18 140 personnes touchées par une fuite revendiquée chez AVEA Vacances
Le 23 mai 2026, AVEA Vacances, association française organisant des séjours éducatifs et colonies de vacances pour enfants et adolescents, a été visée par une fuite sur forum d'environ 46 000 enregistrements (128 Mo), dont un fichier de 18 140 lignes de données de postiers et CSE ainsi que des documents de réservation et comptables.
- Victime
- AVEA Séjours / AVEA Vacances
- données
- 18.1K
Le 23 mai 2026, AVEA Vacances (AVEA Séjours) — association française à but non lucratif qui organise des colonies de vacances et des séjours éducatifs pour enfants et adolescents — a été citée dans une fuite de données publiée sur un forum cybercriminel. La publication, attribuée à un acteur malveillant se faisant appeler ChimeraZ, revendiquait un dump d'environ 46 000 enregistrements pour quelque 128 Mo, issus des plateformes avea-vacances.fr et abv.avea.asso.fr.
La fuite était présentée comme un ensemble de bases de données et de documents internes plutôt qu'une seule table clients. Parmi les fichiers cités figuraient un jeu 20K-documents.json de plus de 20 000 documents d'organisation de séjours, un fichier 18K-Postiers-CSE.json de plus de 18 000 lignes liées à des employés de La Poste et à des structures de comité social et économique (CSE), ainsi que plusieurs milliers de factures internes. Le chiffre de 18 140 correspond à ce fichier postiers/CSE.
Les catégories de données exposées rapportées comprenaient :
- Noms, dates de naissance et affectations départementales du personnel et des bénéficiaires
- Périodes de réservation et d'inscription aux séjours jeunesse
- Factures de location de véhicules et références de contrats
- Données financières et comptables (montants, modes de paiement, budgets d'activité, statuts comptables)
- Documents administratifs internes relatifs aux centres de vacances
Le vecteur d'attaque n'a pas été divulgué et l'incident reste une revendication non vérifiée : l'acteur a publié des échantillons et des références de téléchargement, mais AVEA Vacances n'avait pas confirmé publiquement la fuite ni l'authenticité des données au moment de la publication. Si elles sont avérées, ces informations pourraient permettre des attaques de phishing, des fraudes à la facturation et des opérations d'ingénierie sociale visant les familles, employés et organisations partenaires concernés.
Sources
- fuitesinfos.frhttps://fuitesinfos.fr/article/2026-05-23-avea-sejours-avea-vacances
- cyberattaque.orghttps://www.cyberattaque.org/avea-vacances-victime-dune-cyberattaque-46-000-dossiers-de-sejours-exposes/
- darkwebinformer.comhttps://darkwebinformer.com/avea-vacances-allegedly-breached-46k-french-holiday-camp-records-exposed/