Le 24 mai 2026, le camping 4 étoiles Les Embruns d’Oléron, au Château-d’Oléron, a été victime d’une fuite de données exposant environ 39 Go de fichiers internes, dont les coordonnées et réservations d’au moins 1 832 vacanciers issus des séjours 2024-2026.
Le 23 mai 2026, AVEA Vacances, association française organisant des séjours éducatifs et colonies de vacances pour enfants et adolescents, a été visée par une fuite sur forum d'environ 46 000 enregistrements (128 Mo), dont un fichier de 18 140 lignes de données de postiers et CSE ainsi que des documents de réservation et comptables.
Le 23 mai 2026, l’association de colonies de vacances Avea Vacances a été désignée par le cybercriminel ChimeraZ, qui a publié environ 46 000 enregistrements (128 Mo) sur un forum cybercriminel, dont des documents d’organisation de séjours et un fichier de plus de 18 000 agents de La Poste.
Nemea Groupe, exploitant français de résidences étudiantes, de résidences de tourisme et d'appart'hôtels, a confirmé une fuite de données touchant ses candidats locataires après l'exfiltration par le pirate ChimeraZ d'une base concernant environ 12 590 personnes, exposant identités, coordonnées, données bancaires et pièces d'identité scannées.
Le 21 mai 2026, McDonald’s France a confirmé une campagne de credential stuffing ayant détourné des comptes fidélité McDo+, des fraudeurs vidant les points accumulés pour des commandes gratuites ; aucune donnée bancaire n’a été touchée et un changement massif de mots de passe a été lancé.
Le 19 mai 2026, un cybercriminel connu sous le nom de ChimeraZ a revendiqué la fuite d'une base de données de l'opérateur français de locations de vacances Lagrange Vacances, exposant prétendument les réservations de plus de 44 000 vacanciers via une faille IDOR.
En mai 2026, Maeva — la marque de locations de vacances du groupe Pierre & Vacances-Center Parcs — a révélé une fuite au cours de laquelle un attaquant a aspiré jusqu'à dix ans d'historique de réservations, exposant noms, dates de naissance, numéros de téléphone et détails de séjour d'environ 4,5 millions de clients sur 1,6 million de réservations.
Le 18 mai 2026, MediaVacances, plateforme française de locations de vacances entre particuliers, a vu une base d'environ 256 000 factures clients couvrant 2005 à 2026 publiée sur un forum cybercriminel, exposant noms, adresses, données de paiement et informations d'annonces.
Le 17 mai 2026, le réseau de tourisme rural Gîtes de France a révélé une fuite de données exposant les réservations de 389 129 clients — noms, coordonnées, adresses postales et détails des séjours — issue d'un accès frauduleux lié à un prestataire informatique partagé.
En mai 2026, le groupe touristique français Pierre & Vacances-Center Parcs a révélé une fuite de données touchant sa plateforme « La France du Nord au Sud » (marque maeva), exposant les données personnelles d'environ 1,6 million de réservations et jusqu'à 4,5 millions de clients : noms, dates de naissance, numéros de téléphone et détails de séjour.
Les clients de Pierre & Vacances-Center Parcs sont concernés par une fuite de données confirmée par le groupe, liée à la plateforme de réservation La France du Nord au Sud, utilisée notamment pour…
BWH Hotels, maison mère de Best Western, a révélé en mai 2026 qu'un tiers non autorisé avait eu accès à une application web de réservation du 14 octobre 2025 au 22 avril 2026, exposant noms, e-mails, téléphones, adresses postales et détails de réservation ; les données de paiement n'ont pas été touchées.
Le 1er mai 2026, la chaîne de pizzerias française La Pizza de Nico a été citée dans une revendication de fuite non vérifiée affirmant qu'une base de 67 767 clients aurait été publiée, exposant les coordonnées de près de 68 000 personnes.
Le 26 avril 2026, un acteur malveillant connu sous le nom de ChimeraZ a mis en ligne la base de données de Sejourneur.com, plateforme française de gestion de locations saisonnières, exposant environ 53 000 réservations, plus de 7 000 factures PDF et les données de plus de 46 000 personnes.
En avril 2026, la marque d'hôtels ultra-luxe Aman a été désignée par ShinyHunters comme la cible d'une campagne d'extorsion de type « payer ou divulguer », les données ayant prétendument été obtenues depuis leur CRM Salesforce. Les données ont ensuite été divulguées publiquement et contenaient plus de 200 000 adresses e-mail uniques.
Le 15 avril 2026, l'acteur malveillant HexDex a mis en vente une base de données dérobée à la chaîne hôtelière française Brit Hotel, exposant 682 662 membres du programme fidélité ainsi que des e-mails, numéros de téléphone, adresses postales et dix ans d'historique de réservations (2016-2026).
Le 14 avril 2026, un pirate connu sous le pseudonyme HexDex a revendiqué le vol et la mise en vente des données personnelles de 598 154 membres du programme de fidélité ETIK de Logis Hotels, couvrant 2012 à 2026 (identité, contact, facturation, identifiants).
Fountain, entreprise belge cotée en Bourse spécialisée dans les services de café et de rafraîchissements en entreprise, a révélé début avril 2026 une attaque par rançongiciel ayant entraîné un accès non autorisé à une partie de ses systèmes et une exfiltration de données confirmée, revendiquée par le groupe DragonForce.
Vacancéole, spécialiste de la location de vacances en France, a été victime d’un incident de sécurité impliquant un prestataire technique, confirmant une
Le 31 mars 2026, Homair, opérateur français de séjours en campings et villages vacances, a révélé une fuite de données liée à la compromission d'un prestataire technique tiers, exposant les nom, adresse email, numéro de téléphone et détails de réservation (destination, dates de séjour, montant payé) des clients, sans données bancaires, mots de passe ni adresses postales selon l'entreprise.
L'opérateur français de clubs de vacances Belambra a révélé en mars 2026 qu'une cyberattaque visant un prestataire de son système de réservation a exposé les données personnelles d'environ 400 000 clients : noms, e-mails, téléphones et détails de séjour, sans données bancaires ni mots de passe.
Le 29 janvier 2026, l'agence de voyage de luxe française VeryChic, spécialisée dans les ventes privées de séjours et de voyages, a été touchée par une fuite de données confirmée portant sur environ 900 000 dossiers clients.
Le 27 janvier 2026, une base de données liée au programme de fidélité et à l'application mobile d'O'Tacos est mise en vente sur un forum pirate : un dump JSON de 9 Go d'environ 29 millions d'utilisateurs, dont près de 10 millions avec identité complète, à travers les marchés internationaux de l'enseigne française.
Le 3 septembre 2025, une fuite de données a été revendiquée concernant Eklo, chaîne hôtelière française économique et écoresponsable. Le volume et les catégories exactes de données clients exposées restent non vérifiés.
En juin 2025, le groupe de rançongiciel Anubis a revendiqué une fuite de 64 Go (~39 000 fichiers confidentiels) de Disneyland Paris — plans d'ingénierie et photos/vidéos des coulisses des attractions — dérobés via un prestataire tiers compromis.
En mars 2025, la chaîne française de livraison de sushis Côté Sushi a vu les données personnelles d'environ 1,1 million de clients — noms, dates de naissance, e-mails et numéros de téléphone — extraites de sa base fidélité/livraison et mises en vente sur un forum cybercriminel.
Le 27 novembre 2024, une base de données de la plateforme française de réservation de séjours en camping Ze Camping (ze-camping.fr), couvrant 2014-2024, a été mise en vente sur un forum du darknet, exposant environ 1,6 million d'enregistrements : noms, identifiants, mots de passe hashés, dates de naissance, téléphones et adresses postales.
Le 14 novembre 2024, une fuite de données touchant Huttopia, l'exploitant français d'écotourisme et de glamping, a exposé des fiches clients comprenant noms, prénoms et adresses e-mail.
Scattered Spider a vishé un agent du helpdesk IT de MGM, obtenu les droits admin Okta, puis laissé ALPHV déclencher un rançongiciel. Les casinos sont restés hors-ligne dix jours ; pertes pour MGM > 100 M$.
Scattered Spider s'est fait passer pour un employé de Caesars lors d'un appel à un prestataire tiers de support informatique et a convaincu le prestataire d'accorder des identifiants Okta, puis a exfiltré des données de fidélité clients dont des numéros de sécurité sociale et des permis de conduire. Caesars a payé environ 15 millions de dollars de rançon ; le FBI a ensuite gelé une part substantielle des fonds avec l'aide de Chainalysis.
En novembre 2021, le site immobilier indonésien Travelio a subi une fuite de données qui a exposé plus de 470 000 comptes clients. Les données comprenaient des adresses e-mail, des noms, des hachages de mots de passe, des numéros de téléphone et, pour certains comptes, des dates de naissance, des adresses postales et des jetons d'authentification Facebook.
Le groupe Desorden a dérobé environ 400 Go de données clients couvrant 2003-2021 à la chaîne hôtelière de luxe thaïlandaise Centara, exigeant une rançon de 900 000 dollars que l'entreprise a refusé de payer.
En janvier 2021, l'agence de voyages française Bourse des Vols a subi une fuite de données qui a exposé 1,46 million d'adresses e-mail uniques réparties sur plus de 1 200 fichiers .sql et plus de 9 Go de données.
Une base de données cloud mal configurée a exposé les dossiers d'environ 5,9 millions de clients de la plateforme de réservation hôtelière RedDoorz, ce qui en fait la plus grande violation de données de Singapour à l'époque et a valu une amende emblématique du PDPC à l'exploitant Commeasure.
Des opérateurs attribués à l'État chinois sont restés présents sans être détectés sur la base de données de réservation des clients de Starwood depuis 2014, survivant à l'acquisition de 2016 par Marriott. Révélation en 2018 : 500 millions d'enregistrements clients exposés, dont 5,25 millions de numéros de passeport non chiffrés.
Victim
Marriott International / Starwood Hotels & Resorts
En mai 2017, le site de guide de restaurants Zomato a été piraté, entraînant l'exposition de près de 17 millions de comptes. Les données ont par la suite été redistribuées en ligne et contiennent des adresses e-mail, des noms d'utilisateur et des empreintes MD5 salées de mots de passe (l'empreinte du mot de passe n'était pas présente sur tous les comptes).
Un e-mail de harponnage porteur du logiciel malveillant PlugX a compromis JTB, la plus grande agence de voyages du Japon, exposant les données personnelles — dont des milliers de numéros de passeport — de jusqu'à 7,93 millions de clients.