Le Threat Intelligence Group de Google a révélé que l'acteur lié à la RPC UNC6508 a passé plus d'un an au sein d'environnements de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada, compromettant d'anciens serveurs REDCap, déployant le maliciel sur mesure INFINITERED et détournant les règles de conformité de la messagerie Google Workspace pour exfiltrer discrètement des données de recherche et de défense.
Victim
Institutions de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada
L'Université de Nottingham a confirmé un incident informatique après que le groupe d'extorsion ShinyHunters a affirmé avoir volé environ 40 Go de données de son système de dossiers étudiants, exposant quelque 455 000 adresses e-mail ainsi que des noms, numéros de passeport et informations de paiement des frais.
Le groupe d'extorsion FulcrumSec affirme avoir volé environ 4,8 téraoctets de données à la fondation singapourienne Global Schools Foundation après avoir exploité des identifiants de base de données restés inchangés depuis une fuite de 2022, diffusant 33 088 numéros de passeport d'enfants et de parents ainsi qu'environ 9,4 millions de messages internes lorsque les négociations sur la rançon ont échoué.
Le 22 mai 2026, l'organisme de formation professionnelle Move Up Formation (moveup-formation.fr) est apparu sur un forum cybercriminel, où des attaquants affirment avoir dérobé sa base SQL complète, ses fichiers clients, l'intégralité du code source du site et un accès administrateur Stripe.
Transitions Pro Centre-Val de Loire, l'organisme régional qui finance et accompagne les projets de reconversion professionnelle des salariés, a été visé par le groupe de ransomware Prinz Eugen, qui affirme avoir exfiltré et chiffré des centaines de Go de données RH, financières et personnelles et menace de les publier.
Le 14 mai 2026, un acteur malveillant connu sous le nom de ChimeraZ a revendiqué la fuite d'environ 1 600 profils de chercheurs et de personnels du Collège de France, ainsi que de plusieurs centaines de mégaoctets de fichiers internes issus d'une instance Nextcloud.
Le 14 mai 2026, l’acteur ChimeraZ a diffusé des données d’EFC Formation (École Française de Comptabilité), publiant une archive de 1,3 Go concernant environ 49 000 étudiants et mettant en vente un second lot de 41 Go regroupant 60 683 documents administratifs et bancaires.
Le 14 mai 2026, le cybercriminel ChimeraZ a publié environ 11 000 documents (près de 8,6 Mo de fichiers JSON et PDF) attribués à l’UPPCTSC (Union-prof.asso.fr), exposant des conventions de centres de formation, des informations d’établissements, des adresses e-mail professionnelles et des journaux de téléchargement horodatés.
Début mai 2026, le gang de ransomware MedusaLocker a publié l’Académie de Montpellier / CSJM — un réseau scolaire public français autour de Béziers — sur son site de fuite, affirmant avoir exfiltré des documents administratifs et des identifiants, avec une exposition annoncée de 309 personnels et 6 915 comptes utilisateurs.
Le 4 mai 2026, Auto École du Lys — une auto-école de Dammarie-les-Lys — a subi une fuite de données confirmée exposant les fichiers de ses 220 candidats, dont des enregistrements très récents avec des dates d'examen remontant jusqu'en avril 2026.
L'Auto École du Moulin, une auto-école de La Rochelle, a subi une fuite de données révélée le 4 mai 2026 qui a exposé les dossiers personnels de 428 candidats, dont leur historique d'examens du permis de conduire.
Le 4 mai 2026, une fuite de données confirmée chez École de conduite Vincent, une auto-école d'Ancenis-Saint-Géréon (France), a exposé les dossiers d'environ 1 556 candidats, dont noms, dates de naissance, emails, numéros NEPH et historiques détaillés de passage du permis.
Le 4 mai 2026, un acteur sous le pseudonyme Spirigatito affirme publier environ 55 Go attribués à l’École de Psychologues Praticiens (Psycho-Prat), incluant une base d’étudiants, des pièces d’identité, des IBAN et le code source complet du site.
Le 1er mai 2026, un hacker affirme avoir compromis Faco Paris, établissement d'enseignement supérieur privé, et diffusé une archive d'environ 12 Go contenant plus de 11 000 documents sensibles, 27 000 fichiers de code source, pièces d'identité, IBAN et données d'étudiants.
ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.
Le 29 avril 2026, un acteur malveillant a mis en ligne une base partielle issue de toucan.campusfrance.org, la plateforme de candidature de l'agence publique Campus France, exposant environ 18 000 dossiers d'étudiants étrangers (près de 430 Mo au format JSON) incluant noms, e-mails et formations visées.
Le 27 avril 2026, un groupe se présentant sous le nom LunarisSec a revendiqué le piratage de l'Université de Toulouse et la fuite d'une base de profils académiques—noms, e-mails, téléphones et données de recherche d'enseignants, doctorants et personnels—sans confirmation officielle de l'université.
Le 25 avril 2026, IFprofs — le réseau social mondial des professionnels de l'enseignement du français géré par l'Institut français — a vu une base d'environ 90 000 comptes de membres publiée en ligne par un acteur malveillant nommé ChimeraZ, exposant profils et activité sur la plateforme.
Le 22 avril 2026, le groupe LunarisSec a revendiqué une fuite de données de l'Université Aix-Marseille, diffusant des captures de listes internes d'utilisateurs contenant noms, adresses e-mail institutionnelles et informations de profil d'étudiants, doctorants, stagiaires et personnels ; l'université a coupé son réseau et affirmé que l'intégrité de ses systèmes et données était préservée.
Le 20 avril 2026, le réseau de formation City’Pro Marionneau a été touché par une cyberattaque revendiquée par le groupe de rançongiciel Qilin, qui a publié sur son site de fuite des fichiers volés : dossiers de stagiaires, documents RH et données commerciales.
Le 19 avril 2026, le groupe hacktiviste algérien LunarisSec a revendiqué l'extraction d'une base d'utilisateurs de l'Université de Bourgogne, exposant noms, adresses e-mail et données d'activité d'étudiants et de personnels ; l'ampleur n'a pas été précisée et l'université n'a pas confirmé.
En avril 2026, les anciens élèves de l'IAE Grenoble ont été exposés lors d'une fuite touchant AlumnForce, la plateforme tierce gérant son réseau alumni ; le jeu de données dérobé portait sur ~2,7 M de profils répartis sur 49 établissements français, incluant identités, coordonnées et parcours professionnels et académiques complets.
En avril 2026, un hacker utilisant le pseudonyme Cybernox a revendiqué la compromission d’un lycée parisien rattaché à l’Académie de Paris, exposant les données de plus de 5 500 personnes — dont 1 701 élèves mineurs et 3 811 responsables — avec noms, adresses, numéros INE, photos d’identité et IBAN des responsables.
En avril 2026, les données des anciens de l’Université Côte d’Azur ont été exposées dans le cadre d’une fuite de la plateforme AlumnForce, divulguant noms, coordonnées, diplômes et informations professionnelles détaillées de dizaines de milliers de diplômés, au sein d’une fuite plus large de 2,7 millions de profils sur 49 établissements.
Les données des anciens d'ENSAI Network ont été exposées lors de la fuite d'avril 2026 touchant son prestataire AlumnForce, qui a divulgué environ 2,7 millions de profils d'étudiants et de diplômés de 49 établissements français — noms, emails, numéros de téléphone, localisations, parcours professionnel et diplômes — désormais mis en vente sur des forums cybercriminels.
En avril 2026, Lilagora — le réseau alumni de l'Université de Lille — a vu les données de ses membres exposées lors d'une fuite chez son prestataire tiers AlumnForce, dans le cadre d'un incident plus large touchant 2,7 millions de profils sur 49 établissements français, avec noms, coordonnées et parcours professionnels divulgués.
En avril 2026, l'entreprise éducative McGraw Hill a confirmé une fuite de données à la suite d'une tentative d'extorsion. Attribué à une mauvaise configuration de Salesforce, l'incident a, selon l'entreprise, exposé « un ensemble limité de données provenant d'une page web hébergée par Salesforce sur sa plateforme ».
UPPA Alumni, le réseau des anciens de l'Université de Pau et des Pays de l'Adour, a confirmé que les données de ses membres avaient été exposées lors de la fuite d'avril 2026 chez son prestataire AlumnForce : noms, coordonnées, parcours et profils professionnels détaillés.
Le 8 avril 2026, une base de données liée à l’académie de Nice a été repérée en diffusion en ligne, exposant près de 19 000 enregistrements de professeurs et d’agents, dont noms, courriels professionnels, affectations et lieux de travail.
Le 8 avril 2026, le réseau Alumni de l'université de Strasbourg a été exposé dans le cadre d'une compromission plus large de la plateforme AlumnForce, divulguant les noms, coordonnées, parcours de formation et données professionnelles de ses membres, parmi 49 établissements français (~2,7 M de profils au total).
En avril 2026, AlumnForce — la plateforme SaaS française qui gère les réseaux d’anciens élèves de dizaines d’universités et de grandes écoles — a subi une fuite de données exposant environ 2,7 millions de profils, dont noms, e-mails, numéros de téléphone et données de carrière détaillées, ensuite mis en vente sur des forums criminels.
Le 1er avril 2026, l’ensemble scolaire catholique Notre-Dame du Grandchamp a été publié sur le site de fuite du groupe NightSpire après une attaque par rançongiciel ayant exfiltré environ 330 Go de données, dont des dossiers médicaux d’élèves, des données scolaires et RH visant des milliers d’élèves et de personnels.
Le 30 mars 2026, une base de données de GDQuest — plateforme française de formation au moteur de jeu Godot — a été diffusée sur un forum pirate, exposant adresses e-mail, pseudos/slugs de comptes ainsi que les titres et tarifs des cours achetés.
En mars 2026, le Cnous a confirmé qu'un attaquant avait exfiltré les données de 774 000 personnes depuis la plateforme de rendez-vous des Crous mesrdv.etudiant.gouv.fr, dont 139 000 individus dont les pièces jointes volées contenaient des documents d'identité.
En mars 2026, le Secrétariat général de l’enseignement catholique (SGEC) a révélé une cyberattaque visant une application administrative, exposant les données personnelles d’environ 1,5 million d’élèves, de familles et d’enseignants : noms, dates de naissance, adresses postales, e-mails et numéros de téléphone.
Une fuite revendiquée d'identifiants de connexion Pronote (adresses e-mail et mots de passe) appartenant à des élèves et parents français aurait été mise en vente sur le dark web ; l'éditeur Index Education affirme que ses propres systèmes n'ont pas été compromis, les identifiants provenant d'hameçonnage et de vols de comptes.
En mars 2026, un cybercriminel a mis en vente sur un forum pirate une base de données fraîche de 1 342 952 clients de Stych — auto-école en ligne française — exposant noms, coordonnées, adresses postales, dates de naissance et données de profil de formation à la conduite.
Le 5 mars 2026, un acteur malveillant connu sous le pseudonyme st0jke a revendiqué le piratage de Penninghen, école d'art et de design parisienne, et mis en vente environ 14 Go de données sur près de 25 000 étudiants et parents, dont photos, IBAN, pièces d'identité et code source.
Fin février 2026, la fédération du sport scolaire UNSS a révélé que des pirates avaient accédé à sa plateforme d'adhérents OPUSS et diffusé sur le darknet les données personnelles et environ 1,5 million de photos d'identité d'élèves (11-18 ans), couvrant ~668 000 membres actuels et ~889 000 anciens.
Fin février 2026, l’ESPCI Paris (école d’ingénieurs et de recherche de l’Université PSL) a révélé qu’une faille dans le contrôle d’accès avait permis à des acteurs non identifiés de moissonner son annuaire interne, exposant les données d’identité et de contact d’étudiants, de personnels et d’intervenants extérieurs ; les mots de passe n’ont pas été touchés.
Les élèves, leurs parents et le personnel du Lycée Carnot Paris pourraient être concernés par la divulgation d'environ 5 022 fiches utilisateurs. Selon la revendication, ces fiches auraient été…
Le 15 février 2026, le groupe Lapsus$ a mis en vente sur BreachForums une base de données prétendument dérobée à l'école d'ingénieurs française EPITA, revendiquant des données sur 14 753 étudiants et personnels (noms, adresses e-mail, années de diplôme et photos de profil).
Victim
EPITA (École Pour l'Informatique et les Techniques Avancées)
Le 4 février 2026, le Collège-Lycée Notre-Dame des Dunes, établissement privé catholique du second degré à Dunkerque, a révélé une fuite de données confirmée touchant environ 1 150 personnes, principalement ses élèves ainsi que les personnels et intervenants liés à l’établissement.
Les 553 élèves inscrits à l'Association Sportive du Collège Saint-Charles (Guipavas/Brest) ont été touchés par la fuite massive du sport scolaire (UNSS) : noms, dates de naissance, établissement et photos d'identité ont été divulgués après la compromission de la plateforme OPUSS.
Révélée le 31 janvier 2026, une fuite de données confirmée chez l'institut de recherche Inria a exposé les informations personnelles d'environ 21 647 agents et collaborateurs d'Inria, de l'IRISA et de partenaires de recherche, dont noms, dates de naissance, adresses et données du foyer.
Victim
Inria (Institut National de Recherche en Informatique et en Automatique)
Fin janvier 2026, l’éditeur français Codes Rousseau a révélé un accès non autorisé à sa plateforme Easysystème, exposant l’identité et les coordonnées d’élèves, des photos d’identité, des signatures et des numéros NEPH ; environ 30 000 enregistrements ont ensuite été mis en vente.
Codes Rousseau a révélé un accès non autorisé à sa plateforme Easysystème, utilisée par la quasi-totalité des auto-écoles françaises, exposant les données d'identité des élèves : noms, coordonnées, photos d'identité, signatures et numéros NEPH.
Un jeu de données rattaché au Conservatoire National des Arts et Métiers (CNAM), établissement public français d'enseignement supérieur, a été signalé en fuite autour du 28 janvier 2026, exposant les données personnelles d'environ 10 000 personnes : noms, coordonnées, dates de naissance et informations professionnelles.
Le 28 janvier 2026, un jeu de données exposant les informations personnelles d'environ 600 élèves liés à l'UGSEL — la fédération sportive des établissements catholiques français — a circulé en ligne, dont noms, genre, dates de naissance et classe/catégorie.
Le 25 janvier 2026, un dump SQL de bases de données internes de Sciences Po — l'Institut d'Études Politiques de Paris — est apparu en ligne, exposant des données détenues par l'établissement d'enseignement supérieur, dans le cadre d'une vague de fuites de données françaises ce mois-là.
Le 21 janvier 2026, la grande école d'ingénieurs ENSAM (Arts et Métiers) a déclaré une violation de données personnelles résultant d'un acte malveillant externe, exposant noms, numéros de sécurité sociale, décisions et montants de bourses ainsi que des dates d'arrêt de travail d'étudiants ; le volume n'a pas été précisé.
Victim
École nationale supérieure d'arts et métiers (ENSAM)
L'ENSAM, école d'ingénieurs publique française (Arts et Métiers), a signalé une violation de données provoquée par un acte malveillant externe, exposant noms, numéros de Sécurité sociale, décisions et montants de bourse et dates d'arrêt de travail d'étudiants.
Une cyberattaque de janvier 2026 sur la plateforme GAEL de France Éducation International a exposé les données d'état civil d'environ 5,8 millions de candidats et lauréats DELF-DALF depuis 2005, après l'utilisation d'identifiants de comptes externes compromis.
En janvier 2026, Info Jeunes Bourgogne Franche-Comté, le service régional d'information jeunesse gérant la Carte Avantages Jeunes, s'est fait dérober les données d'identité d'environ 282 906 titulaires, mises en vente sur le dark web ; les champs exposés se limitaient à des informations d'identification et de contact.
En janvier 2026, AgroParisTech — grande école française d'agronomie et des sciences du vivant — a subi une cyberattaque au cours de laquelle un intrus a revendiqué l'exfiltration d'environ 211 Go de données, exposant les dossiers RH et personnels de personnels, étudiants et intervenants extérieurs.
Fin décembre 2025, un pirate revendique une cyberattaque contre l’ENSAI, l’école nationale de la statistique près de Rennes, et diffuse environ 21 Go de données exposant les informations personnelles d’environ 3 900 étudiants, dont photos d’identité et données partielles de carte bancaire.
Victim
École Nationale de la statistique et de l’analyse de l’information
Fin décembre 2025, un jeu de données portant sur environ 9 551 étudiants de l'Institut Polytechnique de Paris (dont l'ENSAE) a été publié sur un forum, exposant noms, emails, adresses postales, téléphones et près de 4 179 IBAN.
Le 29 décembre 2025, un acteur se faisant appeler CZX a diffusé sur BreachForums une base de 1,35 Go concernant plus de 400 000 étudiants, alumni et prospects de Grenoble École de Management, exposant noms, coordonnées et parcours académiques.
Le 29 décembre 2025, un fichier de 7 244 étudiants de l'Université de Lille — issu d'une base de stages de l'IUT Informatique — a été publié sur BreachForums par un acteur se réclamant de LAPSUS$, exposant noms, dates de naissance, adresses postales, e-mails et numéros de téléphone.
En décembre 2025, le site de rencontres « pour une vision europide » WhiteDate a subi une fuite de données qui a ensuite été divulguée en ligne, exposant initialement 6 100 adresses e-mail uniques. Les données divulguées comprenaient de nombreuses informations personnelles telles que l'apparence physique, les revenus, le niveau d'études et le QI.
Le 28 décembre 2025, une base de données de 161 412 adhérents d'Allegro Musique, prestataire français de cours de musique à domicile, a fuité, exposant noms, adresses postales, emails, numéros de téléphone, numéros de sécurité sociale et dates d'inscription.
En octobre 2025, l'Université de Pennsylvanie a été victime d'une fuite de données suivie d'une demande de rançon, affectant en grande partie sa base de données de donateurs. Après l'incident, les attaquants ont envoyé des e-mails incendiaires à certaines victimes.
Le groupe de rançongiciel Qilin a attaqué les systèmes informatiques des lycées publics gérés par la région Hauts-de-France en octobre 2025, paralysant environ 80 % des quelque 269 établissements et revendiquant le vol de plus d'1 To de données dont des pièces d'identité d'élèves, des CV et des relevés de notes.
Le 26 juillet 2025, une base de données attribuée au Céreq (Centre d'études et de recherches sur les qualifications) portant sur 210 607 personnes — noms, prénoms, adresses e-mail et numéros de téléphone — a été publiée sur le forum de fuites BreachForums.
Victim
Centre d’études et de recherches sur les qualifications
En juillet 2025, le CNFPT — l'organisme national de formation des agents territoriaux — a révélé une intrusion ciblée sur sa plateforme intervenants ayant exposé les données personnelles d'environ 34 000 formateurs, dont pièces d'identité, RIB, contrats, diplômes et CV.
Victim
Centre National de la Fonction Publique Territoriale
Mi-2025, Sorbonne Université (Paris) a subi une compromission de son système RH/paie exposant les données personnelles d'environ 32 000 agents et anciens agents, dont coordonnées, informations d'identité et noms de proches.
Environ 7,8 millions de profils de licenciés et anciens licenciés de l'UNSS, la fédération française du sport scolaire, ont été aspirés depuis son intranet OPUSS par deux adolescents à l'aide d'identifiants volés, exposant noms, dates de naissance, établissements et coordonnées.
Le 26 mars 2025, des données internes de Centrale Nantes, grande école d'ingénieurs publique française, auraient fuité, dont des rapports et projets privés, des identifiants et hachages de mots de passe, du code source et des documents administratifs.
En mars 2025, près de 55 000 enregistrements ont été dérobés au site web de l'office hongrois de l'éducation TehetségKapu. Les données ont ensuite été publiées sur un forum de piratage populaire et comprenaient des adresses e-mail, des noms et des noms d'utilisateur.
Le 20 mars 2025, l'association de scoutisme Éclaireuses et Éclaireurs de France a vu les données personnelles d'environ 44 000 adhérents exposées : noms, dates et lieux de naissance, adresses, professions, e-mails et numéros de téléphone.
Révélée le 28 février 2025, une fuite de données à l'École Nationale de la Sécurité, école de formation aux métiers de la sécurité privée et VTC, a exposé les dossiers personnels d'environ 30 000 stagiaires, dont numéros de sécurité sociale, numéros de carte VTC et coordonnées.
En novembre 2024, le cours en ligne fondé par Andrew Tate connu sous le nom de « The Real World » (anciennement « Hustler's University ») a subi une fuite de données qui a exposé près de 325 000 utilisateurs de la plateforme. Les données touchées se limitaient aux noms d'utilisateur, aux adresses e-mail et aux journaux de discussion.
En novembre 2024, la plateforme éducative sud-coréenne PoinCampus a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient 89 000 adresses e-mail uniques, des noms et un petit nombre de numéros de téléphone et de dates de naissance.
Fin octobre 2024, l'auto-école en ligne française Ornikar a révélé une fuite après qu'un attaquant a mis en vente une base de données pouvant contenir 4,2 millions de comptes clients, exposant noms, dates de naissance, adresses e-mail et postales et numéros de téléphone ; les données bancaires et mots de passe n'ont pas été touchés.
Un accès obtenu par hameçonnage a permis à BlackSuit (lié à la Russie) de chiffrer l'infrastructure de KADOKAWA et la plateforme de partage vidéo Niconico, mettant les services hors ligne pendant deux mois. KADOKAWA a versé environ 2,9 M$ en cryptomonnaies — et BlackSuit a tout de même divulgué les 1,5 To dérobés.
Les opérateurs du rançongiciel Rhysida ont détruit des serveurs, exigé environ 600 000 £ et divulgué 600 Go de données internes lorsque la British Library a refusé de payer. Le catalogue principal n'est revenu en ligne — en lecture seule — qu'en janvier 2024. La reprise absorbe 40 % des réserves financières de la bibliothèque.
En septembre 2023, plus d'un million de lignes de données de l'entreprise de robots éducatifs Sphero ont été publiées sur un forum de piratage populaire. Les données contenaient 832 000 adresses e-mail uniques accompagnées de noms, noms d'utilisateur, dates de naissance et localisations géographiques.
Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.
Victim
Progress Software MOVEit Transfer (2 700+ en aval)
Une vaste attaque DDoS de plusieurs jours contre la « Banque de sujets » (Trapeza Thematon), la plateforme d'examens du lycée grec, a perturbé les examens nationaux avec jusqu'à 280 000 connexions par seconde et 165 millions de requêtes depuis 114 pays, la plus grande attaque contre un organisme public grec.
Victim
Ministère grec de l'Éducation (Banque de sujets / Trapeza Thematon)
En février 2023, le site de recherche d'admissions en école doctorale TheGradCafe a subi une fuite de données qui a divulgué les dossiers personnels de 310 000 utilisateurs. Les données comprenaient des adresses e-mail, des noms et noms d'utilisateur, des genres, des localisations géographiques et des mots de passe stockés sous forme de condensats bcrypt.
En janvier 2023, le Pitt Meadows School District 42 en Colombie-Britannique a subi une fuite de données. L'incident a exposé les noms et adresses e-mail d'environ 19 000 élèves et membres du personnel, qui ont par la suite été redistribués sur un forum de piratage populaire.
Un pirate utilisant le pseudonyme « meli0das » a mis en vente sur un forum de piratage les dossiers de plus de 30 millions d'élèves et de personnels vietnamiens pour 3 500 dollars en Monero, prétendument issus d'une grande plateforme éducative.
En mars 2021, le réseau social autoproclamé « plus gentil et plus intelligent » Liker a subi une fuite de données, prétendument en représailles à la fuite de données de Gab et à l'extraction de données de Parler.
En décembre 2020, l'Université de Californie a subi une fuite de données due à une vulnérabilité chez un prestataire tiers, Accellion. La fuite a exposé de nombreuses données personnelles concernant à la fois les étudiants et le personnel, dont 547 000 adresses e-mail uniques, des noms, des dates de naissance, des genres, des numéros de sécurité sociale…
En juin 2020, le service d'examen en ligne ProctorU a subi une fuite de données qui a ensuite été largement partagée au sein des communautés de piratage en ligne. La fuite contenait 444 000 enregistrements d'utilisateurs, dont des noms, des adresses e-mail et postales, des numéros de téléphone et des mots de passe stockés sous forme de hachages bcrypt.
TA505 a utilisé le rançongiciel Clop pour chiffrer 267 serveurs de l'Université de Maastricht pendant les fêtes de Noël 2019, après que deux courriels d'hameçonnage envoyés les 15 et 16 octobre eurent compromis le réseau. L'université a payé 30 BTC (~220 000 $). La rançon en Bitcoin — saisie par la suite auprès d'une mule financière — a été restituée et avait pris de la valeur, laissant l'université avec un gain net d'environ 300 000 $.
En novembre 2019, le site éducatif vietnamien TaiLieu aurait subi une fuite de données exposant 7,3 millions de dossiers clients. Les données touchées comprenaient des noms et noms d'utilisateur, des adresses e-mail, des dates de naissance, des genres et des mots de passe stockés sous forme de condensats MD5 non salés.
Un acteur sophistiqué, probablement étatique, a pénétré les systèmes administratifs de l'Australian National University fin 2018, exfiltrant jusqu'à 19 ans de dossiers du personnel et des étudiants, dans une intrusion saluée par le propre rapport de l'ANU pour son extraordinaire sécurité opérationnelle.
En février 2019, le site d'éducation et de création de jeux Game Salad a subi une fuite de données. L'incident a touché 1,5 million de comptes et a exposé des adresses e-mail, des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme d'empreintes SHA-256.
En janvier 2019, la plateforme indonésienne d'orientation universitaire et professionnelle Youthmanual a subi une fuite de données qui a exposé 1,1 million d'enregistrements. La fuite comprenait 938 000 adresses e-mail uniques ainsi que des informations personnelles détaillées, dont des noms, des genres, des dates et lieux de naissance, des numéros de téléphone, des adresses physiques…
L'entreprise de technologie éducative Chegg a révélé une fuite survenue en 2018 touchant environ 40 millions d'utilisateurs, exposant des e-mails, des noms et des hachages de mots de passe MD5 non salés ; la FTC a ensuite cité quatre fuites et ordonné à Chegg de revoir sa sécurité.
En mars 2018, la Florida Virtual School (FLVS) a publié une notification de fuite de données sur son site web. L'école avait identifié une fuite de données survenue entre le 6 mai 2016 et le 12 février 2018, et un fichier XML contenant 368 000 enregistrements d'élèves a ensuite été retrouvé en circulation.
En mai 2017, la plateforme éducative Edmodo a été piratée, entraînant l'exposition de 77 millions d'enregistrements comprenant plus de 43 millions d'adresses e-mail uniques de clients. Les données ont par conséquent été publiées sur un forum de piratage populaire et mises à disposition gratuitement.
Un ingénieur système d'un sous-traitant a copié 35 millions d'enregistrements clients du géant japonais de l'éducation Benesse sur un appareil personnel et les a vendus à des courtiers en données — le plus grand vol de données interne de l'histoire du Japon, déclenchant un programme d'indemnisation de 20 milliards de yens.