FulcrumSec diffuse les données de Global Schools Foundation, exposant plus de 33 000 passeports d'enfants et de parents

Le 10 juin 2026, le groupe d'extorsion de données FulcrumSec — une équipe relativement récente, de type rançongiciel, qui mise sur le vol et la publication plutôt que sur le chiffrement — a inscrit Global Schools Foundation (GSF) sur son site de fuite et a diffusé ce qu'il décrit comme environ 4,8 téraoctets de données dérobées à ce groupe éducatif basé à Singapour. À travers sa branche opérationnelle Global Schools Group (GSG), GSF exploite un réseau de marques d'écoles internationales et plus de 60 campus répartis en Inde, en Malaisie, au Cambodge, au Japon, en Arabie saoudite, à Singapour, en Corée du Sud, aux Philippines et au Royaume-Uni, ce qui fait de cette fuite l'un des incidents les plus lourds de conséquences du secteur éducatif cette année, par la seule sensibilité des données concernées.

Ce qui s'est passé

Selon le récit de FulcrumSec, le groupe a d'abord pris pied grâce à des identifiants de base de données jamais renouvelés après une fuite antérieure en 2022 — les mêmes mots de passe MongoDB seraient restés valides en 2026. À l'aide de cet accès, les attaquants affirment avoir exfiltré des données sur environ une semaine à partir d'avril 2026, et soutiennent que l'intrusion est passée inaperçue ; selon eux, l'organisation n'en aurait probablement jamais eu connaissance si FulcrumSec ne l'avait pas contactée. Les données ont été publiées après l'échec d'une négociation sur la rançon, le groupe se plaignant auprès de DataBreaches.Net du comportement « bizarre » du négociateur de la victime avant la rupture des discussions.

Le matériel exposé est particulièrement sensible parce qu'une grande partie concerne des mineurs. FulcrumSec affirme que le butin comprend 33 088 numéros de passeport appartenant à des enfants et à leurs parents de 66 nationalités, ainsi que des registres de présence, des mots de passe d'enseignants et des photos de visiteurs des campus — et environ 9,4 millions de messages internes couvrant la période 2006 à 2024.

Conséquences

• FulcrumSec affirme avoir exfiltré environ 4,8 To de données de Global Schools Group.
• La fuite comprendrait 33 088 numéros de passeport d'enfants et de parents de 66 nationalités.
• Environ 9,4 millions de messages internes (2006–2024) feraient partie du jeu de données, aux côtés de registres de présence et d'identifiants.
• L'accès initial est attribué à des identifiants MongoDB restés inchangés depuis une fuite de 2022.
• Les données ont été publiées après l'échec des négociations sur la rançon ; aucun paiement connu n'a été effectué.

Pourquoi c'est important

Les écoles détiennent certaines des données personnelles les plus riches qui soient — pièces d'identité complètes, liens familiaux et années de dossiers concernant des enfants qui ne peuvent ni consentir véritablement ni se protéger — et la fuite de dizaines de milliers de passeports de mineurs est le type d'exposition susceptible de nourrir la fraude à l'identité pendant une décennie ou plus. L'incident est aussi une leçon brutale d'hygiène élémentaire : si le récit de FulcrumSec se confirme, toute la fuite remonte à des identifiants connus comme compromis dès 2022 et tout simplement jamais modifiés, laissant les dossiers les plus sensibles d'un réseau scolaire mondial accessibles des années plus tard avec d'anciennes clés.