de 5,6 millions de patients.

Victim
Ascension
Loss
$1.80B
Records
5.6M
Fuite de donnéesRésolu

Fuite de données Neiman Marcus (2024)

En 2024, le détaillant de luxe Neiman Marcus s'est fait voler des données depuis son environnement cloud Snowflake via des identifiants dérobés. L'entreprise a déclaré environ 64 000 personnes aux régulateurs, mais le jeu de données fuité a exposé environ 31 millions d'adresses e-mail uniques ainsi que des noms, des coordonnées et des numéros de cartes-cadeaux.

Victim
Neiman Marcus
Records
31.2M
Chaîne d’approvisionnementContenu

Porte dérobée dans XZ Utils (CVE-2024-3094)

Une campagne d'ingénierie sociale pluriannuelle menée par un personnage de mainteneur nommé « Jia Tan » a implanté une porte dérobée SSH dissimulée dans la bibliothèque de compression XZ Utils (liblzma) versions 5.6.0 et 5.6.1, notée CVSS 10,0 — découverte par hasard quelques jours avant qu'elle ne puisse atteindre les versions stables de Linux dans le monde entier.

Victim
XZ Utils / écosystème open source Linux
RançongicielContenu

Rançongiciel Cactus contre Schneider Electric Sustainability Business (2024)

Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.

Victim
Schneider Electric — division Sustainability Business
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B
RançongicielContenu

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim
Boeing — Activité Pièces détachées et Distribution
Bourrage d’identifiantsRésolu

Compromission du système de gestion des dossiers de support d'Okta

Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.

Victim
Okta
Bourrage d’identifiantsRésolu

Violation de données 23andMe par credential stuffing

Des attaquants ont utilisé des identifiants réutilisés issus de fuites antérieures pour accéder à des comptes 23andMe, puis ont exploité la fonctionnalité « DNA Relatives » pour collecter des données de généalogie et de profils génétiques de 6,9 millions d'utilisateurs à partir des connexions de proches compromis.

Victim
23andMe Holding Co.
Loss
$50.0M
Records
6.9M
RançongicielRançon payée

Paiement de rançon Scattered Spider chez Caesars Entertainment (2023)

Scattered Spider s'est fait passer pour un employé de Caesars lors d'un appel à un prestataire tiers de support informatique et a convaincu le prestataire d'accorder des identifiants Okta, puis a exfiltré des données de fidélité clients dont des numéros de sécurité sociale et des permis de conduire. Caesars a payé environ 15 millions de dollars de rançon ; le FBI a ensuite gelé une part substantielle des fonds avec l'aide de Chainalysis.

Victim
Caesars Entertainment
Loss
$15.0M
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
Chaîne d’approvisionnementRésolu

Attaque de la chaîne d'approvisionnement 3CX (RPDC)

Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.

Victim
3CX (clients de 3CXDesktopApp)
Ingénierie socialeContenu

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victim
Uber Technologies
Fuite de donnéesContenu

Compromission en deux temps de LastPass et vol des coffres clients (2022)

Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

Victim
LastPass
private-keypartially-recovered

Casse du Ronin Bridge

Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.

Victim
Sky Mavis / Axie Infinity / Ronin Network
Loss
$625.0M
Faille zero-dayRésolu

Log4Shell (Apache Log4j CVE-2021-44228)

Une faille d'exécution de code à distance trivialement exploitable dans Apache Log4j 2, l'omniprésente bibliothèque de journalisation Java, a obtenu le score maximal CVSS 10.0 et exposé des centaines de millions d'appareils et d'applications dans le monde à une prise de contrôle instantanée via une simple chaîne de journalisation forgée.

Victim
Mondial (utilisateurs d'Apache Log4j dans le monde entier)
Fuite de donnéesRésolu

Fuite de données AT&T (2021)

Un jeu de données datant d'août 2021 — noms, adresses, numéros de téléphone, et numéros de sécurité sociale et dates de naissance chiffrés — a refait surface en mars 2024 et a été diffusé gratuitement, AT&T confirmant finalement que près de 73 millions de clients actuels et anciens étaient concernés.

Victim
AT&T
Records
73.0M
Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
RançongicielRançon payée

Rançongiciel REvil contre JBS Foods

Des affiliés de REvil ont chiffré les systèmes du plus grand transformateur de viande au monde, paralysant des usines de transformation de bœuf et de porc aux États-Unis, au Canada et en Australie. JBS a payé une rançon de 11 millions de dollars — l'un des plus importants paiements de rançongiciel publiquement confirmés à l'époque.

Victim
JBS S.A. / JBS USA
Loss
$100.0M
Fuite de donnéesRésolu

Fuite de 533 M d'enregistrements Facebook collectés par scraping

Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.

Victim
Facebook
Loss
$290.0M
Records
533.0M
Fuite de donnéesRésolu

Fuite de données Twitter (200M) (2021)

Début 2023, plus de 200 millions d'enregistrements récupérés par scraping depuis Twitter sont apparus sur un forum de piratage populaire. Les données ont été obtenues courant 2021 en exploitant une API qui permettait de faire correspondre des adresses e-mail à des profils Twitter.

Victim
Twitter (200M)
Records
211.5M
Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss
$100.00B
Fuite de donnéesRésolu

Fuite de données Famm (2020)

Fin 2020, le site japonais de photos de famille Famm a subi une fuite de données qui a ensuite exposé 1,3 million d'enregistrements clients, dont 535 000 adresses e-mail uniques. Les données concernées comprenaient également des noms, des dates de naissance, des genres et des mots de passe stockés sous forme d'empreintes SHA-256.

Victim
Famm
Records
535.2K
Fuite de donnéesRésolu

Extraction de données Gravatar (2020)

En octobre 2020, un chercheur a révélé que l'API de profils de Gravatar pouvait être énumérée sans limitation de débit. 167 millions d'enregistrements (noms, pseudonymes et empreintes d'e-mails) ont été extraits, et 114 millions des hachages MD5 ont été craqués pour révéler les adresses e-mail.

Victim
Gravatar
Records
114.0M
Ingénierie socialeRésolu

Arnaque au Bitcoin et compromission de l'outil d'administration de Twitter

Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.

Victim
Twitter, Inc.
Loss
$118.0K
Fuite de donnéesRésolu

Fuite de données Teespring (2020)

En avril 2020, le site de vêtements imprimés personnalisés Teespring a subi une fuite de données qui a exposé 8,2 millions de dossiers clients. Les données comprenaient des adresses e-mail, des noms, des localisations géographiques et des identifiants de réseaux sociaux.

Victim
Teespring
Records
8.2M
Bourrage d’identifiantsRésolu

Vague de credential stuffing et de zoombombing sur Zoom

Alors que les confinements liés à la pandémie portaient l'usage de Zoom à des niveaux records, plus de 500 000 identifiants de comptes Zoom récoltés par credential stuffing ont été vendus ou distribués gratuitement sur le dark web, tandis que des réunions ouvertes étaient détournées lors d'une vague d'incidents perturbateurs de « zoombombing ».

Victim
Zoom Video Communications (et ses utilisateurs)
Records
530.0K
Fuite de donnéesRésolu

Fuite de données Zynga (2019)

En septembre 2019, le pirate Gnosticplayers a compromis le développeur de jeux Zynga, accédant aux données de près de 173 millions de joueurs de Words With Friends et Draw Something. Les données exposées comprenaient e-mails, noms d'utilisateur, numéros de téléphone et hachages de mots de passe SHA-1 salés.

Victim
Zynga
Records
172.9M
Exploitation de vulnérabilitéRésolu

Exposition de documents First American Financial

Une faille de référence directe à un objet non sécurisée (IDOR) sur le site web de First American Financial a exposé environ 885 millions de documents d'assurance-titre et de crédit immobilier — dont des numéros de sécurité sociale, des coordonnées bancaires et des images de permis de conduire — remontant à 2003, accessibles à quiconque sans authentification.

Victim
First American Financial Corporation
Loss
$1.5M
Records
885.0M
Bourrage d’identifiantsRésolu

Fuite d'identifiants Collection #1

Un dump agrégé d'identifiants de 87 Go publié sur le service cloud MEGA a exposé 772,9 millions d'adresses e-mail uniques et 21,2 millions de mots de passe uniques, assemblés à partir de milliers de fuites antérieures pour alimenter des attaques de credential stuffing à l'échelle industrielle.

Victim
Internautes du monde entier (dump agrégé multi-fuites)
Records
772.9M
Fuite de donnéesContenu

Violation de données Quora

La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.

Victim
Quora
Records
100.0M
Fuite de donnéesRésolu

Fuite de données Dubsmash (2018)

L'application de messagerie vidéo Dubsmash a été compromise en décembre 2018, exposant environ 162 millions de comptes avec des adresses e-mail, des noms d'utilisateur et des empreintes de mots de passe PBKDF2 qui ont ensuite été mises en vente sur la place de marché du dark web Dream Market par le courtier GnosticPlayers.

Victim
Dubsmash
Records
161.7M
EspionnageRésolu

Violation de données clients Marriott / Starwood

Des opérateurs attribués à l'État chinois sont restés présents sans être détectés sur la base de données de réservation des clients de Starwood depuis 2014, survivant à l'acquisition de 2016 par Marriott. Révélation en 2018 : 500 millions d'enregistrements clients exposés, dont 5,25 millions de numéros de passeport non chiffrés.

Victim
Marriott International / Starwood Hotels & Resorts
Loss
$200.0M
Records
500.0M
Fuite de donnéesRésolu

Fuite de données HauteLook (2018)

À la mi-2018, le site de shopping de mode HauteLook figurait parmi un ensemble de sites compromis dont les données ont ensuite été vendues début 2019. Les données comprenaient plus de 28 millions d'adresses e-mail uniques ainsi que des noms, des genres, des dates de naissance et des mots de passe stockés sous forme d'empreintes bcrypt.

Victim
HauteLook
Records
28.5M
Fuite de donnéesRésolu

Exposition de données Apollo (2018)

La start-up d'engagement commercial Apollo a laissé en 2018 une base de données de 9 milliards de points de données et plus de 200 millions de fiches de contact exposée sans mot de passe ; un sous-ensemble de 126 millions d'adresses e-mail uniques a été intégré à Have I Been Pwned après sa découverte par le chercheur Vinny Troia.

Victim
Apollo
Records
125.9M
Fuite de donnéesRésolu

Fuite de données Animoto (2018)

En juillet 2018, le service de création de vidéos dans le cloud Animoto a subi une fuite de données. La fuite a exposé 22 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance, le pays d'origine et des hachages de mots de passe salés.

Victim
Animoto
Records
22.4M
Fuite de donnéesRésolu

Exposition de données Exactis

La société de marketing de données Exactis a laissé une base de données de près de 340 millions d'enregistrements sur des particuliers et des entreprises exposée sur un serveur accessible publiquement, sans pare-feu. Chaque enregistrement contenait jusqu'à 400 champs de données de profilage personnel, des coordonnées à l'âge des enfants, en passant par la religion et les habitudes.

Victim
Exactis LLC
Records
340.0M
Fuite de donnéesRésolu

Fuite de données Ticketfly (2018)

En mai 2018, le site web du service de distribution de billets Ticketfly a été défacé par un attaquant et a ensuite été mis hors ligne. L'attaquant aurait demandé une rançon pour partager les détails de la vulnérabilité avec Ticketfly mais n'a pas reçu de réponse et a par la suite publié les données de la fuite…

Victim
Ticketfly
Records
26.2M
Fuite de donnéesRésolu

Fuite de données Houzz (2018)

À la mi-2018, la plateforme de design d'intérieur Houzz a vu un fichier contenant des données utilisateurs récupéré par un tiers non autorisé. L'entreprise l'a appris fin 2018 et l'a divulgué début 2019. Environ 49 millions de comptes ont été exposés, dont des e-mails, des identifiants, des hachages de mots de passe salés et des localisations déduites de l'adresse IP.

Victim
Houzz
Records
48.9M
Fuite de donnéesRésolu

Fuite de données Poshmark (2018)

En mai 2018, la place de marché de commerce social Poshmark a été piratée et environ 36 millions de comptes utilisateurs ont été exposés, dont des adresses e-mail, des noms, des identifiants, le genre, la localisation et des mots de passe hachés avec bcrypt. L'entreprise a confirmé l'incident en août 2019.

Victim
Poshmark
Records
36.4M
Fuite de donnéesRésolu

Fuite de données Chegg (2018)

L'entreprise de technologie éducative Chegg a révélé une fuite survenue en 2018 touchant environ 40 millions d'utilisateurs, exposant des e-mails, des noms et des hachages de mots de passe MD5 non salés ; la FTC a ensuite cité quatre fuites et ordonné à Chegg de revoir sa sécurité.

Victim
Chegg
Records
39.7M
Ingénierie socialeRésolu

Scandale des données Facebook–Cambridge Analytica

Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.

Victim
Facebook
Loss
$5.00B
Records
87.0M
Fuite de donnéesRésolu

Fuite de données MyFitnessPal (2018)

En février 2018, l'application MyFitnessPal d'Under Armour a été compromise, exposant environ 144 millions de comptes avec noms d'utilisateur, e-mails et mots de passe hachés via un mélange de SHA-1 et bcrypt ; les données ont ensuite été mises en vente par GnosticPlayers.

Victim
MyFitnessPal (Under Armour)
Records
143.6M
Fuite de donnéesRésolu

Violation de données et dissimulation Uber 2016

Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.

Victim
Uber Technologies, Inc.
Loss
$148.0M
Records
57.0M
Fuite de donnéesRésolu

Fuite de données 8tracks (2017)

En juin 2017, le service de playlists en ligne connu sous le nom de 8Tracks a subi une fuite de données qui a touché 18 millions de comptes. Dans sa communication, 8Tracks a indiqué que « le vecteur de l'attaque était le compte GitHub d'un employé, qui n'était pas sécurisé par une authentification à deux facteurs ».

Victim
8tracks
Records
18.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B
Fuite de donnéesRésolu

Fuite de données Edmodo (2017)

En mai 2017, la plateforme éducative Edmodo a été piratée, entraînant l'exposition de 77 millions d'enregistrements comprenant plus de 43 millions d'adresses e-mail uniques de clients. Les données ont par conséquent été publiées sur un forum de piratage populaire et mises à disposition gratuitement.

Victim
Edmodo
Records
43.4M
Exploitation de vulnérabilitéRésolu

Fuite mémoire « Cloudbleed » de Cloudflare

Un bug de dépassement de tampon dans les serveurs périphériques de Cloudflare les amenait à divulguer des fragments de mémoire adjacente — mots de passe, cookies et messages privés d'autres clients — dans des pages web, dont certains ont été mis en cache par les moteurs de recherche. La faille est restée active pendant des mois avant d'être découverte par Project Zero de Google.

Victim
Cloudflare, Inc.
Exploitation de vulnérabilitéRésolu

Fuite de données FriendFinder Networks

Une faille d'inclusion de fichier local a permis aux attaquants de dérober 412 millions de comptes sur les sites pour adultes et de rencontres de FriendFinder Networks, dont AdultFriendFinder. La plupart des mots de passe étaient stockés en clair ou en SHA-1 non salé, et les comptes « supprimés » ne l'avaient jamais réellement été.

Victim
FriendFinder Networks
Records
412.2M
DDoSRésolu

Attaque DDoS Mirai contre le DNS Dyn

Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.

Victim
Dyn, Inc.
Fuite de donnéesRésolu

Fuite de données AbuseWith.Us (2016)

En 2016, le site dédié à aider les internautes à pirater des comptes de messagerie et de jeux en ligne, connu sous le nom d'Abusewith.us, a subi plusieurs fuites de données. Le site aurait eu un administrateur en commun avec le tristement célèbre site LeakedSource, tous deux ayant depuis été fermés.

Victim
AbuseWith.Us
Records
1.4M
EspionnageRésolu

Piratage du Comité national démocrate

Les unités 26165 (APT28) et 31165 (APT29) du GRU russe ont compromis le Comité national démocrate, la campagne de Hillary Clinton et le DCCC. Des courriels volés ont été diffusés de manière sélective via « DCLeaks », « Guccifer 2.0 » et WikiLeaks pour influencer l'élection présidentielle américaine de 2016.

Victim
Comité national démocrate + campagne Clinton + DCCC
Loss
$50.0M
Records
50.0K
Fuite de donnéesRésolu

Fuite d'identifiants MySpace

Les identifiants d'environ 360 millions de comptes MySpace antérieurs à 2013 ont été mis en vente sur le dark web en 2016. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés, rendant trivialement cassable l'une des plus grandes fuites d'identifiants jamais divulguées.

Victim
MySpace (Time Inc.)
Records
360.0M
Espionnagestolen

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim
Bangladesh Bank
Loss
$81.0M
Fuite de donnéesRésolu

Fuite de données Patreon (2015)

En octobre 2015, le site de financement participatif Patreon a été piraté et plus de 16 Go de données ont été divulgués publiquement. Le dump comprenait près de 14 Go d'enregistrements de base de données avec plus de 2,3 millions d'adresses e-mail uniques, des millions de messages personnels et des mots de passe stockés sous forme de hachages bcrypt.

Victim
Patreon
Records
2.3M
EspionnageRésolu

Violation de données Anthem Inc.

Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.

Victim
Anthem Inc.
Loss
$260.0M
Records
78.8M
WiperRésolu

Piratage de Sony Pictures Entertainment

Une attaque destructrice par wiper nord-coréenne, liée à la sortie du film « L'Interview qui tue », a détruit environ la moitié du parc informatique de Sony Pictures et divulgué des téraoctets de documents internes, d'e-mails et de films inédits.

Victim
Sony Pictures Entertainment
Loss
$100.0M
Records
1.0M
Fuite de donnéesRésolu

Fuite de données JPMorgan Chase

Les attaquants ont exploité un serveur dépourvu d'authentification à deux facteurs pour compromettre plus de 90 serveurs de JPMorgan Chase et dérober les coordonnées de 76 millions de foyers et 7 millions de petites entreprises — l'une des plus importantes intrusions jamais subies par une institution financière américaine.

Victim
JPMorgan Chase
Records
83.0M
Logiciel malveillantRésolu

Compromission des points de vente Home Depot

Les attaquants ont utilisé les identifiants volés d'un prestataire et un logiciel malveillant sur mesure pour points de vente afin de collecter environ 56 millions de cartes de paiement et 53 millions d'adresses e-mail sur les caisses automatiques américaines et canadiennes de Home Depot pendant cinq mois — la plus grande compromission de cartes du secteur de la distribution de son époque.

Victim
The Home Depot
Loss
$179.0M
Records
56.0M
Fuite de donnéesRésolu

Fuite de données Bitly (2014)

En mai 2014, l'entreprise de gestion de liens Bitly a annoncé avoir subi une fuite de données. La fuite contenait plus de 9,3 millions d'adresses e-mail uniques, de noms d'utilisateur et de mots de passe hachés, la plupart utilisant SHA1 et un petit nombre utilisant bcrypt.

Victim
Bitly
Records
9.3M
Chaîne d’approvisionnementRésolu

Violation par logiciel malveillant des terminaux de paiement de Target

Les attaquants ont pénétré chez Target grâce à des identifiants dérobés à un sous-traitant en CVC, ont pivoté vers le réseau de paiement et ont volé les données de piste magnétique de 40 millions de cartes de crédit et de débit ainsi que les données personnelles de 70 millions de clients.

Victim
Target Corporation
Loss
$292.0M
Records
110.0M
Fuite de donnéesRésolu

Fuite de données Adobe (2013)

Des attaquants ont dérobé environ 153 millions d'enregistrements de comptes Adobe — identifiants, e-mails, mots de passe faiblement chiffrés et indices en clair — ainsi que le code source de plusieurs produits Adobe, dans l'une des plus grandes fuites jamais subies par un éditeur de logiciels.

Victim
Adobe Systems
Loss
$1.0M
Records
152.4M
Fuite de donnéesRésolu

Fuite de données Evite (2013)

Une archive de base de données de 2013 du site d'invitations Evite a été consultée par un attaquant puis échangée en ligne, exposant environ 101 millions d'adresses e-mail uniques ainsi que des noms, numéros de téléphone, adresses postales, dates de naissance et mots de passe en clair.

Victim
Evite
Records
101.0M
Fuite de donnéesRésolu

Fuite de données Tumblr (2013)

Une intrusion survenue en 2013 sur la plateforme de blogs Tumblr a exposé environ 65 millions d'adresses e-mail et de hachages de mots de passe SHA-1 salés ; l'ampleur n'a été révélée qu'en 2016, lorsque les données ont été mises en vente sur des marchés du dark web.

Victim
Tumblr
Records
65.5M
Fuite de donnéesRésolu

Fuite de mots de passe LinkedIn

Une intrusion de 2012 chez LinkedIn a exposé des mots de passe utilisateurs stockés sous forme de hachages SHA-1 non salés. D'abord annoncée à 6,5 millions d'identifiants, l'ampleur réelle de 117 millions de comptes n'est apparue qu'en 2016, lorsque les données ont été mises en vente sur le dark web.

Victim
LinkedIn
Loss
$1.3M
Records
117.0M
EspionnageRésolu

Compromission des graines SecurID de RSA

Un courriel de harponnage porteur d'une faille zero-day Flash a donné aux attaquants un point d'entrée chez RSA, depuis lequel ils ont exfiltré des données liées au système d'authentification à deux facteurs SecurID — données ensuite utilisées dans une tentative d'intrusion contre Lockheed Martin.

Victim
RSA Security (EMC)
Loss
$66.0M
Fuite de donnéesRésolu

Compromission de cartes chez Heartland Payment Systems

Un point d'entrée par injection SQL a permis au groupe d'Albert Gonzalez d'implanter un logiciel renifleur dans le réseau de traitement des paiements de Heartland, capturant environ 130 millions de numéros de cartes en transit — à l'époque la plus grande violation de données de cartes jamais divulguée.

Victim
Heartland Payment Systems
Loss
$200.0M
Records
130.0M
Fuite de donnéesRésolu

Compromission de cartes chez TJX Companies (T.J. Maxx)

Des attaquants menés par Albert Gonzalez ont intercepté le Wi-Fi en magasin, faiblement chiffré, d'un point de vente Marshalls, puis ont rebondi vers les systèmes centraux de TJX, exfiltrant environ 94 millions d'enregistrements de cartes de paiement sur une intrusion de 18 mois — la plus grande violation de données du commerce de détail américain de son époque.

Victim
The TJX Companies, Inc.
Loss
$256.0M
Records
94.0M