Skip to content
Cyber Breaches
Recherche
Fuite de donnéesRésolu

Violation de 163 millions de comptes Zing ID de VNG

Une violation de 2015 de la plateforme Zing du géant technologique vietnamien VNG a exposé environ 163 millions de comptes Zing ID, dont les identifiants, mots de passe, e-mails et numéros de téléphone se sont ensuite retrouvés en vente sur RaidForums.

Victime
VNG Corporation (Zing ID)
données
163.7M
utilisateurs
163.7M
SecteurTechnologie
PaysViêt Nam

En avril 2018, l'une des plus grandes violations de données jamais recensées en Asie du Sud-Est a été révélée : environ 163 millions de dossiers de comptes de Zing, la plateforme du géant Internet vietnamien VNG Corporation, ont été retrouvés en vente sur le forum de piratage RaidForums. La violation sous-jacente remontait en réalité à 2015, mais sa véritable ampleur n'est devenue publique que trois ans plus tard.

Ce qui s'est passé

En mai 2015, des attaquants ont compromis la base de données derrière Zing ID — l'identifiant de connexion unifié que VNG utilisait pour ses jeux et services en ligne. La violation n'a pas été rendue publique à l'époque. En avril 2018, un utilisateur de RaidForums a mis en vente un jeu de données de exactement 163 666 400 comptes Zing ID, un fichier totalisant environ 7,55 Go.

Les dossiers divulgués comprenaient :

  • Identifiants et mots de passe
  • Adresses e-mail
  • Numéros de téléphone
  • Noms complets et dates de naissance
  • Adresses IP, ville et pays

Réponse de VNG

Dans un communiqué du 29 avril 2018, VNG s'est abstenue de confirmer pleinement la violation, mais a reconnu avoir « été informée d'un risque de fuite de données portant sur plus de 160 millions de Zing ID » en 2015. L'entreprise a cherché à minimiser l'impact, soulignant que les comptes concernés étaient en grande partie des comptes de jeu — nombre d'entre eux générés automatiquement par ses jeux — et faisant valoir que « l'ampleur de la violation était limitée » sans affecter ses autres services.

La violation a été intégrée à Have I Been Pwned, offrant au public un moyen de vérifier son exposition et consacrant son statut de l'une des plus grandes fuites d'identifiants liées à une seule entreprise vietnamienne.

Le problème de l'ampleur

Le chiffre principal d'environ 163 millions dépasse la population entière du Vietnam (environ 95 millions à l'époque), reflétant le fait qu'un même utilisateur pouvait détenir plusieurs Zing ID générés par les jeux et que le jeu de données s'était accumulé au fil des années. Même corrigé des doublons et des comptes créés par machine, il représentait un énorme trésor d'identifiants réutilisables — du carburant pour des attaques de bourrage d'identifiants (credential-stuffing) contre d'autres services où les utilisateurs recyclaient leurs mots de passe.

Pourquoi c'est important

La violation de Zing ID est un cas emblématique de divulgation tardive : une compromission de 2015 dont le public n'a pris connaissance qu'en 2018, et dont les données ont refait surface en 2023 au sein de la compilation dite « Mother of All Breaches » de 26 milliards de dossiers. Elle illustre comment les identifiants divulgués ne disparaissent jamais vraiment — ils recirculent à travers les forums et les agrégations pendant des années. L'incident est devenu une référence dans le débat vietnamien sur la protection des données personnelles, contribuant à motiver le futur décret sur la protection des données personnelles (PDPD) du pays et une législation plus large sur la sécurité des données.

Chronologie

  1. La plateforme Zing de VNG est piratée, exposant environ 163 millions de dossiers de comptes Zing ID.

  2. Un utilisateur de RaidForums met en vente 163 666 400 comptes Zing ID, totalisant environ 7,55 Go de données.

  3. VNG publie un communiqué reconnaissant avoir eu connaissance d'un risque de fuite portant sur plus de 160 millions de Zing ID.

  4. La violation est intégrée à Have I Been Pwned, exposant l'ampleur de l'affaire au public.

  5. Le jeu de données Zing de 2015 refait surface au sein de la compilation « Mother of All Breaches » de 26 milliards de dossiers.

Sources

  1. haveibeenpwned.comhttps://haveibeenpwned.com/Breach/VNG
  2. freezenet.cahttps://www.freezenet.ca/vng-apologizes-data-breach-exposed-163-million-accounts/
  3. e.vnexpress.nethttps://e.vnexpress.net/news/news/164-million-zing-records-found-in-historic-data-breach-4704981.html
  4. cyberlands.iohttps://www.cyberlands.io/topsecuritybreachesvietnam

Incidents liés

Fuite de donnéesRésolu

Fuite de données BannerBit (2018)

Aux alentours de décembre 2018, la plateforme publicitaire en ligne BannerBit a subi une fuite de données. Contenant 213 000 adresses e-mail uniques et des mots de passe en texte clair, les données ont été fournies à HIBP par un tiers. Plusieurs tentatives ont été faites pour contacter BannerBit, mais aucune réponse n'a été reçue.

Victim
BannerBit
Records
213.4K
Fuite de donnéesRésolu

Fuite de données Ajarn (2018)

En septembre 2021, le site thaïlandais d'enseignement de l'anglais Ajarn a découvert qu'il avait été victime d'une fuite de données remontant à décembre 2018. La fuite a été signalée à HIBP par l'entreprise elle-même et comprenait 266 000 adresses e-mail, noms, genres, numéros de téléphone et autres informations personnelles.

Victim
Ajarn
Records
266.4K
Fuite de donnéesContenu

Violation de données Quora

La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.

Victim
Quora
Records
100.0M
Fuite de donnéesRésolu

Fuite de données WPSandbox (2018)

En novembre 2018, le service de bac à sable WordPress permettant de créer des sites web temporaires WP Sandbox a découvert que son service était utilisé pour héberger un site de phishing tentant de collecter des comptes Microsoft OneDrive.

Victim
WPSandbox
Records
858