i-Run : la fuite de 1,2 million de clients ne provient pas de leur base
En mai 2026, un acteur malveillant utilisant le pseudonyme lowiq a mis en vente une base d'environ 1 223 520 enregistrements attribuée au e-commerçant français i-Run, mais l'entreprise a établi après enquête que ces données ne provenaient pas de ses propres systèmes.
- Victime
- i-Run
Le 4 mai 2026, i-Run — e-commerçant français spécialisé dans l'équipement de course à pied et de sports d'endurance (i-run.fr) — a été cité dans un jeu de données mis en vente sur un forum cybercriminel par un acteur malveillant utilisant le pseudonyme lowiq. L'annonce, proposée pour environ 400 dollars, prétendait contenir près de 1 223 520 fiches clients et présentait ces données comme obtenues en avril 2026.
L'échantillon diffusé par le vendeur comprenait les catégories de données personnelles suivantes :
- Noms complets
- Adresses e-mail
- Numéros de téléphone
- Adresses postales
- Dates de naissance
i-Run a vérifié ces affirmations en examinant ses journaux d'accès et en comparant l'échantillon divulgué à sa propre base de clients. L'entreprise n'a relevé aucun accès suspect à son infrastructure et a conclu que ce jeu de données ne provenait pas de ses systèmes : seule une faible proportion des contacts (environ 3 %) correspondait à ses fiches, les adresses et codes postaux présentaient des incohérences, et l'échantillon contenait des dates de naissance — une information qu'i-Run ne collecte pas auprès de ses clients.
L'incident semble porter sur des données mal attribuées à i-Run ou recomposées à partir d'autres sources, plutôt que sur une véritable compromission des bases du commerçant. Aucune intrusion confirmée dans l'environnement d'i-Run n'a été établie, même si l'association publique de la marque à cette fuite a tout de même exposé des personnes nommées à un risque accru de hameçonnage et de fraude.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/i-run-plus-de-12-million-de-clients-exposes-dans-une-fuite-de-donnees/