99 671 personnes : fuite de données revendiquée chez Lagrange Vacances
Le 19 mai 2026, un cybercriminel connu sous le nom de ChimeraZ a revendiqué la fuite d'une base de données de l'opérateur français de locations de vacances Lagrange Vacances, exposant prétendument les réservations de plus de 44 000 vacanciers via une faille IDOR.
- Victime
- Lagrange Vacances
- données
- 44.0K
Le 19 mai 2026, Lagrange Vacances — opérateur français de résidences de vacances et de locations saisonnières exploitant des établissements en France et en Europe — a été visé par une revendication de fuite de données publiée sur un forum cybercriminel. L'auteur, qui se fait appeler ChimeraZ et a déjà été associé à plusieurs fuites visant le secteur français du tourisme et de la location saisonnière, met en avant une base de données présentée comme liée aux réservations de l'opérateur.
Selon la revendication, le jeu de données concernerait plus de 44 000 personnes et aurait été diffusé au format JSON. ChimeraZ attribue la compromission à une vulnérabilité de type IDOR (Insecure Direct Object Reference) — exploitée via un compte professionnel compromis — qui permet à un utilisateur authentifié d'accéder à des ressources auxquelles il ne devrait pas avoir accès, simplement en modifiant certains identifiants dans les requêtes ou les URL.
Les données exposées porteraient principalement sur les réservations et séjours touristiques, notamment :
- Noms et coordonnées des vacanciers
- Dates d'arrivée et de départ et informations sur les logements
- Informations sur les occupants, prestations achetées et tarifs
- Commentaires libres associés aux réservations, susceptibles de révéler des habitudes de voyage, des périodes d'absence du domicile et des préférences personnelles
La fuite reste non confirmée : à ce stade, aucun élément indépendant ne permet de confirmer l'ampleur exacte de la compromission revendiquée, et Lagrange Vacances n'a pas confirmé publiquement l'incident. Le chiffre de 99 671 entrées repris dans les trackers semble correspondre au nombre brut de lignes, tandis que les sources indépendantes évoquent plus de 44 000 personnes distinctes concernées.
Sources
- fuitesinfos.frhttps://fuitesinfos.fr/article/2026-05-19-lagrange-vacances
- cyberattaque.orghttps://www.cyberattaque.org/vacances-lagrange-plus-de-44-000-vacanciers-touches-par-une-fuite-de-donnees/
- x.comhttps://x.com/DailyDarkWeb/status/2056789105460011516