Mise en vente de 30 millions de dossiers d'élèves vietnamiens

En juillet 2022, un acteur malveillant utilisant le pseudonyme « meli0das » a mis en vente sur un forum de piratage clandestin une base de données de plus de 30 millions d'élèves, d'enseignants et de personnels éducatifs vietnamiens. Au prix de 3 500 dollars en Monero, ce trésor — s'il était authentique à pleine échelle — figurerait parmi les plus grandes violations de l'histoire du Vietnam, touchant environ un tiers de la population du pays.

Ce qui s'est passé

Le vendeur, qui s'était inscrit sur le forum en juin 2022, affirmait avoir obtenu les dossiers d'une grande plateforme / site web éducatif vietnamien. Il prétendait que les données n'avaient « jamais été divulguées » auparavant et n'offrait des échantillons de preuve qu'aux acheteurs en mesure de démontrer des fonds suffisants.

Pour établir sa crédibilité, meli0das a publié un échantillon d'environ 70 dossiers — la plupart appartenant à des enseignants — que les chercheurs ont examinés et jugés cohérents avec des données réelles du système éducatif.

Ce qui a été exposé

Selon l'annonce et l'échantillon publié, chaque dossier contenait :

Noms complets
Adresses e-mail et coordonnées
Dates de naissance
Notes / résultats scolaires des élèves
Nom de l'établissement et localisation

Le même acteur a mis en vente séparément un ensemble plus restreint de 360 000 dossiers d'élèves d'un autre établissement éducatif, suggérant un accès à plusieurs sources plutôt qu'une violation isolée unique.

Paiement et mobile

Le prix demandé de 3 500 dollars devait être réglé en Monero (XMR), une cryptomonnaie axée sur la confidentialité, prisée des criminels car ses transactions sont bien plus difficiles à tracer que celles du Bitcoin. Le mobile était purement financier — les données étaient proposées à la vente, et non utilisées pour de l'extorsion ni divulguées librement.

Pourquoi c'est important

L'incident s'est inscrit dans une vague de fuites de données vietnamiennes à grande échelle qui a suscité une inquiétude nationale. Les jeux de données éducatifs sont particulièrement sensibles car ils concernent des mineurs et combinent des détails d'identité avec des coordonnées — un matériau de choix pour le hameçonnage, la fraude et les arnaques ciblées contre les familles.

Survenant après l'exposition des Zing ID de VNG et d'autres fuites massives, la mise en vente de 30 millions de dossiers d'élèves a renforcé un avertissement récurrent des chercheurs en sécurité : le Vietnam fait face à un problème structurel de fuite de données, avec de vastes ensembles de données de citoyens et d'élèves mal sécurisés et resurgissant à plusieurs reprises sur les marchés criminels. Elle a accentué l'urgence d'appliquer le décret sur la protection des données personnelles émergent du Vietnam et les demandes de garanties plus strictes autour des systèmes gouvernementaux et éducatifs. La violation n'a jamais été publiquement attribuée à un acteur connu ni pleinement corrigée.

Chronologie

1 juin 2022

Un compte nommé « meli0das » s'inscrit sur un forum de piratage clandestin.

1 juillet 2022

L'acteur met en vente plus de 30 millions de dossiers d'une plateforme éducative vietnamienne pour 3 500 dollars en Monero.

1 juillet 2022

Pour prouver l'authenticité, le vendeur publie un échantillon d'environ 70 dossiers, majoritairement des enseignants.

14 juillet 2022

La vente est rendue publique ; les chercheurs avertissent qu'il pourrait s'agir de l'une des plus grandes violations de l'histoire du Vietnam.

1 juillet 2022

Le même acteur met en vente un ensemble distinct de 360 000 dossiers d'élèves d'un autre établissement.

Sources

izoologic.comhttps://izoologic.com/2022/07/14/over-30m-of-school-records-in-vietnam-gets-sold-by-a-hacker

e.vnexpress.nethttps://e.vnexpress.net/news/news/vietnam-has-a-big-data-leak-problem-4501707.html

cyberlands.iohttps://www.cyberlands.io/topsecuritybreachesvietnam

cybernews.comhttps://cybernews.com/security/vietnam-data-breach-exposes-entire-population/

Incidents liés

Fuite de donnéesRésolu24 novembre 2019

Fuite de données TaiLieu (2019)

En novembre 2019, le site éducatif vietnamien TaiLieu aurait subi une fuite de données exposant 7,3 millions de dossiers clients. Les données touchées comprenaient des noms et noms d'utilisateur, des adresses e-mail, des dates de naissance, des genres et des mots de passe stockés sous forme de condensats MD5 non salés.

Victim: TaiLieu
Records: 7.3M

Fuite de donnéesEn cours11 juin 2026

Fuite des dossiers étudiants de l'Université de Nottingham revendiquée par ShinyHunters (2026)

L'Université de Nottingham a confirmé un incident informatique après que le groupe d'extorsion ShinyHunters a affirmé avoir volé environ 40 Go de données de son système de dossiers étudiants, exposant quelque 455 000 adresses e-mail ainsi que des noms, numéros de passeport et informations de paiement des frais.

Victim: University of Nottingham
Records: 455.0K

Fuite de donnéesEn cours22 mai 2026

Move Up Formation piraté : base de données, code source et accès administrateur en fuite

Le 22 mai 2026, l'organisme de formation professionnelle Move Up Formation (moveup-formation.fr) est apparu sur un forum cybercriminel, où des attaquants affirment avoir dérobé sa base SQL complète, ses fichiers clients, l'intégralité du code source du site et un accès administrateur Stripe.

Victim: Move Up Formation

Fuite de donnéesInconnu14 mai 2026

Collège de France : plus de 1 600 chercheurs, enseignants et documents internes en fuite

Le 14 mai 2026, un acteur malveillant connu sous le nom de ChimeraZ a revendiqué la fuite d'environ 1 600 profils de chercheurs et de personnels du Collège de France, ainsi que de plusieurs centaines de mégaoctets de fichiers internes issus d'une instance Nextcloud.

Victim: Collège de France