Fuite chez Sumsub
En février 2026, le prestataire de vérification d'identité (KYC) Sumsub a révélé une intrusion datant de 2024 — restée invisible pendant ~18 mois — au cours de laquelle un attaquant a atteint un environnement de support client et exposé les noms, adresses email et numéros de téléphone de clients de plateformes crypto et fintech qu'il dessert.
- Victime
- Sumsub
Le 9 février 2026, Sumsub — l'un des principaux prestataires de vérification d'identité en ligne (KYC/AML), utilisé par de grandes plateformes crypto et fintech — a révélé une fuite de données restée non détectée pendant environ 18 mois. L'intrusion remonte à juillet 2024 et n'a été identifiée qu'en janvier 2026 lors d'un audit de sécurité interne.
Selon l'entreprise, l'attaquant a obtenu l'accès à un environnement interne de support client après l'envoi d'une pièce jointe malveillante via une plateforme tierce de gestion de tickets. Sumsub affirme que la compromission s'est limitée à cet environnement de support et n'a pas atteint ses systèmes de production ni sa chaîne de vérification, et qu'aucun élément n'indique que l'attaquant ait conservé un accès au-delà de juillet 2024.
Les données concernées portaient sur les clients de plateformes qui s'appuient sur Sumsub pour l'enregistrement — les noms cités dans la presse incluent Bitget, Bybit, MoonPay, Bitpanda, Wirex, BingX, MEXC et Coinlist. Les données exposées relevaient du contact plutôt que des pièces d'identité :
- Nom et prénom
- Adresse email
- Numéro de téléphone
Sumsub maintient qu'aucun document d'identité, donnée biométrique ou information bancaire n'a fuité. Le nombre total de personnes touchées n'a pas été rendu public. La combinaison nom + coordonnées exposée se prêtant bien aux attaques ciblées de phishing, de SIM-swap et d'ingénierie sociale visant les utilisateurs crypto, des chercheurs en sécurité ont signalé un risque accru en aval pour les personnes concernées. Sumsub indique avoir refermé l'accès en cause et sécurisé la plateforme de support.
Sources
- cryptoast.frhttps://cryptoast.fr/bitget-bybit-moonpay-bitpanda-donnees-personnelles-clients-pourraient-avoir-fuite-a-cause-fournisseur-kyc/
- europe-infos.frhttps://www.europe-infos.fr/english/8326/identity-check-vendor-sumsub-says-hack-went-undetected-for-18-months-exposing-french-users-contact-data/
- privacyguides.orghttps://www.privacyguides.org/news/2026/02/13/data-breach-roundup-feb-6-feb-12-2026/
- lebot-avocat.comhttps://lebot-avocat.com/en/sumsub-data-breach-cyberattack-exposes-kyc-chain-risks/