Aflac a révélé que des attaquants ayant compromis le portail des assurés de sa filiale japonaise avaient exfiltré les données personnelles d'environ 4,38 millions de clients et d'agents d'assurance.
Des attaquants ont compromis un prestataire frontend tiers et injecté du JavaScript malveillant sur le site de Polymarket, détournant environ 3 millions de dollars via des transactions frauduleuses.
La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.
Victim
National Association of Insurance Commissioners (NAIC)
Le groupe de rançongiciel Qilin a revendiqué une cyberattaque contre la Banque centrale de Libye, menaçant de divulguer des données volées ; la banque évoque un nombre limité de systèmes touchés.
Une cyberattaque contre l'infrastructure de communication partagée utilisée par Bank Melli, Bank Saderat, Bank Tejarat et la Banque de développement des exportations d'Iran a mis hors service distributeurs, terminaux de paiement et banque en ligne, même si les autorités ont affirmé qu'aucune donnée client n'avait été consultée.
Victim
Bank Melli, Bank Saderat, Bank Tejarat and Export Development Bank of Iran
L'administrateur de prestations dentaires DentaQuest a confirmé une intrusion sur son réseau après que le groupe d'extorsion ShinyHunters a diffusé environ 234 Go de données volées, exposant des informations personnelles, d'identité et d'assurance santé liées à environ 2,6 millions de comptes.
Le 23 mai 2026, l'assureur santé numérique français Alan a alerté ses adhérents qu'une cyberattaque visant son prestataire de tiers-payant Almerys avait exposé leurs données personnelles — état civil, date de naissance, numéro de Sécurité sociale et informations de contrat — sans toucher aux données de paiement, mots de passe ni données de santé.
Un acteur malveillant a mis en vente sur un forum du dark web une base de données d'ATOA — fintech française de tokenisation immobilière et d'investissement fractionné — exposant environ 23 685 enregistrements d'utilisateurs et financiers ainsi que 326 archives KYC complètes (passeports, pièces d'identité, données bancaires).
En mai 2026, un acteur utilisant le pseudonyme lazasec a affirmé avoir compromis la CARMF, caisse de retraite et de prévoyance des médecins libéraux français, et divulgué une base pouvant atteindre 2,4 millions d’enregistrements (noms, codes cotisant, adresses postales et dates de dernière déclaration) ; la CARMF a qualifié les données exposées de publiques et non sensibles.
Cetelem, la marque de crédit à la consommation de BNP Paribas Personal Finance, a confirmé une cyberattaque survenue le 20 avril 2026 ayant exposé les adresses email de plusieurs centaines de milliers de clients ; aucune donnée bancaire, de paiement ni mot de passe n'aurait été compromis.
Le 30 avril 2026, un pirate a affirmé mettre en vente une base de 443 000 enregistrements liée à la plateforme française d’épargne en ligne Yomoni, exposant noms, coordonnées, dates de naissance et résidence fiscale ; Yomoni a contesté la fuite après enquête.
Victim
Yomoni conteste la fuite de données portant sur 443 000 clients
En avril 2026, le groupe d'extorsion ShinyHunters a inscrit Vimeo sur son portail d'extorsion dans le cadre de sa campagne « payer ou divulguer ». Il a ensuite publié des centaines de gigaoctets de données, composées principalement de titres de vidéos, de données techniques et de métadonnées.
En avril 2026, la société de formation en ligne Udemy a été victime d'une tentative d'extorsion de type « payer ou divulguer » perpétrée par le groupe ShinyHunters. Les données ont ensuite été divulguées publiquement et contenaient 1,4 million d'adresses e-mail uniques appartenant à des clients et à des formateurs.
Le courtier en assurance Wazari informe ses clients d’un incident de sécurité lié à une attaque externe ayant touché un outil de gestion et de stockage
En avril 2026, le groupe DumpSec a affirmé avoir dérobé environ 150 Go de données à Assuréa, courtier en assurance auto du groupe Meilleurtaux, exposant près de 139 000 clients, des contrats et plus de 11 000 documents contenant des IBAN.
En avril 2026, la société américaine de holding d'assurance Kemper Corporation a été nommée par le groupe de rançongiciels ShinyHunters dans une campagne d'extorsion de type « payer ou divulguer ».
En avril 2026, la marque de mode Zara figurait parmi plusieurs organisations ciblées par le groupe d'extorsion ShinyHunters dans le cadre de sa campagne « payer ou être divulgué ».
En avril 2026, l'éditeur de logiciels fintech Abrigo a été visé par une tentative d'extorsion « payer ou divulguer » menée par le groupe ShinyHunters. Peu après, des données prétendument issues de l'instance Salesforce de l'entreprise ont été publiées et contenaient plus de 700 000 adresses e-mail uniques appartenant à la fois à Abrigo…
En avril 2026, la plateforme de commerce électronique de mode de luxe Mytheresa a été désignée comme victime du groupe d'extorsion ShinyHunters pratiquant le « payez ou nous divulguons ». Une fois le délai de la rançon expiré, le groupe a publié les données qui contenaient 84 000 adresses e-mail uniques.
Le 30 mars 2026, le courtier en crédit La Centrale de Financement a subi une fuite de 387 Go issue de son réseau interne — plus de 400 000 documents dont des scans KYC, relevés bancaires et avis d'imposition — mis en vente pour 25 000 $ après l'échec des négociations.
En mars 2026, le groupe de pirates et d'extorsion « ShinyHunters » a affirmé avoir obtenu un volume important de données de ZenBusiness, une plateforme de création d'entreprise et de mise en conformité.
En mars 2026, l'entreprise fintech colombienne Addi a détecté une activité non autorisée sur sa plateforme et a informé ses clients qu'« il est possible que vos informations personnelles aient été compromises ».
En mars 2026, l'entreprise d'outils de production audio Sound Radix a divulgué une fuite de données qu'elle a ensuite soumise elle-même à HIBP. L'incident a touché 293 000 adresses e-mail uniques et noms.
Le 9 mars 2026, la société de gestion française agréée par l'AMF Vatel Capital a informé ses clients par mail d'une exposition accidentelle de fichiers survenue entre le 21 février et début mars 2026, touchant des données personnelles détenues par la société.
En mars 2026, la chaîne de restaurants turque Baydöner a subi une fuite de données qui a ensuite été publiée sur un forum de piratage public. L'incident a exposé plus de 1,2 million d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des villes de résidence et des mots de passe en texte clair.
En mars 2026, le service de sécurité en ligne Aura a révélé une fuite de données qui a exposé 900 000 adresses e-mail uniques. Les données étaient principalement associées à un outil marketing d'une entreprise précédemment acquise, avec moins de 20 000 clients Aura actifs touchés.
En mars 2026, la marque média de développement personnel et de réussite SUCCESS a subi une fuite de données. L'incident a exposé 250 000 adresses e-mail uniques ainsi que des noms, des adresses IP, des numéros de téléphone et, pour un nombre limité de membres du personnel, des empreintes de mots de passe bcrypt.
Le 3 mars 2026, Be-bunk, fintech de paiement active dans les territoires français d'outre-mer, a confirmé une fuite de données touchant environ 13 000 clients, un pirate revendiquant une base de 75 millions de lignes comprenant IBAN, soldes et données d'identité.
En mars 2026, la société de services financiers Ameriprise Financial a été désignée par le groupe ShinyHunters dans une campagne d'extorsion de type « payer ou divulguer ». Le groupe a affirmé détenir plus de 200 Go de données compressées exfiltrées de l'environnement Salesforce et de l'infrastructure SharePoint interne d'Ameriprise,…
Le 24 février 2026, un acteur malveillant a revendiqué la fuite d'une base de 8 571 documents KYC de vérification d'identité appartenant aux clients et porteurs de projets d'Ayomi, la plateforme française de financement participatif et de levée de fonds pour PME et startups.
PayPal a révélé en février 2026 qu'une erreur de code dans sa plateforme de prêt aux entreprises PayPal Working Capital (PPWC) avait exposé les données personnelles — noms, dates de naissance, numéros de sécurité sociale et adresses professionnelles — d'une centaine de clients, dont certains en France, pendant près de six mois.
En février 2026, la place de marché automobile CarGurus a été la cible d'une fuite de données attribuée à l'acteur malveillant ShinyHunters. À la suite d'une tentative d'extorsion, les données ont été publiées publiquement et contenaient plus de 12 millions d'adresses e-mail réparties dans plusieurs fichiers, y compris des correspondances d'identifiants de comptes utilisateurs,…
En février 2026, l'opérateur télécom néerlandais Odido a été victime d'une fuite de données suivie d'une tentative d'extorsion. Peu après, un total de 6 millions d'adresses e-mail uniques ont été publiées dans le cadre de quatre diffusions de données distinctes sur des jours consécutifs.
Le 10 février 2026, un cybercriminel a affirmé avoir dérobé 13 016 comptes clients uniques à Birdee, la plateforme d'épargne et de gestion automatisée, prétendument extraits de deux fichiers de base de données contenant les coordonnées des titulaires de comptes.
Révélée le 9 février 2026, une fuite de données chez Aïkan, spécialiste français de la délégation de gestion en assurance, liée à une intrusion détectée le 15 janvier, a exposé des données personnelles d'assurés gérés pour le compte des partenaires Flitter et Wakam.
Début février 2026, Protexia France — la filiale d'assurance protection juridique d'Allianz France — aurait été victime d'une fuite de données exposant des informations personnelles de ses assurés et contacts.
En février 2026, des données obtenues auprès de la plateforme de prêt fintech Figure ont été publiées en ligne. Les données exposées, datant de janvier 2026, contenaient plus de 900 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses physiques et des dates de naissance.
Le 28 janvier 2026, une fuite de données a été revendiquée à l'encontre de Lovys, néo-assureur français 100% digital, exposant prétendument des données clients ; l'ampleur et les catégories exactes restent non vérifiées.
Le 28 janvier 2026, une fuite de données touchant Wemind, la néo-assurance française pour indépendants et petites entreprises, a exposé les coordonnées de ses adhérents — nom, adresse postale, adresse électronique et numéro de téléphone — via son canal assureur Allianz.
Le 24 janvier 2026, une base de données attribuée au comparateur bancaire et courtier en crédit français Panorama Banques (Panorabanques) a circulé en ligne, exposant des données personnelles, de contact et un profil financier détaillé d'environ 2,34 millions de clients.
En janvier 2026, la plateforme française de fiscalité crypto Waltio a révélé une fuite exposant les données d'environ 50 000 utilisateurs — adresses e-mail et résumés du rapport fiscal 2024 (plus-values/moins-values et soldes de fin d'année) — suivie d'une tentative d'extorsion que l'entreprise a refusé de payer.
Les clients de Panorabanques.com sont concernés par une fuite confirmée affectant environ 2,34 millions de personnes. Le comparateur financier, utilisé par des particuliers pour comparer offres…
En janvier 2026, la plateforme d'investissement automatisé Betterment a confirmé avoir subi une fuite de données attribuée à une attaque d'ingénierie sociale. Dans le cadre de cet incident, des clients de Betterment ont reçu des messages frauduleux liés aux cryptomonnaies promettant des rendements élevés s'ils envoyaient des fonds vers un…
Le 27 décembre 2025, la fintech française de transfert d'argent PayTrip a subi une fuite de données exposant les informations de 74 877 clients, dont noms, coordonnées, IBAN et soldes de comptes, ensuite diffusées en ligne par un acteur malveillant.
Des adhérents de l'assureur ASAF & AFPS ont vu leurs données personnelles exposées après une fuite chez Itelis, le réseau de soins optiques qui traite leurs remboursements ; nom, date de naissance, numéro de sécurité sociale, dossiers et données de correction visuelle de 2020-2022 sont concernés.
Un pirate a exfiltré environ 387 Go de données (quelque 411 000 fichiers) du réseau du courtier en crédit et en prêt immobilier La Centrale de Financement, exposant des documents KYC, financiers et internes très sensibles, puis a mis le lot en vente après l'échec de négociations d'extorsion.
Révélée en novembre 2025, une cyberattaque contre Itelis — le réseau de soins optiques utilisé par l'assureur AG2R la Mondiale — a exposé les nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement et données de correction visuelle de bénéficiaires couverts en optique entre 2020 et début 2022.
En octobre 2025, le détaillant Canadian Tire a été victime d'une fuite de données qui a exposé près de 42 millions d'enregistrements. Les données contenaient 38 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses physiques.
En septembre 2025, la banque coopérative éthique française La Nef a alerté ses sociétaires sur l'exposition de leurs adresses email à la suite d'une cyberattaque visant le prestataire de vote SLIB ; seules des adresses email ont été touchées, sans données bancaires, pièces d'identité ni mots de passe.
En février 2026, une fuite de données contenant prétendument des informations relatives aux clients de Canada Goose a été publiée publiquement. Les données contenaient 920 000 enregistrements avec 582 000 adresses e-mail uniques et comprenaient des noms, des numéros de téléphone, des adresses IP, des adresses physiques et des données partielles de cartes bancaires, en particulier des numéros de carte…
Un développeur junior chez C&M Software — fournisseur autorisé par la Banque centrale pour la connectivité au système de paiement instantané Pix — a été payé environ 5 000 R$ pour livrer ses identifiants. Les attaquants ont utilisé cet accès pour vider environ 800 millions de R$ (148 millions de dollars) des comptes de réserve de six institutions financières brésiliennes en 2,5 heures.
Victim
C&M Software (fournisseur d'infrastructure de paiement Pix)
Harvest, éditeur français de logiciels de gestion de patrimoine, a été victime d'une attaque par rançongiciel à double extorsion du groupe Run Some Wares, révélée en avril 2025 ; des fichiers internes et clients ont été exfiltrés et publiés, exposant des données de dizaines de milliers de personnes et de milliers d'entreprises.
Une attaque par rançongiciel contre l'éditeur français de logiciels de gestion de patrimoine Harvest (groupe Run Some Wares, détectée le 27 février 2025) a exposé des données personnelles et financières de clients de l'assureur MAIF et du groupe bancaire BPCE (Banque Populaire / Caisse d'Épargne), via une attaque sur la chaîne d'approvisionnement.
En mars 2025, l'assureur direct Direct Assurance (filiale d'AXA) a subi une fuite via son partenaire Run Assurance : les attaquants ont exploité une faille dans les échanges de données entre les deux entreprises pour accéder aux données personnelles de clients, exposant à l'usurpation d'identité et au phishing.
Le 5 mars 2025, le courtier français en assurance emprunteur UTwin a informé ses clients qu'une intrusion dans son système informatique avait temporairement exposé identité, adresses email et numéros de téléphone ; la société indique qu'aucune donnée bancaire, médicale ou contractuelle n'a été touchée.
En février 2025, la filiale roumaine de l'entreprise de télécommunications Orange a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire.
Les opérateurs de Lazarus ont substitué le contrat d'implémentation lors d'une transaction multisig Safe de routine, siphonnant ~1,5 milliard de dollars en ETH et en dérivés d'ETH stakés depuis le portefeuille froid Ethereum de Bybit — le plus grand vol de cryptomonnaie en une seule fois de l'histoire.
En février 2025, l'assureur moto Mutuelle des Motards a subi une fuite issue d'un outil de gestion de contacts marketing, exposant noms, adresses e-mail, numéros de téléphone et codes postaux de plus de 1,3 million de sociétaires.
En février 2025, la Caisse des dépôts a révélé que des pirates avaient utilisé des identifiants de connexion volés pour accéder à la plateforme de retraite Ircantec et dérober les données personnelles d'environ 70 000 agents contractuels du public, praticiens hospitaliers et près de 1 000 élus locaux.
En janvier 2025, le service de suivi GPS LandAirSea a subi une fuite de données qui a exposé 337 k adresses e-mail clients uniques ainsi que des noms, des noms d'utilisateur et des hachages de mots de passe.
Le 23 novembre 2024, l'acteur malveillant Near2tlg a mis en vente des données prétendument volées à la banque centrale française ; la Banque de France a démenti toute compromission de ses systèmes sécurisés, ne reconnaissant qu'un accès externe ponctuel à un extranet RH, sans donnée sensible exposée.
En novembre 2024, des données de la plateforme de paiement sénégalaise Yonéma ont été publiées sur un forum de piratage populaire. Les données comprenaient 36 000 adresses e-mail uniques ainsi que des numéros de téléphone, des noms et ce qui semble être des mots de passe chiffrés et des dates de naissance.
En novembre 2024, l'assureur en ligne français Direct Assurance a été piraté via le compte compromis d'un salarié, exposant les données personnelles d'environ 15 000 clients et prospects — dont les IBAN/RIB d'environ 5 800 d'entre eux — ensuite mises en vente en ligne.
En novembre 2024, la plateforme de paris en ligne 1win a subi une fuite de données qui a exposé 96 M d'utilisateurs. Les données exposées comprenaient des adresses e-mail et IP, des numéros de téléphone, des dates de naissance, le pays et des hachages de mots de passe SHA-256.
Après l'échec d'une négociation d'extorsion de deux semaines, un acteur malveillant connu sous le nom de kzoldyck a divulgué 3,7 To de données sur environ 3 millions de clients d'Interbank, dont noms, numéros DNI, données de cartes et identifiants en clair.
En octobre 2024, le détaillant Hot Topic a subi une fuite de données qui a exposé 57 millions d'adresses e-mail uniques. Les données touchées comprenaient également des adresses postales, numéros de téléphone, achats, genres, dates de naissance et des données bancaires partielles contenant le type de carte, la date d'expiration et les 4 derniers chiffres.
En octobre 2024, 421 000 adresses e-mail uniques du jeu de terre virtuelle Earth 2 ont été déduites d'images Gravatar intégrées. Apparaissant aux côtés des noms d'utilisateur des joueurs, la cause profonde était liée à la manière dont Gravatar présente les liens vers les avatars sous forme d'empreintes MD5 au sein des services consommateurs, une fonctionnalité qu'Earth 2 a signalée…
En octobre 2024, près de 300 000 adresses e-mail uniques du groupe australien de courtage hypothécaire Finsure ont été obtenues à partir de la plateforme de marketing immobilier ActivePipe. Les données concernées comprenaient également des noms, des numéros de téléphone et des adresses physiques.
Fin septembre 2024, le courtier français en crédit et en assurance Meilleurtaux a révélé qu'une attaque externe de ses systèmes informatiques avait exposé des données personnelles sensibles de clients : identité, coordonnées, date de naissance, situation familiale, revenus et situation professionnelle.
En septembre 2024, plus de 90 millions de lignes de données concernant des citoyens français ont été retrouvées exposées dans une base de données accessible au public. Compilé à partir de diverses fuites de données, le corpus contenait 28 millions d'adresses e-mail uniques, les différentes fuites sources exposant chacune des champs différents, dont le nom, l'adresse physique et IP…
En août 2024, l'agrégateur de données MC2 Data a laissé une base de données accessible publiquement sans mot de passe, qui a ensuite été découverte par un chercheur en sécurité. La fuite a exposé les informations personnelles de 2,1 millions d'abonnés au service, commercialisé sous toute une série de marques différentes.
Un pirate utilisant l'alias xenZen a exposé les données personnelles et médicales de 31,2 millions de clients de Star Health via des bots Telegram, accompagnées de 5,76 millions de dossiers de sinistres. La fuite a dégénéré en un drame public d'extorsion impliquant un haut responsable de Star Health.
En juillet 2024, 700 000 adresses e-mail uniques de la plateforme de livres audio Ubook ont été publiées sur un forum de piratage populaire. Prétendument récupérées par scraping depuis le service, les données semblent provenir de l'Ubook Exchange (UBX) et comprennent également des noms, des genres, des dates de naissance et des liens vers des photos de profil.
En juillet 2024, un acteur malveillant a obtenu l'accès à la plateforme de gestion hôtelière Otelier et a récupéré des données de clients de grandes marques hôtelières, notamment Marriott, Hilton et Hyatt.
En juin 2024, la chaîne de chaussures britannique Shoe Zone a divulgué une fuite de données qui a ensuite été mise en vente sur un forum de piratage populaire. Les données incluaient plus de 100 000 commandes contenant des noms, des adresses, des numéros partiels de cartes de crédit (type de carte et 4 derniers chiffres) et 46 000 adresses e-mail uniques.
En juin 2024, près de 10 millions d'enregistrements d'utilisateurs de Z-lib ont été découverts exposés en ligne. Désormais disparu, Z-lib était un clone malveillant de Z-Library, une plateforme clandestine en ligne bien connue pour le piratage de livres et d'articles universitaires.
En juin 2024, un énorme ensemble de données du fabricant de logiciels espions mSpy a été obtenu par des hacktivistes et publié en ligne. Composé de 142 Go de données utilisateur et de tickets d'assistance ainsi que de 176 Go de plus d'un demi-million de pièces jointes, l'ensemble contenait 2,4 millions d'adresses e-mail uniques, des adresses IP, des noms et des photos.
Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.
Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
ALPHV/BlackCat a compromis Change Healthcare via un portail Citrix sans MFA, paralysé les remboursements d’ordonnances aux États-Unis pendant des semaines et exfiltré les données d’environ 100 millions de personnes.
En avril 2024, 15 millions d'enregistrements du fleuriste en ligne Blooms Today ont été mis en vente sur un forum de piratage populaire. Les données les plus récentes du corpus de la fuite dataient de novembre 2023 et figuraient aux côtés de 3,2 millions d'adresses e-mail uniques, de noms, de numéros de téléphone, d'adresses physiques et de données partielles de cartes bancaires…
Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.
Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
En juillet 2023, Perception Point a publié un rapport sur une opération d'hameçonnage baptisée « Manipulated Caiman ». Ciblant principalement les citoyens du Mexique, la campagne tentait d'accéder aux comptes bancaires des victimes via des attaques de harponnage utilisant des pièces jointes malveillantes.
Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.
Victim
Progress Software MOVEit Transfer (2 700+ en aval)
Le gang de rançongiciel LockBit a paralysé pendant plusieurs jours la plus grande banque islamique d'Indonésie, puis a divulgué 1,5 To de données concernant quelque 15 millions de clients et d'employés après le non-paiement d'une rançon de 20 millions de dollars.
En avril 2023, la place de marché d'identités volées Genesis Market a été fermée par le FBI et une coalition d'agences de maintien de l'ordre du monde entier dans le cadre de l'« Opération Cookie Monster ».
Le prêteur australien de crédit à la consommation Latitude Financial a révélé que des attaquants avaient exfiltré 14 millions d'enregistrements — dont 7,9 millions de numéros de permis de conduire et 53 000 numéros de passeport — grâce à des identifiants dérobés à un prestataire de services.
En mars 2024, des millions de lignes de données provenant de l'entreprise de médias néo-zélandaise MediaWorks ont été publiées sur un forum de piratage populaire. L'incident a exposé 163 000 adresses e-mail uniques fournies par des visiteurs ayant participé à des concours en ligne et comprenait des noms, des adresses postales, des numéros de téléphone, des dates…
En mars 2023, l'unité indienne de crédit non bancaire HDB Financial Services a subi une fuite de données qui a divulgué plus de 70 millions d'enregistrements clients. Contenant 1,6 million d'adresses e-mail uniques, la fuite a également divulgué des noms, des dates de naissance, des numéros de téléphone, des genres, des codes postaux et des informations de prêt appartenant aux…
La première fintech du Nigeria a subi une série d'incidents de transferts non autorisés en 2023, dont un détournement de 2,9 milliards de NGN (4,2 M$) réparti sur 28 comptes et une perte ultérieure de 19 milliards de NGN (24 M$) via un accès marchand TPE détourné, entraînant des injonctions Mareva pour geler des milliers de comptes bénéficiaires.
En février 2023, des données prétendument issues du service de protection contre la fraude Eye4Fraud ont été mises en vente sur un forum de piratage populaire. S'étendant sur des dizaines de millions de lignes avec 16 millions d'adresses e-mail uniques, les données étaient réparties sur 147 tables totalisant 65 Go et comprenaient à la fois des utilisateurs directs du…
En janvier 2023, la filiale japonaise de l'assureur Zurich a subi une fuite de données qui a exposé 2,6 millions d'enregistrements clients comprenant plus de 756 000 adresses e-mail uniques. Les données ont par la suite été publiées sur un forum de piratage populaire et comprenaient également des noms, des genres, des dates de naissance et des détails sur les véhicules assurés.
Fin 2022, un pirate a publié un ensemble de données sur un forum de piratage public en affirmant qu'il provenait de la plateforme d'échange de cryptomonnaies Gemini, une affirmation qui s'est ensuite révélée fausse, les données ayant été reliées à un incident chez un prestataire tiers.
En décembre 2022, le site d'enchères d'armes à feu en ligne GunAuction.com a subi une fuite de données qui a ensuite été découverte laissée sans protection sur le serveur du pirate.
En décembre 2022, le service de fiscalité Crypto & NFT CoinTracker a signalé une fuite de données qui a touché plus de 1,5 million de ses clients. L'entreprise a ensuite attribué la fuite à une compromission de SendGrid dans le cadre d'une attaque visant plusieurs clients du fournisseur de messagerie.
Des attaquants russophones ont exfiltré l'intégralité des dossiers de remboursement de santé de 9,7 millions de clients actuels et anciens de Medibank, puis les ont diffusés par tranches sur le dark web après le refus de l'assureur australien de payer.
En octobre 2022, Locally, « la principale solution d'achat en ligne vers hors ligne du secteur », a subi une fuite de données. Bien que Locally ait reconnu la fuite en privé, on ignore si les clients concernés ont ensuite été informés de l'incident, qui a exposé plus de 362 k noms, numéros de téléphone, adresses e-mail et…
En juillet 2022, l'opérateur de télécommunications français La Poste Mobile a été la cible d'une attaque par le rançongiciel LockBit, qui a entraîné la publication des données de l'entreprise.
En juin 2022, le site malveillant de « carding » (faisant référence à la fraude par carte de crédit) Altenen a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus large. Les données comprenaient 1,3 M d'adresses e-mail uniques, des noms d'utilisateur, des hachages de mots de passe bcrypt et des adresses de portefeuilles de cryptomonnaie.
Au milieu de l'année 2022, des données présentées comme provenant du fournisseur de paiement russe PaySystem.tech sont apparues dans les milieux du piratage, où elles ont été rendues disponibles au téléchargement public.
Fin mars 2022, la passerelle de paiement sri-lankaise PayHere a subi une fuite de données qui a exposé plus de 65 Go d'enregistrements de paiement, comprenant plus de 1,5 million d'adresses e-mail uniques.
Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.
L'acteur malveillant N4ughtySecTU a compromis TransUnion Afrique du Sud via un compte client protégé par le mot de passe « Password », puis a exigé une rançon de 15 millions de dollars. TransUnion a confirmé que les données personnelles de millions de consommateurs avaient été compromises.
En mars 2022, la compagnie aérienne colombienne aujourd'hui disparue Viva Air a subi une fuite de données suivie d'une attaque par rançongiciel. Parmi un trésor d'autres données rançonnées, l'incident a exposé un journal de 2,6 millions de transactions avec 932 000 adresses e-mail uniques, des adresses physiques et IP, des noms, des numéros de téléphone et des données partielles…
En décembre 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de plus de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.
En décembre 2021, le service de réservation en ligne FlexBooker a subi une fuite de données qui a exposé 3,7 millions de comptes. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone et, pour un petit nombre de comptes, des empreintes de mots de passe et des données partielles de cartes de crédit.
Plus de 700 clients de BDO Unibank, la plus grande banque des Philippines, ont perdu de l'argent par des virements en ligne non autorisés acheminés vers des comptes UnionBank sous l'alias « Mark Nagoyo » ; cinq suspects ont été arrêtés et BDO a remboursé les victimes.
En novembre 2021, la plateforme d'échange de cryptomonnaies BTC-Alpha a subi une fuite de données consécutive à une attaque par rançongiciel, après quoi les données des clients ont été publiquement divulguées. Les données touchées comprenaient 362 000 adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages PBKDF2.
Au cours d'octobre 2021, 3,1 millions d'adresses e-mail associées à des comptes sur le site de capitalisation boursière de cryptomonnaies CoinMarketCap ont été découvertes en train d'être échangées sur des forums de piratage.
Une intrusion par rançongiciel utilisant une balise Cobalt Strike a contraint la plus grande banque privée de l'Équateur, Banco Pichincha, à mettre hors ligne ses distributeurs, sa banque en ligne et son application mobile pendant plusieurs jours.
En août 2021, la société de développement web Imavex a subi une fuite de données qui a exposé 878 000 adresses e-mail uniques. Les données comprenaient des enregistrements utilisateurs contenant noms, noms d'utilisateur et éléments de mot de passe, certains enregistrements contenant également des genres et des données partielles de carte bancaire, dont les derniers…
En août 2021, le site web de ressources pédagogiques Have Fun Teaching a subi une fuite de données qui a divulgué 80 000 transactions WooCommerce, ensuite publiées sur un forum de piratage populaire.
En avril 2021, la société de courtage indienne Upstox a subi une fuite de données. L'incident a exposé de nombreuses informations personnelles concernant plus de 100 000 clients, dont des noms, des genres, des dates de naissance, des adresses postales, des informations bancaires et des mots de passe stockés sous forme de hachages bcrypt.
Un trésor de 8,2 To lié à la fintech indienne MobiKwik — couvrant prétendument jusqu'à 99 millions d'utilisateurs avec documents KYC, données Aadhaar et de cartes — a été mis en vente sur un forum du dark web, dans une violation que l'entreprise a répétée niée.
En mars 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de près de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.
En mars 2021, l'entreprise brésilienne d'EdTech Descomplica a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient près de 5 millions d'adresses e-mail, des noms, les 6 premiers et 4 derniers chiffres ainsi que la date d'expiration de cartes de crédit, des historiques d'achat et des mots de passe…
En mars 2021, le compte Stripe du service aujourd'hui disparu WeLeakInfo a été détourné par « pompompurin » après l'acquisition d'un nom de domaine expiré associé à une adresse e-mail utilisée pour gérer le compte.
La plus grande fuite de données personnelles de l'histoire du Brésil : des bases de données concernant environ 223 millions de personnes — noms, identifiants fiscaux CPF, images faciales, salaires et scores de crédit — ont été mises en vente sur un forum du dark web, les soupçons pointant vers des données de bureau de crédit.
Victim
Population brésilienne (bases liées aux bureaux de crédit)
En janvier 2021, Oxfam Australia a été victime d'une fuite de données qui a exposé 1,8 million d'adresses e-mail uniques de donateurs de l'association caritative. Les données ont été mises en vente sur un forum de piratage populaire et comprenaient également des noms, des numéros de téléphone, des adresses, des genres et des dates de naissance.
En janvier 2021, le site web d'armes à feu guns.com a subi une fuite de données. La fuite a exposé 376 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales, des achats d'armes, des données partielles de cartes bancaires, des dates de naissance et des mots de passe stockés sous forme d'empreintes bcrypt.
Des attaquants ont exploité une faille zero-day dans l'appliance de transfert de fichiers Accellion (FTA) vieillissante pour pénétrer la banque centrale de Nouvelle-Zélande, accédant à des fichiers commercialement et personnellement sensibles ; le nettoyage a coûté à la Banque de réserve environ 3,5 millions de dollars néo-zélandais.
En décembre 2020, le département du Tourisme et des Loisirs de l'État de l'Oklahoma a subi une fuite de données. L'incident a exposé 637 000 adresses e-mail réparties dans diverses tables, incluant des tranches d'âge associées à des commandes de brochures et des dates de naissance associées à des participations à des concours.
Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.
Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Le groupe Black Shadow a compromis l'assureur israélien Shirbit, dérobant cartes d'identité, passeports, documents financiers et médicaux, et exigeant une rançon en bitcoin grimpant jusqu'à un million de dollars. Devant le refus de Shirbit, les attaquants ont divulgué les données clients par étapes.
En septembre 2021, une base de données PostgreSQL accessible publiquement appartenant au service Playbook a été identifiée. Gérée par la société de capital-risque Plug and Play Ventures, la base de données était exposée depuis octobre 2020 et contenait plus de 50 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des emplois…
Une attaque par déni de service distribué en plusieurs vagues, avec un trafic dix fois supérieur à la normale, a brièvement perturbé les services bancaires et de télécommunications hongrois, ce que Magyar Telekom a qualifié de l'une des plus grandes cyberattaques jamais observées en Hongrie.
Le rançongiciel REvil (Sodinokibi) a chiffré environ 14 000 postes de travail de BancoEstado, l'une des plus grandes banques du Chili, la contraignant à fermer toutes ses agences du pays pendant une journée, tandis que les distributeurs, la banque en ligne et les fonds des clients restaient préservés grâce à la segmentation du réseau.
Une campagne DDoS volumétrique soutenue a mis hors ligne la bourse de Nouvelle-Zélande pendant une partie de cinq jours de cotation consécutifs, interrompant les échanges car la bourse ne pouvait plus publier les annonces de marché, et provoquant un sévère blâme réglementaire.
Un fraudeur se faisant passer pour un client légitime d'Experian a obtenu les données personnelles de 24 millions de Sud-Africains et de 793 749 entreprises, dans ce qui est devenu l'une des plus grandes fuites de données de l'histoire de l'Afrique du Sud.
En août 2020, le magasin de vêtements Bonobos a subi une fuite de données qui a exposé près de 70 Go de données contenant 2,8 millions d'adresses e-mail uniques. La fuite a également exposé des noms, des adresses physiques et IP, des numéros de téléphone, des historiques de commandes et des mots de passe stockés sous forme de hachages SHA-512 salés, dont…
En octobre 2020, la nouvelle d'une fuite de données chez Lazada RedMart a éclaté, contenant des enregistrements aussi récents que juillet 2020 et vendus via une place de marché en ligne. Au total, les données contenaient 1,1 million d'adresses e-mail clients ainsi que des noms, des numéros de téléphone, des adresses postales, des numéros de carte de crédit partiels et des mots de passe…
En juillet 2020, le site Utah Gun Exchange a subi une fuite de données qui touchait également plusieurs autres sites associés. Au total, 235 000 adresses e-mail uniques ont été exposées avant d'être échangées en ligne, accompagnées de noms, de noms d'utilisateur, de genres, d'adresses IP et de hachages de mots de passe.
En juin 2020, l'application bancaire numérique Dave a subi une fuite de données qui a exposé 7,5 millions de lignes de données et est ensuite apparue en téléchargement public sur un forum de piratage.
En juin 2020, le fabricant de portefeuilles matériels de cryptomonnaie Ledger a subi une fuite de données qui a exposé plus d'un million d'adresses e-mail. Les données ont d'abord été vendues avant d'être divulguées publiquement en décembre 2020 et comprenaient des noms, des adresses postales et des numéros de téléphone.
En juin 2020, le service de crédit indonésien Kreditplus a subi une fuite de données qui a exposé 896 k enregistrements contenant 769 k adresses e-mail uniques. La fuite a exposé de nombreuses informations personnelles, notamment des noms, la composition familiale, des informations sur les conjoints, les revenus et les dépenses, les religions et l'emploi…
En juin 2020, l'opérateur de bus égyptien Swvl a subi une fuite de données qui a touché plus de 4 millions de membres du service. Les données exposées comprenaient des noms, des adresses e-mail, des numéros de téléphone, des photos de profil, des données partielles de carte de crédit (type et 4 derniers chiffres) et des mots de passe stockés sous forme de condensats bcrypt, tous…
Début 2020, le service de livraison de repas Home Chef a subi une fuite de données qui a ensuite été revendue en ligne. La fuite a exposé les informations personnelles de près de 9 millions de clients, notamment les noms, adresses IP, codes postaux, les 4 derniers chiffres des numéros de carte bancaire et les mots de passe stockés sous forme d'empreintes bcrypt…
Les opérateurs de REvil/Sodinokibi ont déclenché leur charge contre Travelex le soir du Nouvel An 2019 après avoir séjourné dans le réseau pendant six mois via un VPN Pulse Secure non corrigé. Travelex a versé 2,3 millions de dollars ; la maison mère Finablr a fait défaut ; PwC a placé Travelex en liquidation, avec la perte de plus de 1 300 emplois.
En août 2019, le programme de fidélité allemand de Mastercard « Priceless Specials » a subi une fuite de données. Les données personnelles de près de 90 000 membres du programme ont ensuite largement circulé en ligne et comprenaient des noms, des adresses e-mail et IP, des numéros de téléphone et des données partielles de cartes de crédit.
L'ancienne ingénieure AWS Paige Thompson a exploité un pare-feu applicatif web mal configuré pour extraire les données personnelles d'environ 106 millions de demandeurs et clients de cartes de crédit Capital One depuis S3.
Un employé de Desjardins — la plus grande coopérative financière du Canada — a exfiltré les données personnelles de 9,7 millions de membres et d'entreprises sur deux ans avant d'être démasqué. Le cas canadien emblématique de menace interne.
En octobre 2019, 1,4 million de comptes du service de portefeuille de cryptomonnaies GateHub ont été publiés sur un forum de piratage populaire. GateHub avait précédemment reconnu une fuite de données en juin, bien qu'avec un nombre plus restreint de comptes touchés.
Une faille de référence directe à un objet non sécurisée (IDOR) sur le site web de First American Financial a exposé environ 885 millions de documents d'assurance-titre et de crédit immobilier — dont des numéros de sécurité sociale, des coordonnées bancaires et des images de permis de conduire — remontant à 2003, accessibles à quiconque sans authentification.
En mai 2019, le service de commande de nourriture en ligne EatStreet a subi une fuite de données affectant 6,4 millions de clients. Une grande quantité de données personnelles a été obtenue, notamment des noms, des numéros de téléphone, des adresses, des données partielles de cartes de crédit et des mots de passe stockés sous forme d'empreintes bcrypt.
En décembre 2018, le site de jeux de rôle sur table Roll20 a subi une fuite de données. Près de 4 millions de clients ont été touchés par la fuite et ont vu leurs adresses e-mail et IP, leurs noms, leurs hachages bcrypt de mots de passe et les 4 derniers chiffres de leurs cartes de crédit exposés.
Des retraits frauduleux chez BankIslami ont déclenché la plus grande fuite du secteur bancaire pakistanais, avec les détails de plus de 19 000 cartes de paiement de 22 banques mis en vente sur le forum de carding Joker's Stash et encaissés via des distributeurs et terminaux de paiement à l'étranger.
En octobre 2018, le site d'éducation et de services de courtage en métaux précieux GoldSilver a subi une fuite de données qui a exposé 243 000 adresses e-mail uniques, couvrant à la fois des clients et des abonnés à la liste de diffusion.
En août 2018, la plateforme d'investissement en cryptomonnaie Atlas Quantum a subi une fuite de données. La fuite a divulgué les données personnelles de 261 000 investisseurs de la plateforme, notamment leurs noms, numéros de téléphone, adresses e-mail et soldes de compte.
La start-up d'engagement commercial Apollo a laissé en 2018 une base de données de 9 milliards de points de données et plus de 200 millions de fiches de contact exposée sans mot de passe ; un sous-ensemble de 126 millions d'adresses e-mail uniques a été intégré à Have I Been Pwned après sa découverte par le chercheur Vinny Troia.
En juin 2018, le Bureau de lutte contre la cybercriminalité de la police criminelle centrale estonienne a contacté HIBP et demandé de l'aide pour rendre consultable un ensemble de données de 655 000 adresses e-mail.
Victim
Estonian Citizens (via Estonian Cybercrime Bureau)
Mi-2018, le détaillant basé à Hong Kong Romwe a subi une fuite de données ayant exposé près de 20 millions de clients. Les données ont ensuite été vendues en ligne et incluent des noms, des numéros de téléphone, des adresses e-mail et IP, les localisations géographiques des clients et des mots de passe stockés sous forme de hachages SHA-1 salés.
Des attaquants ont exploité les logiciels tiers reliant les banques mexicaines au SPEI, le système de paiement interbancaire de la banque centrale, en injectant des virements fantômes et en détournant environ 300 à 400 millions de pesos (~15-20 millions de dollars) retirés en espèces par des mules financières.
Victim
Banco de México (Banxico) / banques participantes au SPEI
La plateforme d'échange de cryptomonnaies Coincheck, basée à Tokyo, a perdu 523 millions de jetons NEM (~530 M$ à l'époque) depuis un portefeuille chaud dépourvu de protection multi-signature. Le plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois à l'époque — attribué par la suite au groupe Lazarus de Corée du Nord.
En décembre 2017, le site d'actualités boursières The Fly on the Wall a subi une fuite de données. Les données de la fuite comprenaient 84 000 adresses e-mail uniques ainsi que des historiques d'achat et des données de carte de crédit.
Le groupe nord-coréen Lazarus a utilisé un logiciel malveillant sur mesure pour prendre le contrôle du terminal SWIFT de la Far Eastern International Bank et virer environ 60 millions de dollars vers des comptes aux États-Unis, au Cambodge et au Sri Lanka, en déployant le rançongiciel Hermes comme diversion.
Une vulnérabilité Apache Struts non corrigée a permis à des attaquants d'exfiltrer numéros de sécurité sociale, dates de naissance, adresses et numéros de permis de conduire de 147 millions de consommateurs américains, britanniques et canadiens.
En avril 2021, des pirates ont mis en vente des données provenant de la plateforme financière indienne en ligne Moneycontrol. Les données comprenaient 763 000 adresses e-mail uniques (prétendument un sous-ensemble d'une fuite plus large de 40 millions de comptes), ainsi que des localisations géographiques, des numéros de téléphone, des genres, des dates de naissance…
En août 2017, le service de courtage de cryptomonnaies Coinmama a subi une fuite de données qui a touché 479 000 abonnés. La fuite a été découverte en février 2019, les données exposées comprenant des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 WordPress.
Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.
Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
En mars 2017, un fichier contenant 8 millions de lignes de données prétendument issues de l'agrégateur de données Factual a été compilé puis échangé sous prétexte qu'il s'agissait d'une « fuite ». Les données contenaient 2,5 millions d'adresses e-mail uniques ainsi que des noms d'entreprises, des adresses et des numéros de téléphone.
En décembre 2016, plus de 200 millions de « profils d'enrichissement de données » ont été trouvés en vente sur le darknet. Le vendeur prétendait que les données provenaient d'Experian et, bien que cette affirmation ait été rejetée par l'entreprise, les données elles-mêmes se sont avérées légitimes, suggérant qu'elles pouvaient provenir d'autres…
En septembre 2016, près de 21 Go de données du site web français utilisé comme « moyen normalisé et décentralisé d'échange pour la publication d'articles de newsgroups » NemoWeb ont été divulgués à partir de ce qui semble avoir été une base Mongo DB non protégée.
En août 2016, l'éditeur suisse en libre accès connu sous le nom de MDPI a vu 17,5 Go de données obtenues à partir d'une instance Mongo DB non protégée. Les données contenaient des échanges d'e-mails entre MDPI et ses auteurs et relecteurs, comprenant 845 000 adresses e-mail uniques.
En juillet 2016, un tweet a été publié avec un lien vers une présumée fuite de données de BlueSnap, une passerelle de paiement et un fournisseur de comptes marchands mondial. Les données contenaient 324 000 enregistrements de paiement répartis sur 105 000 adresses e-mail uniques et incluaient des attributs personnels tels que le nom, l'adresse du domicile et le numéro de téléphone.
Une archive de 1,4 Go contenant des fichiers internes, des dossiers de comptes clients et près d'un million de numéros de cartes de paiement stockés en clair a été diffusée en ligne, incluant des dossiers sur la famille royale Al Thani du Qatar, le personnel d'Al Jazeera et des cibles de renseignement présumées.
Aux alentours d'avril 2016, la société KnownCircle, spécialisée dans « l'automatisation marketing pour les agents et les prestataires de services professionnels », a vu un grand volume de données récupéré par une partie externe.
En mars 2016, le service de protection contre les attaques DDoS Staminus a été « massivement piraté », entraînant une panne de plus de 20 heures et la divulgation des identifiants de clients (avec des empreintes MD5 non salées), de tickets de support, de numéros de carte de crédit et d'autres données sensibles.
Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.
Une campagne DDoS de deux semaines revendiquée par Anonymous a mis hors ligne les systèmes bancaires en ligne et de paiement par carte turcs et frappé l'infrastructure NIC.tr d'un déluge de 40 Gbit/s, perturbant environ 400 000 domaines .tr à l'échelle nationale.
Un pirate se faisant appeler Hacker Buba a compromis InvestBank, basée à Sharjah, exigé une rançon de 3 millions de dollars, puis divulgué des dizaines de milliers de dossiers clients — dont numéros de cartes de crédit, passeports et détails de comptes — lorsque la banque a refusé de payer.
En septembre 2015, l'agence d'évaluation du crédit et courtier en données de consommation basé aux États-Unis Experian a subi une fuite de données qui a affecté 15 millions de clients ayant sollicité un financement auprès de T-Mobile.
En mai 2015, le forum Bitcoin Talk consacré au Bitcoin a été piraté et plus de 500 000 adresses e-mail uniques ont été exposées. L'attaque a entraîné l'exposition d'une multitude de données personnelles, dont des noms d'utilisateur, des adresses e-mail et IP, des genres, des dates de naissance, des questions de sécurité et des hachages MD5 de leurs réponses ainsi que des hachages de…
Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.
Les attaquants ont exploité un serveur dépourvu d'authentification à deux facteurs pour compromettre plus de 90 serveurs de JPMorgan Chase et dérober les coordonnées de 76 millions de foyers et 7 millions de petites entreprises — l'une des plus importantes intrusions jamais subies par une institution financière américaine.
En octobre 2014, la plateforme d'échange de Bitcoin BTC-E a été piratée et 568 000 comptes ont été exposés. Les données comprenaient des adresses e-mail et IP, des soldes de portefeuille et des mots de passe hachés.
En août 2022, des millions d'enregistrements de la banque mexicaine « Banorte » ont été publiquement divulgués sur un forum de piratage populaire, notamment 2,1 millions d'adresses e-mail uniques, des adresses postales, des noms, des numéros de téléphone, des numéros RFC (fiscaux), des genres et des soldes bancaires.
En avril 2014, le site web australien « Business Acumen Magazine » a été piraté par un attaquant connu sous le nom de 1337MiR. La fuite a entraîné l'exposition de plus de 26 000 comptes, dont des noms d'utilisateur, des adresses e-mail et des mots de passe stockés avec un algorithme de hachage cryptographique faible (MD5 sans sel).
En février 2014, l'Internet Governance Forum (créé par les Nations unies pour le dialogue politique sur les questions de gouvernance d'Internet) a été attaqué par le collectif de pirates connu sous le nom de Deletesec.
En février 2014, Bell Canada a subi une fuite de données provoquée par le collectif de pirates connu sous le nom de NullCrew. La fuite portait sur des données provenant de plusieurs sites de Bell et a exposé des adresses e-mail, des noms d'utilisateur, des préférences d'utilisateurs ainsi qu'un certain nombre de mots de passe non chiffrés et des données de cartes bancaires issues de 40 000 enregistrements…
Un sous-traitant du Korea Credit Bureau a copié sur une clé USB les données de cartes et d'identité d'environ 20 millions de clients des émetteurs KB Kookmin, Lotte et NH Nonghyup, puis les a revendues — l'un des plus grands vols de données financières de l'histoire de la Corée du Sud.
Victim
Korea Credit Bureau (KCB) / unités cartes KB Kookmin, Lotte, NH Nonghyup
Gauss, une boîte à outils de cybersurveillance étatique apparentée à Flame et Stuxnet, a infecté plus de 2 500 systèmes — surtout au Liban — et fut le premier maliciel commandité par un État connu publiquement, conçu pour dérober les identifiants de banque en ligne de banques libanaises précises.
Victim
Banques libanaises (Bank of Beirut, Byblos Bank, Fransabank, BlomBank, Credit Libanais) et leurs clients
En juin 2012, le jeu en ligne multijoueur League of Legends a subi une fuite de données. À l'époque, le service comptait plus de 32 millions de comptes enregistrés et la fuite a touché divers attributs de données personnelles, notamment des mots de passe « chiffrés ».
En mai 2012, l'entreprise d'hébergement web, de facturation et d'automatisation WHMCS a subi une fuite de données qui a exposé 134 000 adresses e-mail. La fuite comprenait de nombreuses informations sur les clients et les historiques de paiement, y compris des numéros de carte de crédit partiels.
En décembre 2011, « Anonymous » a attaqué l'entreprise de renseignement mondial connue sous le nom de « Stratfor » et a par conséquent divulgué un véritable trésor de données, comprenant des centaines de gigaoctets d'e-mails et des dizaines de milliers de détails de cartes de crédit qui ont été aussitôt utilisés par les attaquants pour effectuer des dons caritatifs…
Un point d'entrée par injection SQL a permis au groupe d'Albert Gonzalez d'implanter un logiciel renifleur dans le réseau de traitement des paiements de Heartland, capturant environ 130 millions de numéros de cartes en transit — à l'époque la plus grande violation de données de cartes jamais divulguée.
Une vague de trois semaines d'attaques par déni de service distribué a paralysé les sites web gouvernementaux, bancaires et médiatiques estoniens lors d'un différend avec la Russie, devenant la première cyberattaque visant un État-nation tout entier et le berceau de la doctrine de cyberdéfense de l'OTAN.