Skip to content
Fuite de donnéesInconnu

99 671 personnes : fuite de données revendiquée chez Lagrange Vacances

Le 19 mai 2026, un cybercriminel connu sous le nom de ChimeraZ a revendiqué la fuite d'une base de données de l'opérateur français de locations de vacances Lagrange Vacances, exposant prétendument les réservations de plus de 44 000 vacanciers via une faille IDOR.

Victime
Lagrange Vacances
données
44.0K

Le 19 mai 2026, Lagrange Vacances — opérateur français de résidences de vacances et de locations saisonnières exploitant des établissements en France et en Europe — a été visé par une revendication de fuite de données publiée sur un forum cybercriminel. L'auteur, qui se fait appeler ChimeraZ et a déjà été associé à plusieurs fuites visant le secteur français du tourisme et de la location saisonnière, met en avant une base de données présentée comme liée aux réservations de l'opérateur.

Selon la revendication, le jeu de données concernerait plus de 44 000 personnes et aurait été diffusé au format JSON. ChimeraZ attribue la compromission à une vulnérabilité de type IDOR (Insecure Direct Object Reference) — exploitée via un compte professionnel compromis — qui permet à un utilisateur authentifié d'accéder à des ressources auxquelles il ne devrait pas avoir accès, simplement en modifiant certains identifiants dans les requêtes ou les URL.

Les données exposées porteraient principalement sur les réservations et séjours touristiques, notamment :

  • Noms et coordonnées des vacanciers
  • Dates d'arrivée et de départ et informations sur les logements
  • Informations sur les occupants, prestations achetées et tarifs
  • Commentaires libres associés aux réservations, susceptibles de révéler des habitudes de voyage, des périodes d'absence du domicile et des préférences personnelles

La fuite reste non confirmée : à ce stade, aucun élément indépendant ne permet de confirmer l'ampleur exacte de la compromission revendiquée, et Lagrange Vacances n'a pas confirmé publiquement l'incident. Le chiffre de 99 671 entrées repris dans les trackers semble correspondre au nombre brut de lignes, tandis que les sources indépendantes évoquent plus de 44 000 personnes distinctes concernées.

Sources

  1. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-05-19-lagrange-vacances
  2. cyberattaque.orghttps://www.cyberattaque.org/vacances-lagrange-plus-de-44-000-vacanciers-touches-par-une-fuite-de-donnees/
  3. x.comhttps://x.com/DailyDarkWeb/status/2056789105460011516

Incidents liés

Fuite de donnéesInconnu

18 140 personnes touchées par une fuite revendiquée chez AVEA Vacances

Le 23 mai 2026, AVEA Vacances, association française organisant des séjours éducatifs et colonies de vacances pour enfants et adolescents, a été visée par une fuite sur forum d'environ 46 000 enregistrements (128 Mo), dont un fichier de 18 140 lignes de données de postiers et CSE ainsi que des documents de réservation et comptables.

Victim
AVEA Séjours / AVEA Vacances
Records
18.1K
Fuite de donnéesContenu

Fuite de données chez Nemea Groupe confirmée par l'entreprise

Nemea Groupe, exploitant français de résidences étudiantes, de résidences de tourisme et d'appart'hôtels, a confirmé une fuite de données touchant ses candidats locataires après l'exfiltration par le pirate ChimeraZ d'une base concernant environ 12 590 personnes, exposant identités, coordonnées, données bancaires et pièces d'identité scannées.

Victim
Nemea Groupe
Records
12.6K