Skip to content

Incidents dans le secteur :

Finance

Faille zero-dayContenu

La NAIC confirme une fuite de données après l'exploitation d'une faille zero-day Oracle PeopleSoft par ShinyHunters

La National Association of Insurance Commissioners a révélé le 23 juin 2026 que des attaquants avaient exploité une faille zero-day d'Oracle PeopleSoft pour accéder à une partie de son environnement ; dès le 25 juin, le groupe d'extorsion ShinyHunters avait publié en ligne les données volées, revendiquant plus de 3,1 téraoctets.

Victim
National Association of Insurance Commissioners (NAIC)
AutreContenu

Une cyberattaque perturbe quatre grandes banques iraniennes via leur réseau de communication partagé

Une cyberattaque contre l'infrastructure de communication partagée utilisée par Bank Melli, Bank Saderat, Bank Tejarat et la Banque de développement des exportations d'Iran a mis hors service distributeurs, terminaux de paiement et banque en ligne, même si les autorités ont affirmé qu'aucune donnée client n'avait été consultée.

Victim
Bank Melli, Bank Saderat, Bank Tejarat and Export Development Bank of Iran
Chaîne d’approvisionnementContenu

Fuite chez Alan (via Almerys)

Le 23 mai 2026, l'assureur santé numérique français Alan a alerté ses adhérents qu'une cyberattaque visant son prestataire de tiers-payant Almerys avait exposé leurs données personnelles — état civil, date de naissance, numéro de Sécurité sociale et informations de contrat — sans toucher aux données de paiement, mots de passe ni données de santé.

Victim
Alan
Fuite de donnéesInconnu

23 685 enregistrements : fuite revendiquée chez ATOA

Un acteur malveillant a mis en vente sur un forum du dark web une base de données d'ATOA — fintech française de tokenisation immobilière et d'investissement fractionné — exposant environ 23 685 enregistrements d'utilisateurs et financiers ainsi que 326 archives KYC complètes (passeports, pièces d'identité, données bancaires).

Victim
ATOA
Records
23.7K
Fuite de donnéesContenu

CARMF : 2,4 millions d’enregistrements de médecins en fuite après une cyberattaque

En mai 2026, un acteur utilisant le pseudonyme lazasec a affirmé avoir compromis la CARMF, caisse de retraite et de prévoyance des médecins libéraux français, et divulgué une base pouvant atteindre 2,4 millions d’enregistrements (noms, codes cotisant, adresses postales et dates de dernière déclaration) ; la CARMF a qualifié les données exposées de publiques et non sensibles.

Victim
CARMF
Fuite de donnéesRésolu

Fuite de données Vimeo (2026)

En avril 2026, le groupe d'extorsion ShinyHunters a inscrit Vimeo sur son portail d'extorsion dans le cadre de sa campagne « payer ou divulguer ». Il a ensuite publié des centaines de gigaoctets de données, composées principalement de titres de vidéos, de données techniques et de métadonnées.

Victim
Vimeo
Records
119.2K
Fuite de donnéesRésolu

Fuite de données Udemy (2026)

En avril 2026, la société de formation en ligne Udemy a été victime d'une tentative d'extorsion de type « payer ou divulguer » perpétrée par le groupe ShinyHunters. Les données ont ensuite été divulguées publiquement et contenaient 1,4 million d'adresses e-mail uniques appartenant à des clients et à des formateurs.

Victim
Udemy
Records
1.4M
Fuite de donnéesRésolu

Fuite de données Kemper (2026)

En avril 2026, la société américaine de holding d'assurance Kemper Corporation a été nommée par le groupe de rançongiciels ShinyHunters dans une campagne d'extorsion de type « payer ou divulguer ».

Victim
Kemper
Records
269.3K
Fuite de donnéesRésolu

Fuite de données Zara (2026)

En avril 2026, la marque de mode Zara figurait parmi plusieurs organisations ciblées par le groupe d'extorsion ShinyHunters dans le cadre de sa campagne « payer ou être divulgué ».

Victim
Zara
Records
197.4K
Fuite de donnéesRésolu

Fuite de données Abrigo (2026)

En avril 2026, l'éditeur de logiciels fintech Abrigo a été visé par une tentative d'extorsion « payer ou divulguer » menée par le groupe ShinyHunters. Peu après, des données prétendument issues de l'instance Salesforce de l'entreprise ont été publiées et contenaient plus de 700 000 adresses e-mail uniques appartenant à la fois à Abrigo…

Victim
Abrigo
Records
711.1K
Fuite de donnéesRésolu

Fuite de données Mytheresa (2026)

En avril 2026, la plateforme de commerce électronique de mode de luxe Mytheresa a été désignée comme victime du groupe d'extorsion ShinyHunters pratiquant le « payez ou nous divulguons ». Une fois le délai de la rançon expiré, le groupe a publié les données qui contenaient 84 000 adresses e-mail uniques.

Victim
Mytheresa
Records
84.1K
Fuite de donnéesRésolu

Fuite de données ZenBusiness (2026)

En mars 2026, le groupe de pirates et d'extorsion « ShinyHunters » a affirmé avoir obtenu un volume important de données de ZenBusiness, une plateforme de création d'entreprise et de mise en conformité.

Victim
ZenBusiness
Records
5.1M
Fuite de donnéesRésolu

Fuite de données Addi (2026)

En mars 2026, l'entreprise fintech colombienne Addi a détecté une activité non autorisée sur sa plateforme et a informé ses clients qu'« il est possible que vos informations personnelles aient été compromises ».

Victim
Addi
Records
34.5M
Fuite de donnéesRésolu

Fuite de données Sound Radix (2026)

En mars 2026, l'entreprise d'outils de production audio Sound Radix a divulgué une fuite de données qu'elle a ensuite soumise elle-même à HIBP. L'incident a touché 293 000 adresses e-mail uniques et noms.

Victim
Sound Radix
Records
293.0K
Fuite de donnéesContenu

Fuite de données chez Vatel Capital

Le 9 mars 2026, la société de gestion française agréée par l'AMF Vatel Capital a informé ses clients par mail d'une exposition accidentelle de fichiers survenue entre le 21 février et début mars 2026, touchant des données personnelles détenues par la société.

Victim
Vatel Capital
Fuite de donnéesRésolu

Fuite de données Baydöner (2026)

En mars 2026, la chaîne de restaurants turque Baydöner a subi une fuite de données qui a ensuite été publiée sur un forum de piratage public. L'incident a exposé plus de 1,2 million d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des villes de résidence et des mots de passe en texte clair.

Victim
Baydöner
Records
1.3M
Fuite de donnéesRésolu

Fuite de données Aura (2026)

En mars 2026, le service de sécurité en ligne Aura a révélé une fuite de données qui a exposé 900 000 adresses e-mail uniques. Les données étaient principalement associées à un outil marketing d'une entreprise précédemment acquise, avec moins de 20 000 clients Aura actifs touchés.

Victim
Aura
Records
903.1K
Fuite de donnéesRésolu

Fuite de données SUCCESS (2026)

En mars 2026, la marque média de développement personnel et de réussite SUCCESS a subi une fuite de données. L'incident a exposé 250 000 adresses e-mail uniques ainsi que des noms, des adresses IP, des numéros de téléphone et, pour un nombre limité de membres du personnel, des empreintes de mots de passe bcrypt.

Victim
SUCCESS
Records
253.5K
Fuite de donnéesRésolu

Fuite de données Ameriprise (2026)

En mars 2026, la société de services financiers Ameriprise Financial a été désignée par le groupe ShinyHunters dans une campagne d'extorsion de type « payer ou divulguer ». Le groupe a affirmé détenir plus de 200 Go de données compressées exfiltrées de l'environnement Salesforce et de l'infrastructure SharePoint interne d'Ameriprise,…

Victim
Ameriprise
Records
502.6K
Fuite de donnéesContenu

Fuite de données chez PayPal : exposition affecte des clients PayPal Working Capital

PayPal a révélé en février 2026 qu'une erreur de code dans sa plateforme de prêt aux entreprises PayPal Working Capital (PPWC) avait exposé les données personnelles — noms, dates de naissance, numéros de sécurité sociale et adresses professionnelles — d'une centaine de clients, dont certains en France, pendant près de six mois.

Victim
PayPal (Entreprise)
Records
100
Fuite de donnéesRésolu

Fuite de données CarGurus (2026)

En février 2026, la place de marché automobile CarGurus a été la cible d'une fuite de données attribuée à l'acteur malveillant ShinyHunters. À la suite d'une tentative d'extorsion, les données ont été publiées publiquement et contenaient plus de 12 millions d'adresses e-mail réparties dans plusieurs fichiers, y compris des correspondances d'identifiants de comptes utilisateurs,…

Victim
CarGurus
Records
12.5M
Fuite de donnéesRésolu

Fuite de données Odido (2026)

En février 2026, l'opérateur télécom néerlandais Odido a été victime d'une fuite de données suivie d'une tentative d'extorsion. Peu après, un total de 6 millions d'adresses e-mail uniques ont été publiées dans le cadre de quatre diffusions de données distinctes sur des jours consécutifs.

Victim
Odido
Records
6.1M
Fuite de donnéesRésolu

Fuite de données Figure (2026)

En février 2026, des données obtenues auprès de la plateforme de prêt fintech Figure ont été publiées en ligne. Les données exposées, datant de janvier 2026, contenaient plus de 900 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses physiques et des dates de naissance.

Victim
Figure
Records
967.2K
Fuite de donnéesInconnu

Fuite chez Lovys

Le 28 janvier 2026, une fuite de données a été revendiquée à l'encontre de Lovys, néo-assureur français 100% digital, exposant prétendument des données clients ; l'ampleur et les catégories exactes restent non vérifiées.

Victim
Lovys
Fuite de donnéesInconnu

Fuite chez Panorama Banques

Le 24 janvier 2026, une base de données attribuée au comparateur bancaire et courtier en crédit français Panorama Banques (Panorabanques) a circulé en ligne, exposant des données personnelles, de contact et un profil financier détaillé d'environ 2,34 millions de clients.

Victim
Panorama Banques
Records
2.3M
Fuite de donnéesContenu

Fuite chez Waltio

En janvier 2026, la plateforme française de fiscalité crypto Waltio a révélé une fuite exposant les données d'environ 50 000 utilisateurs — adresses e-mail et résumés du rapport fiscal 2024 (plus-values/moins-values et soldes de fin d'année) — suivie d'une tentative d'extorsion que l'entreprise a refusé de payer.

Victim
Waltio
Records
50.0K
Fuite de donnéesRésolu

Fuite de données Betterment (2026)

En janvier 2026, la plateforme d'investissement automatisé Betterment a confirmé avoir subi une fuite de données attribuée à une attaque d'ingénierie sociale. Dans le cadre de cet incident, des clients de Betterment ont reçu des messages frauduleux liés aux cryptomonnaies promettant des rendements élevés s'ils envoyaient des fonds vers un…

Victim
Betterment
Records
1.4M
Fuite de donnéesInconnu

Fuite chez PayTrip

Le 27 décembre 2025, la fintech française de transfert d'argent PayTrip a subi une fuite de données exposant les informations de 74 877 clients, dont noms, coordonnées, IBAN et soldes de comptes, ensuite diffusées en ligne par un acteur malveillant.

Victim
PayTrip
Records
74.9K
Chaîne d’approvisionnementContenu

Fuite chez ASAF & AFPS (via Itelis)

Des adhérents de l'assureur ASAF & AFPS ont vu leurs données personnelles exposées après une fuite chez Itelis, le réseau de soins optiques qui traite leurs remboursements ; nom, date de naissance, numéro de sécurité sociale, dossiers et données de correction visuelle de 2020-2022 sont concernés.

Victim
ASAF & AFPS
RançongicielEn cours

Fuite chez La Centrale du Financement

Un pirate a exfiltré environ 387 Go de données (quelque 411 000 fichiers) du réseau du courtier en crédit et en prêt immobilier La Centrale de Financement, exposant des documents KYC, financiers et internes très sensibles, puis a mis le lot en vente après l'échec de négociations d'extorsion.

Victim
La Centrale du Financement
Chaîne d’approvisionnementContenu

Fuite chez AG2R la Mondiale (via Itelis)

Révélée en novembre 2025, une cyberattaque contre Itelis — le réseau de soins optiques utilisé par l'assureur AG2R la Mondiale — a exposé les nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement et données de correction visuelle de bénéficiaires couverts en optique entre 2020 et début 2022.

Victim
AG2R la Mondiale
Fuite de donnéesRésolu

Fuite de données Canadian Tire (2025)

En octobre 2025, le détaillant Canadian Tire a été victime d'une fuite de données qui a exposé près de 42 millions d'enregistrements. Les données contenaient 38 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses physiques.

Victim
Canadian Tire
Records
38.3M
Chaîne d’approvisionnementContenu

Fuite chez La Nef

En septembre 2025, la banque coopérative éthique française La Nef a alerté ses sociétaires sur l'exposition de leurs adresses email à la suite d'une cyberattaque visant le prestataire de vote SLIB ; seules des adresses email ont été touchées, sans données bancaires, pièces d'identité ni mots de passe.

Victim
La Nef
Fuite de donnéesRésolu

Fuite de données Canada Goose (2025)

En février 2026, une fuite de données contenant prétendument des informations relatives aux clients de Canada Goose a été publiée publiquement. Les données contenaient 920 000 enregistrements avec 582 000 adresses e-mail uniques et comprenaient des noms, des numéros de téléphone, des adresses IP, des adresses physiques et des données partielles de cartes bancaires, en particulier des numéros de carte…

Victim
Canada Goose
Records
581.9K
Ingénierie socialeContenu

Braquage Pix chez C&M Software (Brésil, 2025)

Un développeur junior chez C&M Software — fournisseur autorisé par la Banque centrale pour la connectivité au système de paiement instantané Pix — a été payé environ 5 000 R$ pour livrer ses identifiants. Les attaquants ont utilisé cet accès pour vider environ 800 millions de R$ (148 millions de dollars) des comptes de réserve de six institutions financières brésiliennes en 2,5 heures.

Victim
C&M Software (fournisseur d'infrastructure de paiement Pix)
Loss
$148.0M
RançongicielEn cours

Fuite chez Harvest

Harvest, éditeur français de logiciels de gestion de patrimoine, a été victime d'une attaque par rançongiciel à double extorsion du groupe Run Some Wares, révélée en avril 2025 ; des fichiers internes et clients ont été exfiltrés et publiés, exposant des données de dizaines de milliers de personnes et de milliers d'entreprises.

Victim
Harvest
Chaîne d’approvisionnementContenu

Fuite chez MAIF & BPCE

Une attaque par rançongiciel contre l'éditeur français de logiciels de gestion de patrimoine Harvest (groupe Run Some Wares, détectée le 27 février 2025) a exposé des données personnelles et financières de clients de l'assureur MAIF et du groupe bancaire BPCE (Banque Populaire / Caisse d'Épargne), via une attaque sur la chaîne d'approvisionnement.

Victim
MAIF & BPCE
Chaîne d’approvisionnementContenu

Fuite chez Direct Assurance

En mars 2025, l'assureur direct Direct Assurance (filiale d'AXA) a subi une fuite via son partenaire Run Assurance : les attaquants ont exploité une faille dans les échanges de données entre les deux entreprises pour accéder aux données personnelles de clients, exposant à l'usurpation d'identité et au phishing.

Victim
Direct Assurance
Fuite de donnéesContenu

Fuite chez UTwin

Le 5 mars 2025, le courtier français en assurance emprunteur UTwin a informé ses clients qu'une intrusion dans son système informatique avait temporairement exposé identité, adresses email et numéros de téléphone ; la société indique qu'aucune donnée bancaire, médicale ou contractuelle n'a été touchée.

Victim
UTwin
Fuite de donnéesContenu

Fuite chez Mutuelle des motards

En février 2025, l'assureur moto Mutuelle des Motards a subi une fuite issue d'un outil de gestion de contacts marketing, exposant noms, adresses e-mail, numéros de téléphone et codes postaux de plus de 1,3 million de sociétaires.

Victim
Mutuelle des motards
Records
1.3M
Bourrage d’identifiantsContenu

Fuite chez Caisse des dépôts et des consignations

En février 2025, la Caisse des dépôts a révélé que des pirates avaient utilisé des identifiants de connexion volés pour accéder à la plateforme de retraite Ircantec et dérober les données personnelles d'environ 70 000 agents contractuels du public, praticiens hospitaliers et près de 1 000 élus locaux.

Victim
Caisse des dépôts et des consignations
Records
70.0K
Fuite de donnéesRésolu

Fuite de données LandAirSea (2025)

En janvier 2025, le service de suivi GPS LandAirSea a subi une fuite de données qui a exposé 337 k adresses e-mail clients uniques ainsi que des noms, des noms d'utilisateur et des hachages de mots de passe.

Victim
LandAirSea
Records
337.4K
Fuite de donnéesContenu

Fuite chez Banque de France

Le 23 novembre 2024, l'acteur malveillant Near2tlg a mis en vente des données prétendument volées à la banque centrale française ; la Banque de France a démenti toute compromission de ses systèmes sécurisés, ne reconnaissant qu'un accès externe ponctuel à un extranet RH, sans donnée sensible exposée.

Victim
Banque de France
Fuite de donnéesRésolu

Fuite de données Yonéma (2024)

En novembre 2024, des données de la plateforme de paiement sénégalaise Yonéma ont été publiées sur un forum de piratage populaire. Les données comprenaient 36 000 adresses e-mail uniques ainsi que des numéros de téléphone, des noms et ce qui semble être des mots de passe chiffrés et des dates de naissance.

Victim
Yonéma
Records
36.0K
Fuite de donnéesContenu

Fuite chez Direct Assurance

En novembre 2024, l'assureur en ligne français Direct Assurance a été piraté via le compte compromis d'un salarié, exposant les données personnelles d'environ 15 000 clients et prospects — dont les IBAN/RIB d'environ 5 800 d'entre eux — ensuite mises en vente en ligne.

Victim
Direct Assurance
Records
15.0K
Fuite de donnéesRésolu

Fuite de données 1win (2024)

En novembre 2024, la plateforme de paris en ligne 1win a subi une fuite de données qui a exposé 96 M d'utilisateurs. Les données exposées comprenaient des adresses e-mail et IP, des numéros de téléphone, des dates de naissance, le pays et des hachages de mots de passe SHA-256.

Victim
1win
Records
96.2M
Fuite de donnéesRésolu

Fuite de données chez Interbank au Pérou

Après l'échec d'une négociation d'extorsion de deux semaines, un acteur malveillant connu sous le nom de kzoldyck a divulgué 3,7 To de données sur environ 3 millions de clients d'Interbank, dont noms, numéros DNI, données de cartes et identifiants en clair.

Victim
Interbank (Banco Internacional del Perú)
Records
3.3M
Fuite de donnéesRésolu

Fuite de données Hot Topic (2024)

En octobre 2024, le détaillant Hot Topic a subi une fuite de données qui a exposé 57 millions d'adresses e-mail uniques. Les données touchées comprenaient également des adresses postales, numéros de téléphone, achats, genres, dates de naissance et des données bancaires partielles contenant le type de carte, la date d'expiration et les 4 derniers chiffres.

Victim
Hot Topic
Records
56.9M
Fuite de donnéesRésolu

Fuite de données Earth 2 (2024)

En octobre 2024, 421 000 adresses e-mail uniques du jeu de terre virtuelle Earth 2 ont été déduites d'images Gravatar intégrées. Apparaissant aux côtés des noms d'utilisateur des joueurs, la cause profonde était liée à la manière dont Gravatar présente les liens vers les avatars sous forme d'empreintes MD5 au sein des services consommateurs, une fonctionnalité qu'Earth 2 a signalée…

Victim
Earth 2
Records
421.0K
Fuite de donnéesRésolu

Fuite de données Finsure (2024)

En octobre 2024, près de 300 000 adresses e-mail uniques du groupe australien de courtage hypothécaire Finsure ont été obtenues à partir de la plateforme de marketing immobilier ActivePipe. Les données concernées comprenaient également des noms, des numéros de téléphone et des adresses physiques.

Victim
Finsure
Records
296.1K
Fuite de donnéesContenu

Fuite chez Meilleurtaux

Fin septembre 2024, le courtier français en crédit et en assurance Meilleurtaux a révélé qu'une attaque externe de ses systèmes informatiques avait exposé des données personnelles sensibles de clients : identité, coordonnées, date de naissance, situation familiale, revenus et situation professionnelle.

Victim
Meilleurtaux
Fuite de donnéesRésolu

Fuite de données French Citizens (2024)

En septembre 2024, plus de 90 millions de lignes de données concernant des citoyens français ont été retrouvées exposées dans une base de données accessible au public. Compilé à partir de diverses fuites de données, le corpus contenait 28 millions d'adresses e-mail uniques, les différentes fuites sources exposant chacune des champs différents, dont le nom, l'adresse physique et IP…

Victim
French Citizens
Records
28.4M
Fuite de donnéesRésolu

Fuite de données MC2 Data (2024)

En août 2024, l'agrégateur de données MC2 Data a laissé une base de données accessible publiquement sans mot de passe, qui a ensuite été découverte par un chercheur en sécurité. La fuite a exposé les informations personnelles de 2,1 millions d'abonnés au service, commercialisé sous toute une série de marques différentes.

Victim
MC2 Data
Records
2.1M
Fuite de donnéesContenu

Fuite chez Star Health et extorsion d'un haut responsable (Inde, 2024)

Un pirate utilisant l'alias xenZen a exposé les données personnelles et médicales de 31,2 millions de clients de Star Health via des bots Telegram, accompagnées de 5,76 millions de dossiers de sinistres. La fuite a dégénéré en un drame public d'extorsion impliquant un haut responsable de Star Health.

Victim
Star Health and Allied Insurance
Loss
$30.0M
Records
31.2M
Fuite de donnéesRésolu

Fuite de données Ubook (2024)

En juillet 2024, 700 000 adresses e-mail uniques de la plateforme de livres audio Ubook ont été publiées sur un forum de piratage populaire. Prétendument récupérées par scraping depuis le service, les données semblent provenir de l'Ubook Exchange (UBX) et comprennent également des noms, des genres, des dates de naissance et des liens vers des photos de profil.

Victim
Ubook
Records
699.9K
Fuite de donnéesRésolu

Fuite de données Otelier (2024)

En juillet 2024, un acteur malveillant a obtenu l'accès à la plateforme de gestion hôtelière Otelier et a récupéré des données de clients de grandes marques hôtelières, notamment Marriott, Hilton et Hyatt.

Victim
Otelier
Records
436.9K
Fuite de donnéesRésolu

Fuite de données Shoe Zone (2024)

En juin 2024, la chaîne de chaussures britannique Shoe Zone a divulgué une fuite de données qui a ensuite été mise en vente sur un forum de piratage populaire. Les données incluaient plus de 100 000 commandes contenant des noms, des adresses, des numéros partiels de cartes de crédit (type de carte et 4 derniers chiffres) et 46 000 adresses e-mail uniques.

Victim
Shoe Zone
Records
46.1K
Fuite de donnéesRésolu

Fuite de données Z-lib (2024)

En juin 2024, près de 10 millions d'enregistrements d'utilisateurs de Z-lib ont été découverts exposés en ligne. Désormais disparu, Z-lib était un clone malveillant de Z-Library, une plateforme clandestine en ligne bien connue pour le piratage de livres et d'articles universitaires.

Victim
Z-lib
Records
9.7M
Fuite de donnéesRésolu

Fuite de données mSpy (2024) (2024)

En juin 2024, un énorme ensemble de données du fabricant de logiciels espions mSpy a été obtenu par des hacktivistes et publié en ligne. Composé de 142 Go de données utilisateur et de tickets d'assistance ainsi que de 176 Go de plus d'un demi-million de pièces jointes, l'ensemble contenait 2,4 millions d'adresses e-mail uniques, des adresses IP, des noms et des photos.

Victim
mSpy (2024)
Records
2.4M
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M
Fuite de donnéesRésolu

Fuite de données Blooms Today (2023)

En avril 2024, 15 millions d'enregistrements du fleuriste en ligne Blooms Today ont été mis en vente sur un forum de piratage populaire. Les données les plus récentes du corpus de la fuite dataient de novembre 2023 et figuraient aux côtés de 3,2 millions d'adresses e-mail uniques, de noms, de numéros de téléphone, d'adresses physiques et de données partielles de cartes bancaires…

Victim
Blooms Today
Records
3.2M
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B
Fuite de donnéesRésolu

Fuite de données Manipulated Caiman (2023)

En juillet 2023, Perception Point a publié un rapport sur une opération d'hameçonnage baptisée « Manipulated Caiman ». Ciblant principalement les citoyens du Mexique, la campagne tentait d'accéder aux comptes bancaires des victimes via des attaques de harponnage utilisant des pièces jointes malveillantes.

Victim
Manipulated Caiman
Records
39.9M
Fuite de donnéesRésolu

Fuite de données Genesis Market (2023)

En avril 2023, la place de marché d'identités volées Genesis Market a été fermée par le FBI et une coalition d'agences de maintien de l'ordre du monde entier dans le cadre de l'« Opération Cookie Monster ».

Victim
Genesis Market
Records
8.0M
Fuite de donnéesContenu

Violation de données de Latitude Financial Services

Le prêteur australien de crédit à la consommation Latitude Financial a révélé que des attaquants avaient exfiltré 14 millions d'enregistrements — dont 7,9 millions de numéros de permis de conduire et 53 000 numéros de passeport — grâce à des identifiants dérobés à un prestataire de services.

Victim
Latitude Financial Services
Loss
$50.0M
Records
14.0M
Fuite de donnéesRésolu

Fuite de données MediaWorks (2023)

En mars 2024, des millions de lignes de données provenant de l'entreprise de médias néo-zélandaise MediaWorks ont été publiées sur un forum de piratage populaire. L'incident a exposé 163 000 adresses e-mail uniques fournies par des visiteurs ayant participé à des concours en ligne et comprenait des noms, des adresses postales, des numéros de téléphone, des dates…

Victim
MediaWorks
Records
162.7K
Fuite de donnéesRésolu

Fuite de données HDB Financial Services (2023)

En mars 2023, l'unité indienne de crédit non bancaire HDB Financial Services a subi une fuite de données qui a divulgué plus de 70 millions d'enregistrements clients. Contenant 1,6 million d'adresses e-mail uniques, la fuite a également divulgué des noms, des dates de naissance, des numéros de téléphone, des genres, des codes postaux et des informations de prêt appartenant aux…

Victim
HDB Financial Services
Records
1.7M
fraudinvestigating

Transferts non autorisés chez Flutterwave

La première fintech du Nigeria a subi une série d'incidents de transferts non autorisés en 2023, dont un détournement de 2,9 milliards de NGN (4,2 M$) réparti sur 28 comptes et une perte ultérieure de 19 milliards de NGN (24 M$) via un accès marchand TPE détourné, entraînant des injonctions Mareva pour geler des milliers de comptes bénéficiaires.

Victim
Flutterwave
Loss
$24.0M
Fuite de donnéesRésolu

Fuite de données Eye4Fraud (2023)

En février 2023, des données prétendument issues du service de protection contre la fraude Eye4Fraud ont été mises en vente sur un forum de piratage populaire. S'étendant sur des dizaines de millions de lignes avec 16 millions d'adresses e-mail uniques, les données étaient réparties sur 147 tables totalisant 65 Go et comprenaient à la fois des utilisateurs directs du…

Victim
Eye4Fraud
Records
16.0M
Fuite de donnéesRésolu

Fuite de données Zurich (2023)

En janvier 2023, la filiale japonaise de l'assureur Zurich a subi une fuite de données qui a exposé 2,6 millions d'enregistrements clients comprenant plus de 756 000 adresses e-mail uniques. Les données ont par la suite été publiées sur un forum de piratage populaire et comprenaient également des noms, des genres, des dates de naissance et des détails sur les véhicules assurés.

Victim
Zurich
Records
756.7K
Fuite de donnéesRésolu

Fuite de données Gemini (2022)

Fin 2022, un pirate a publié un ensemble de données sur un forum de piratage public en affirmant qu'il provenait de la plateforme d'échange de cryptomonnaies Gemini, une affirmation qui s'est ensuite révélée fausse, les données ayant été reliées à un incident chez un prestataire tiers.

Victim
Gemini
Records
5.3M
Fuite de donnéesRésolu

Fuite de données CoinTracker (2022)

En décembre 2022, le service de fiscalité Crypto & NFT CoinTracker a signalé une fuite de données qui a touché plus de 1,5 million de ses clients. L'entreprise a ensuite attribué la fuite à une compromission de SendGrid dans le cadre d'une attaque visant plusieurs clients du fournisseur de messagerie.

Victim
CoinTracker
Records
1.6M
Fuite de donnéesRésolu

Fuite de données Locally (2022)

En octobre 2022, Locally, « la principale solution d'achat en ligne vers hors ligne du secteur », a subi une fuite de données. Bien que Locally ait reconnu la fuite en privé, on ignore si les clients concernés ont ensuite été informés de l'incident, qui a exposé plus de 362 k noms, numéros de téléphone, adresses e-mail et…

Victim
Locally
Records
362.6K
Fuite de donnéesRésolu

Fuite de données Altenen (2022)

En juin 2022, le site malveillant de « carding » (faisant référence à la fraude par carte de crédit) Altenen a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus large. Les données comprenaient 1,3 M d'adresses e-mail uniques, des noms d'utilisateur, des hachages de mots de passe bcrypt et des adresses de portefeuilles de cryptomonnaie.

Victim
Altenen
Records
1.3M
Fuite de donnéesRésolu

Fuite de données PaySystem.tech (2022)

Au milieu de l'année 2022, des données présentées comme provenant du fournisseur de paiement russe PaySystem.tech sont apparues dans les milieux du piratage, où elles ont été rendues disponibles au téléchargement public.

Victim
PaySystem.tech
Records
1.4M
Fuite de donnéesRésolu

Fuite de données PayHere (2022)

Fin mars 2022, la passerelle de paiement sri-lankaise PayHere a subi une fuite de données qui a exposé plus de 65 Go d'enregistrements de paiement, comprenant plus de 1,5 million d'adresses e-mail uniques.

Victim
PayHere
Records
1.6M
private-keypartially-recovered

Casse du Ronin Bridge

Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.

Victim
Sky Mavis / Axie Infinity / Ronin Network
Loss
$625.0M
Fuite de donnéesRésolu

Fuite de données Viva Air (2022)

En mars 2022, la compagnie aérienne colombienne aujourd'hui disparue Viva Air a subi une fuite de données suivie d'une attaque par rançongiciel. Parmi un trésor d'autres données rançonnées, l'incident a exposé un journal de 2,6 millions de transactions avec 932 000 adresses e-mail uniques, des adresses physiques et IP, des noms, des numéros de téléphone et des données partielles…

Victim
Viva Air
Records
932.2K
Fuite de donnéesRésolu

Fuite de données Carding Mafia (December 2021) (2021)

En décembre 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de plus de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.

Victim
Carding Mafia (December 2021)
Records
303.9K
Fuite de donnéesRésolu

Fuite de données FlexBooker (2021)

En décembre 2021, le service de réservation en ligne FlexBooker a subi une fuite de données qui a exposé 3,7 millions de comptes. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone et, pour un petit nombre de comptes, des empreintes de mots de passe et des données partielles de cartes de crédit.

Victim
FlexBooker
Records
3.8M
Fuite de donnéesRésolu

Fuite de données BTC-Alpha (2021)

En novembre 2021, la plateforme d'échange de cryptomonnaies BTC-Alpha a subi une fuite de données consécutive à une attaque par rançongiciel, après quoi les données des clients ont été publiquement divulguées. Les données touchées comprenaient 362 000 adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages PBKDF2.

Victim
BTC-Alpha
Records
362.4K
Fuite de donnéesRésolu

Fuite de données CoinMarketCap (2021)

Au cours d'octobre 2021, 3,1 millions d'adresses e-mail associées à des comptes sur le site de capitalisation boursière de cryptomonnaies CoinMarketCap ont été découvertes en train d'être échangées sur des forums de piratage.

Victim
CoinMarketCap
Records
3.1M
Fuite de donnéesRésolu

Fuite de données Imavex (2021)

En août 2021, la société de développement web Imavex a subi une fuite de données qui a exposé 878 000 adresses e-mail uniques. Les données comprenaient des enregistrements utilisateurs contenant noms, noms d'utilisateur et éléments de mot de passe, certains enregistrements contenant également des genres et des données partielles de carte bancaire, dont les derniers…

Victim
Imavex
Records
878.2K
Fuite de donnéesRésolu

Fuite de données Upstox (2021)

En avril 2021, la société de courtage indienne Upstox a subi une fuite de données. L'incident a exposé de nombreuses informations personnelles concernant plus de 100 000 clients, dont des noms, des genres, des dates de naissance, des adresses postales, des informations bancaires et des mots de passe stockés sous forme de hachages bcrypt.

Victim
Upstox
Records
111.0K
Fuite de donnéesdisputed

Violation de données MobiKwik

Un trésor de 8,2 To lié à la fintech indienne MobiKwik — couvrant prétendument jusqu'à 99 millions d'utilisateurs avec documents KYC, données Aadhaar et de cartes — a été mis en vente sur un forum du dark web, dans une violation que l'entreprise a répétée niée.

Victim
MobiKwik
Records
99.0M
Fuite de donnéesRésolu

Fuite de données Carding Mafia (March 2021) (2021)

En mars 2021, le forum Carding Mafia a subi une fuite de données qui a exposé les adresses e-mail de près de 300 000 membres. Dédié au vol et au commerce de cartes de crédit volées, la fuite du forum a également exposé des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.

Victim
Carding Mafia (March 2021)
Records
297.7K
Fuite de donnéesRésolu

Fuite de données Descomplica (2021)

En mars 2021, l'entreprise brésilienne d'EdTech Descomplica a subi une fuite de données qui a ensuite été publiée sur un forum de piratage populaire. Les données comprenaient près de 5 millions d'adresses e-mail, des noms, les 6 premiers et 4 derniers chiffres ainsi que la date d'expiration de cartes de crédit, des historiques d'achat et des mots de passe…

Victim
Descomplica
Records
4.8M
Fuite de donnéesRésolu

Fuite de données WeLeakInfo (2021)

En mars 2021, le compte Stripe du service aujourd'hui disparu WeLeakInfo a été détourné par « pompompurin » après l'acquisition d'un nom de domaine expiré associé à une adresse e-mail utilisée pour gérer le compte.

Victim
WeLeakInfo
Records
11.8K
Fuite de donnéesunresolved

Méga-fuite brésilienne de 223 millions de personnes

La plus grande fuite de données personnelles de l'histoire du Brésil : des bases de données concernant environ 223 millions de personnes — noms, identifiants fiscaux CPF, images faciales, salaires et scores de crédit — ont été mises en vente sur un forum du dark web, les soupçons pointant vers des données de bureau de crédit.

Victim
Population brésilienne (bases liées aux bureaux de crédit)
Records
223.0M
Fuite de donnéesRésolu

Fuite de données Oxfam (2021)

En janvier 2021, Oxfam Australia a été victime d'une fuite de données qui a exposé 1,8 million d'adresses e-mail uniques de donateurs de l'association caritative. Les données ont été mises en vente sur un forum de piratage populaire et comprenaient également des noms, des numéros de téléphone, des adresses, des genres et des dates de naissance.

Victim
Oxfam
Records
1.8M
Fuite de donnéesRésolu

Fuite de données Guns.com (2021)

En janvier 2021, le site web d'armes à feu guns.com a subi une fuite de données. La fuite a exposé 376 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales, des achats d'armes, des données partielles de cartes bancaires, des dates de naissance et des mots de passe stockés sous forme d'empreintes bcrypt.

Victim
Guns.com
Records
375.9K
Exploitation de vulnérabilitéRésolu

Violation de l'appliance Accellion FTA de la Banque de réserve de Nouvelle-Zélande

Des attaquants ont exploité une faille zero-day dans l'appliance de transfert de fichiers Accellion (FTA) vieillissante pour pénétrer la banque centrale de Nouvelle-Zélande, accédant à des fichiers commercialement et personnellement sensibles ; le nettoyage a coûté à la Banque de réserve environ 3,5 millions de dollars néo-zélandais.

Victim
Reserve Bank of New Zealand (Te Pūtea Matua)
Loss
$2.4M
Fuite de donnéesRésolu

Fuite de données Travel Oklahoma (2020)

En décembre 2020, le département du Tourisme et des Loisirs de l'État de l'Oklahoma a subi une fuite de données. L'incident a exposé 637 000 adresses e-mail réparties dans diverses tables, incluant des tranches d'âge associées à des commandes de brochures et des dates de naissance associées à des participations à des concours.

Victim
Travel Oklahoma
Records
637.3K
Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss
$100.00B
RançongicielRésolu

Compromission de l'assureur Shirbit par Black Shadow

Le groupe Black Shadow a compromis l'assureur israélien Shirbit, dérobant cartes d'identité, passeports, documents financiers et médicaux, et exigeant une rançon en bitcoin grimpant jusqu'à un million de dollars. Devant le refus de Shirbit, les attaquants ont divulgué les données clients par étapes.

Victim
Shirbit Insurance
Fuite de donnéesRésolu

Fuite de données Playbook (2020)

En septembre 2021, une base de données PostgreSQL accessible publiquement appartenant au service Playbook a été identifiée. Gérée par la société de capital-risque Plug and Play Ventures, la base de données était exposée depuis octobre 2020 et contenait plus de 50 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des emplois…

Victim
Playbook
Records
50.5K
RançongicielRésolu

Attaque par rançongiciel REvil contre BancoEstado

Le rançongiciel REvil (Sodinokibi) a chiffré environ 14 000 postes de travail de BancoEstado, l'une des plus grandes banques du Chili, la contraignant à fermer toutes ses agences du pays pendant une journée, tandis que les distributeurs, la banque en ligne et les fonds des clients restaient préservés grâce à la segmentation du réseau.

Victim
BancoEstado
DDoSRésolu

Attaques DDoS contre la bourse NZX

Une campagne DDoS volumétrique soutenue a mis hors ligne la bourse de Nouvelle-Zélande pendant une partie de cinq jours de cotation consécutifs, interrompant les échanges car la bourse ne pouvait plus publier les annonces de marché, et provoquant un sévère blâme réglementaire.

Victim
NZX (New Zealand's Exchange)
Fuite de donnéesRésolu

Fuite de données Bonobos (2020)

En août 2020, le magasin de vêtements Bonobos a subi une fuite de données qui a exposé près de 70 Go de données contenant 2,8 millions d'adresses e-mail uniques. La fuite a également exposé des noms, des adresses physiques et IP, des numéros de téléphone, des historiques de commandes et des mots de passe stockés sous forme de hachages SHA-512 salés, dont…

Victim
Bonobos
Records
2.8M
Fuite de donnéesRésolu

Fuite de données Lazada RedMart (2020)

En octobre 2020, la nouvelle d'une fuite de données chez Lazada RedMart a éclaté, contenant des enregistrements aussi récents que juillet 2020 et vendus via une place de marché en ligne. Au total, les données contenaient 1,1 million d'adresses e-mail clients ainsi que des noms, des numéros de téléphone, des adresses postales, des numéros de carte de crédit partiels et des mots de passe…

Victim
Lazada RedMart
Records
1.1M
Fuite de donnéesRésolu

Fuite de données Utah Gun Exchange (2020)

En juillet 2020, le site Utah Gun Exchange a subi une fuite de données qui touchait également plusieurs autres sites associés. Au total, 235 000 adresses e-mail uniques ont été exposées avant d'être échangées en ligne, accompagnées de noms, de noms d'utilisateur, de genres, d'adresses IP et de hachages de mots de passe.

Victim
Utah Gun Exchange
Records
235.2K
Fuite de donnéesRésolu

Fuite de données Dave (2020)

En juin 2020, l'application bancaire numérique Dave a subi une fuite de données qui a exposé 7,5 millions de lignes de données et est ensuite apparue en téléchargement public sur un forum de piratage.

Victim
Dave
Records
3.0M
Fuite de donnéesRésolu

Fuite de données Ledger (2020)

En juin 2020, le fabricant de portefeuilles matériels de cryptomonnaie Ledger a subi une fuite de données qui a exposé plus d'un million d'adresses e-mail. Les données ont d'abord été vendues avant d'être divulguées publiquement en décembre 2020 et comprenaient des noms, des adresses postales et des numéros de téléphone.

Victim
Ledger
Records
1.1M
Fuite de donnéesRésolu

Fuite de données Kreditplus (2020)

En juin 2020, le service de crédit indonésien Kreditplus a subi une fuite de données qui a exposé 896 k enregistrements contenant 769 k adresses e-mail uniques. La fuite a exposé de nombreuses informations personnelles, notamment des noms, la composition familiale, des informations sur les conjoints, les revenus et les dépenses, les religions et l'emploi…

Victim
Kreditplus
Records
768.9K
Fuite de donnéesRésolu

Fuite de données Swvl (2020)

En juin 2020, l'opérateur de bus égyptien Swvl a subi une fuite de données qui a touché plus de 4 millions de membres du service. Les données exposées comprenaient des noms, des adresses e-mail, des numéros de téléphone, des photos de profil, des données partielles de carte de crédit (type et 4 derniers chiffres) et des mots de passe stockés sous forme de condensats bcrypt, tous…

Victim
Swvl
Records
4.2M
Fuite de donnéesRésolu

Fuite de données Home Chef (2020)

Début 2020, le service de livraison de repas Home Chef a subi une fuite de données qui a ensuite été revendue en ligne. La fuite a exposé les informations personnelles de près de 9 millions de clients, notamment les noms, adresses IP, codes postaux, les 4 derniers chiffres des numéros de carte bancaire et les mots de passe stockés sous forme d'empreintes bcrypt…

Victim
Home Chef
Records
8.8M
RançongicielRançon payée

Rançongiciel Sodinokibi et effondrement de Travelex (2019–2020)

Les opérateurs de REvil/Sodinokibi ont déclenché leur charge contre Travelex le soir du Nouvel An 2019 après avoir séjourné dans le réseau pendant six mois via un VPN Pulse Secure non corrigé. Travelex a versé 2,3 millions de dollars ; la maison mère Finablr a fait défaut ; PwC a placé Travelex en liquidation, avec la perte de plus de 1 300 emplois.

Victim
Travelex
Loss
$2.3M
Fuite de donnéesRésolu

Fuite de données Mastercard Priceless Specials (2019)

En août 2019, le programme de fidélité allemand de Mastercard « Priceless Specials » a subi une fuite de données. Les données personnelles de près de 90 000 membres du programme ont ensuite largement circulé en ligne et comprenaient des noms, des adresses e-mail et IP, des numéros de téléphone et des données partielles de cartes de crédit.

Victim
Mastercard Priceless Specials
Records
89.4K
Menace interneRésolu

Fuite de données interne chez Desjardins

Un employé de Desjardins — la plus grande coopérative financière du Canada — a exfiltré les données personnelles de 9,7 millions de membres et d'entreprises sur deux ans avant d'être démasqué. Le cas canadien emblématique de menace interne.

Victim
Mouvement Desjardins
Loss
$100.0M
Records
9.7M
Fuite de donnéesRésolu

Fuite de données GateHub (2019)

En octobre 2019, 1,4 million de comptes du service de portefeuille de cryptomonnaies GateHub ont été publiés sur un forum de piratage populaire. GateHub avait précédemment reconnu une fuite de données en juin, bien qu'avec un nombre plus restreint de comptes touchés.

Victim
GateHub
Records
1.4M
Exploitation de vulnérabilitéRésolu

Exposition de documents First American Financial

Une faille de référence directe à un objet non sécurisée (IDOR) sur le site web de First American Financial a exposé environ 885 millions de documents d'assurance-titre et de crédit immobilier — dont des numéros de sécurité sociale, des coordonnées bancaires et des images de permis de conduire — remontant à 2003, accessibles à quiconque sans authentification.

Victim
First American Financial Corporation
Loss
$1.5M
Records
885.0M
Fuite de donnéesRésolu

Fuite de données EatStreet (2019)

En mai 2019, le service de commande de nourriture en ligne EatStreet a subi une fuite de données affectant 6,4 millions de clients. Une grande quantité de données personnelles a été obtenue, notamment des noms, des numéros de téléphone, des adresses, des données partielles de cartes de crédit et des mots de passe stockés sous forme d'empreintes bcrypt.

Victim
EatStreet
Records
6.4M
Fuite de donnéesRésolu

Fuite de données Roll20 (2018)

En décembre 2018, le site de jeux de rôle sur table Roll20 a subi une fuite de données. Près de 4 millions de clients ont été touchés par la fuite et ont vu leurs adresses e-mail et IP, leurs noms, leurs hachages bcrypt de mots de passe et les 4 derniers chiffres de leurs cartes de crédit exposés.

Victim
Roll20
Records
4.0M
Fuite de donnéesRésolu

Fuite de cartes bancaires BankIslami / Pakistan

Des retraits frauduleux chez BankIslami ont déclenché la plus grande fuite du secteur bancaire pakistanais, avec les détails de plus de 19 000 cartes de paiement de 22 banques mis en vente sur le forum de carding Joker's Stash et encaissés via des distributeurs et terminaux de paiement à l'étranger.

Victim
BankIslami Pakistan
Loss
$6.0M
Records
19.0K
Fuite de donnéesRésolu

Fuite de données GoldSilver (2018)

En octobre 2018, le site d'éducation et de services de courtage en métaux précieux GoldSilver a subi une fuite de données qui a exposé 243 000 adresses e-mail uniques, couvrant à la fois des clients et des abonnés à la liste de diffusion.

Victim
GoldSilver
Records
242.7K
Fuite de donnéesRésolu

Fuite de données Atlas Quantum (2018)

En août 2018, la plateforme d'investissement en cryptomonnaie Atlas Quantum a subi une fuite de données. La fuite a divulgué les données personnelles de 261 000 investisseurs de la plateforme, notamment leurs noms, numéros de téléphone, adresses e-mail et soldes de compte.

Victim
Atlas Quantum
Records
261.5K
Fuite de donnéesRésolu

Exposition de données Apollo (2018)

La start-up d'engagement commercial Apollo a laissé en 2018 une base de données de 9 milliards de points de données et plus de 200 millions de fiches de contact exposée sans mot de passe ; un sous-ensemble de 126 millions d'adresses e-mail uniques a été intégré à Have I Been Pwned après sa découverte par le chercheur Vinny Troia.

Victim
Apollo
Records
125.9M
Fuite de donnéesRésolu

Fuite de données Romwe (2018)

Mi-2018, le détaillant basé à Hong Kong Romwe a subi une fuite de données ayant exposé près de 20 millions de clients. Les données ont ensuite été vendues en ligne et incluent des noms, des numéros de téléphone, des adresses e-mail et IP, les localisations géographiques des clients et des mots de passe stockés sous forme de hachages SHA-1 salés.

Victim
Romwe
Records
19.5M
Exploitation de vulnérabilitéContenu

Casse interbancaire SPEI de Banxico (Mexique, 2018)

Des attaquants ont exploité les logiciels tiers reliant les banques mexicaines au SPEI, le système de paiement interbancaire de la banque centrale, en injectant des virements fantômes et en détournant environ 300 à 400 millions de pesos (~15-20 millions de dollars) retirés en espèces par des mules financières.

Victim
Banco de México (Banxico) / banques participantes au SPEI
Loss
$20.0M
private-keystolen

Casse NEM de Coincheck

La plateforme d'échange de cryptomonnaies Coincheck, basée à Tokyo, a perdu 523 millions de jetons NEM (~530 M$ à l'époque) depuis un portefeuille chaud dépourvu de protection multi-signature. Le plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois à l'époque — attribué par la suite au groupe Lazarus de Corée du Nord.

Victim
Coincheck Inc.
Loss
$530.0M
Fuite de donnéesRésolu

Fuite de données The Fly on the Wall (2017)

En décembre 2017, le site d'actualités boursières The Fly on the Wall a subi une fuite de données. Les données de la fuite comprenaient 84 000 adresses e-mail uniques ainsi que des historiques d'achat et des données de carte de crédit.

Victim
The Fly on the Wall
Records
84.0K
Logiciel malveillantRésolu

Casse SWIFT de la Far Eastern International Bank

Le groupe nord-coréen Lazarus a utilisé un logiciel malveillant sur mesure pour prendre le contrôle du terminal SWIFT de la Far Eastern International Bank et virer environ 60 millions de dollars vers des comptes aux États-Unis, au Cambodge et au Sri Lanka, en déployant le rançongiciel Hermes comme diversion.

Victim
Far Eastern International Bank (FEIB)
Loss
$500.0K
Fuite de donnéesRésolu

Fuite de données Moneycontrol (2017)

En avril 2021, des pirates ont mis en vente des données provenant de la plateforme financière indienne en ligne Moneycontrol. Les données comprenaient 763 000 adresses e-mail uniques (prétendument un sous-ensemble d'une fuite plus large de 40 millions de comptes), ainsi que des localisations géographiques, des numéros de téléphone, des genres, des dates de naissance…

Victim
Moneycontrol
Records
762.9K
Fuite de donnéesRésolu

Fuite de données Coinmama (2017)

En août 2017, le service de courtage de cryptomonnaies Coinmama a subi une fuite de données qui a touché 479 000 abonnés. La fuite a été découverte en février 2019, les données exposées comprenant des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 WordPress.

Victim
Coinmama
Records
478.8K
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
Fuite de donnéesRésolu

Fuite de données Factual (2017)

En mars 2017, un fichier contenant 8 millions de lignes de données prétendument issues de l'agrégateur de données Factual a été compilé puis échangé sous prétexte qu'il s'agissait d'une « fuite ». Les données contenaient 2,5 millions d'adresses e-mail uniques ainsi que des noms d'entreprises, des adresses et des numéros de téléphone.

Victim
Factual
Records
2.5M
Fuite de donnéesRésolu

Fuite de données Data Enrichment Records (2016)

En décembre 2016, plus de 200 millions de « profils d'enrichissement de données » ont été trouvés en vente sur le darknet. Le vendeur prétendait que les données provenaient d'Experian et, bien que cette affirmation ait été rejetée par l'entreprise, les données elles-mêmes se sont avérées légitimes, suggérant qu'elles pouvaient provenir d'autres…

Victim
Data Enrichment Records
Records
8.2M
Fuite de donnéesRésolu

Fuite de données NemoWeb (2016)

En septembre 2016, près de 21 Go de données du site web français utilisé comme « moyen normalisé et décentralisé d'échange pour la publication d'articles de newsgroups » NemoWeb ont été divulgués à partir de ce qui semble avoir été une base Mongo DB non protégée.

Victim
NemoWeb
Records
3.5M
Fuite de donnéesRésolu

Fuite de données MDPI (2016)

En août 2016, l'éditeur suisse en libre accès connu sous le nom de MDPI a vu 17,5 Go de données obtenues à partir d'une instance Mongo DB non protégée. Les données contenaient des échanges d'e-mails entre MDPI et ses auteurs et relecteurs, comprenant 845 000 adresses e-mail uniques.

Victim
MDPI
Records
845.0K
Fuite de donnéesRésolu

Fuite de données Regpack (2016)

En juillet 2016, un tweet a été publié avec un lien vers une présumée fuite de données de BlueSnap, une passerelle de paiement et un fournisseur de comptes marchands mondial. Les données contenaient 324 000 enregistrements de paiement répartis sur 105 000 adresses e-mail uniques et incluaient des attributs personnels tels que le nom, l'adresse du domicile et le numéro de téléphone.

Victim
Regpack
Records
105.0K
Fuite de donnéesRésolu

Fuite de données de la Qatar National Bank

Une archive de 1,4 Go contenant des fichiers internes, des dossiers de comptes clients et près d'un million de numéros de cartes de paiement stockés en clair a été diffusée en ligne, incluant des dossiers sur la famille royale Al Thani du Qatar, le personnel d'Al Jazeera et des cibles de renseignement présumées.

Victim
Qatar National Bank (QNB)
Records
100.0K
Fuite de donnéesRésolu

Fuite de données KnownCircle (2016)

Aux alentours d'avril 2016, la société KnownCircle, spécialisée dans « l'automatisation marketing pour les agents et les prestataires de services professionnels », a vu un grand volume de données récupéré par une partie externe.

Victim
KnownCircle
Records
2.0M
Fuite de donnéesRésolu

Fuite de données Staminus (2016)

En mars 2016, le service de protection contre les attaques DDoS Staminus a été « massivement piraté », entraînant une panne de plus de 20 heures et la divulgation des identifiants de clients (avec des empreintes MD5 non salées), de tickets de support, de numéros de carte de crédit et d'autres données sensibles.

Victim
Staminus
Records
26.8K
Espionnagestolen

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim
Bangladesh Bank
Loss
$81.0M
Fuite de donnéesRésolu

Fuite de données Experian (2015) (2015)

En septembre 2015, l'agence d'évaluation du crédit et courtier en données de consommation basé aux États-Unis Experian a subi une fuite de données qui a affecté 15 millions de clients ayant sollicité un financement auprès de T-Mobile.

Victim
Experian (2015)
Records
7.2M
Fuite de donnéesRésolu

Fuite de données Bitcoin Talk (2015)

En mai 2015, le forum Bitcoin Talk consacré au Bitcoin a été piraté et plus de 500 000 adresses e-mail uniques ont été exposées. L'attaque a entraîné l'exposition d'une multitude de données personnelles, dont des noms d'utilisateur, des adresses e-mail et IP, des genres, des dates de naissance, des questions de sécurité et des hachages MD5 de leurs réponses ainsi que des hachages de…

Victim
Bitcoin Talk
Records
501.4K
EspionnageRésolu

Violation de données Anthem Inc.

Des acteurs attribués à l'État chinois ont exfiltré les données personnelles de 78,8 millions de clients actuels et anciens de l'assureur santé Anthem — à l'époque la plus grande violation du secteur de la santé de l'histoire des États-Unis.

Victim
Anthem Inc.
Loss
$260.0M
Records
78.8M
Fuite de donnéesRésolu

Fuite de données JPMorgan Chase

Les attaquants ont exploité un serveur dépourvu d'authentification à deux facteurs pour compromettre plus de 90 serveurs de JPMorgan Chase et dérober les coordonnées de 76 millions de foyers et 7 millions de petites entreprises — l'une des plus importantes intrusions jamais subies par une institution financière américaine.

Victim
JPMorgan Chase
Records
83.0M
Fuite de donnéesRésolu

Fuite de données BTC-E (2014)

En octobre 2014, la plateforme d'échange de Bitcoin BTC-E a été piratée et 568 000 comptes ont été exposés. Les données comprenaient des adresses e-mail et IP, des soldes de portefeuille et des mots de passe hachés.

Victim
BTC-E
Records
568.3K
Fuite de donnéesRésolu

Fuite de données Banorte (2014)

En août 2022, des millions d'enregistrements de la banque mexicaine « Banorte » ont été publiquement divulgués sur un forum de piratage populaire, notamment 2,1 millions d'adresses e-mail uniques, des adresses postales, des noms, des numéros de téléphone, des numéros RFC (fiscaux), des genres et des soldes bancaires.

Victim
Banorte
Records
2.1M
Fuite de donnéesRésolu

Fuite de données Business Acumen Magazine (2014)

En avril 2014, le site web australien « Business Acumen Magazine » a été piraté par un attaquant connu sous le nom de 1337MiR. La fuite a entraîné l'exposition de plus de 26 000 comptes, dont des noms d'utilisateur, des adresses e-mail et des mots de passe stockés avec un algorithme de hachage cryptographique faible (MD5 sans sel).

Victim
Business Acumen Magazine
Records
26.6K
Fuite de donnéesRésolu

Fuite de données Bell (2014 breach) (2014)

En février 2014, Bell Canada a subi une fuite de données provoquée par le collectif de pirates connu sous le nom de NullCrew. La fuite portait sur des données provenant de plusieurs sites de Bell et a exposé des adresses e-mail, des noms d'utilisateur, des préférences d'utilisateurs ainsi qu'un certain nombre de mots de passe non chiffrés et des données de cartes bancaires issues de 40 000 enregistrements…

Victim
Bell (2014 breach)
Records
20.9K
Menace interneRésolu

Vol de données de cartes du Korea Credit Bureau

Un sous-traitant du Korea Credit Bureau a copié sur une clé USB les données de cartes et d'identité d'environ 20 millions de clients des émetteurs KB Kookmin, Lotte et NH Nonghyup, puis les a revendues — l'un des plus grands vols de données financières de l'histoire de la Corée du Sud.

Victim
Korea Credit Bureau (KCB) / unités cartes KB Kookmin, Lotte, NH Nonghyup
Records
20.0M
EspionnageRésolu

Maliciel d'espionnage bancaire Gauss visant les banques libanaises

Gauss, une boîte à outils de cybersurveillance étatique apparentée à Flame et Stuxnet, a infecté plus de 2 500 systèmes — surtout au Liban — et fut le premier maliciel commandité par un État connu publiquement, conçu pour dérober les identifiants de banque en ligne de banques libanaises précises.

Victim
Banques libanaises (Bank of Beirut, Byblos Bank, Fransabank, BlomBank, Credit Libanais) et leurs clients
Fuite de donnéesRésolu

Fuite de données League of Legends (2012)

En juin 2012, le jeu en ligne multijoueur League of Legends a subi une fuite de données. À l'époque, le service comptait plus de 32 millions de comptes enregistrés et la fuite a touché divers attributs de données personnelles, notamment des mots de passe « chiffrés ».

Victim
League of Legends
Records
339.5K
Fuite de donnéesRésolu

Fuite de données WHMCS (2012)

En mai 2012, l'entreprise d'hébergement web, de facturation et d'automatisation WHMCS a subi une fuite de données qui a exposé 134 000 adresses e-mail. La fuite comprenait de nombreuses informations sur les clients et les historiques de paiement, y compris des numéros de carte de crédit partiels.

Victim
WHMCS
Records
134.0K
Fuite de donnéesRésolu

Fuite de données Stratfor (2011)

En décembre 2011, « Anonymous » a attaqué l'entreprise de renseignement mondial connue sous le nom de « Stratfor » et a par conséquent divulgué un véritable trésor de données, comprenant des centaines de gigaoctets d'e-mails et des dizaines de milliers de détails de cartes de crédit qui ont été aussitôt utilisés par les attaquants pour effectuer des dons caritatifs…

Victim
Stratfor
Records
859.8K
Fuite de donnéesRésolu

Compromission de cartes chez Heartland Payment Systems

Un point d'entrée par injection SQL a permis au groupe d'Albert Gonzalez d'implanter un logiciel renifleur dans le réseau de traitement des paiements de Heartland, capturant environ 130 millions de numéros de cartes en transit — à l'époque la plus grande violation de données de cartes jamais divulguée.

Victim
Heartland Payment Systems
Loss
$200.0M
Records
130.0M
DDoSRésolu

Cyberattaques de 2007 contre l'Estonie

Une vague de trois semaines d'attaques par déni de service distribué a paralysé les sites web gouvernementaux, bancaires et médiatiques estoniens lors d'un différend avec la Russie, devenant la première cyberattaque visant un État-nation tout entier et le berceau de la doctrine de cyberdéfense de l'OTAN.

Victim
Republic of Estonia (government, banks, media)