Une fuite de données visant Delko, réseau français de garages et centres d’entretien automobile, est actuellement revendiquée le groupe cybercriminel LAPSUS$, connu pour ses opérations d’extorsion…
Le spécialiste français du reconditionnement high-tech Largo informe ses clients avoir été victime d’un incident de sécurité ayant affecté une partie de
Le groupe de rançongiciel Titan revendique une attaque par double extorsion contre CRIT Tunisie, filiale du Groupe CRIT, et diffuse des bulletins de paie, des documents administratifs, des fichiers financiers ainsi que des pièces d’identité et passeports scannés de salariés et d’intérimaires.
Le 13 mai 2026, un acteur malveillant sous le pseudonyme lazasec123 a mis en vente une base d'environ 2,3 millions de profils liés à des licences moto françaises et à FFMOTO.org, exposant noms, dates de naissance, adresses postales, e-mails et numéros de téléphone, proposée pour 150 euros.
Un hacker se présentant sous le nom de TeamPCP affirme détenir une importante quantité de données internes appartenant à Mistral AI, la startup française
En mai 2026, le parti La France Insoumise a vu les données de sa plateforme militante Action Populaire dérobées et publiées sur un forum pirate, exposant environ 120 000 adresses email, 20 000 numéros de téléphone, des adresses postales et l'activité des militants de 2017 à 2026.
Une base de données liée à Monservicederemplacement.fr, plateforme du Service de Remplacement France (remplacement agricole), a circulé en ligne en mai 2026, exposant 213 477 enregistrements concernant environ 184 724 personnes, dont noms, coordonnées, dates de naissance et numéros de sécurité sociale.
Le 7 mai 2026, un hacker sous le pseudonyme « fuzzeddffmepg » affirme avoir compromis Action Populaire, la plateforme militante de La France Insoumise, exposant environ 120 000 adresses e-mail, 20 000 numéros de téléphone, des messages privés et des données de paiement couvrant 2017-2026.
Les clients de Groupe GCA, réseau de concessions automobiles, seraient concernés par une fuite revendiquée touchant près de 67 500 personnes, selon la revendication. Le collectif Dumpsec affirme…
En avril 2026, la Fédération Française de Basketball (FFBB) a subi une fuite de données après qu'un attaquant a détourné un compte utilisateur compromis de son outil de gestion des licenciés, exposant les données d'identité et de contact de près de 2 millions de licenciés et d'environ 900 000 représentants légaux.
Un acteur malveillant connu sous le pseudonyme Lagui a publié une base de données attribuée au cabinet de recrutement français Profil Search, contenant environ 100 642 entrées et exposant noms, emails, téléphones, adresses postales et informations professionnelles.
Une base de données attribuée à AQUAES, un annuaire de bureaux d’études environnementaux français, a circulé en ligne le 30 avril 2026, exposant noms des cabinets, noms des responsables, adresses complètes, téléphones, e-mails, sites web et coordonnées GPS.
Aréli, association de logement social basée à Lille, a révélé par un courrier adressé à ses partenaires qu’une cyberattaque survenue le 12 janvier 2026 a exposé les coordonnées et les informations bancaires (RIB) de structures partenaires, touchant moins de 2 % des données hébergées sur ses serveurs.
Le 25 avril 2026, un pirate utilisant le pseudonyme ChimeraZ affirme avoir dérobé et publié la base de données de la plateforme française de logement étudiant Adele.org, exposant environ 261 000 dossiers de demande (~560 Mo) contenant cartes d’identité scannées, passeports, cartes Vitale, coordonnées bancaires et documents fiscaux.
Le 23 avril 2026, un acteur malveillant utilisant le pseudonyme « undef » affirme mettre en vente une base de données de l'enseigne française de fitness Bodyhit, exposant les données personnelles et bancaires de plus de 218 000 clients, dont plus de 42 000 IBAN.
Un hacker affirme avoir 6 Go d’images liées à plusieurs centrales nucléaires françaises exploitées par EDF, après une revendication publiée sur un forum
Le 21 avril 2026, une base contenant environ 6 700 profils uniques liés au réseau immobilier français Ledil Immobilier a été mise en téléchargement sur un forum cybercriminel, exposant noms, coordonnées, données CRM internes et informations sur les biens et transactions.
Le 17 avril 2026, la Fédération Française de Basket-ball (FFBB) a révélé qu'un accès frauduleux à un compte utilisateur avait permis à un attaquant (alias HexDex) d'extraire les données d'identité, de contact et de licence de près de 1,9 million de membres et d'environ 800 000 parents.
Le 15 avril 2026, Pompes Funèbres Musulmanes Toulouse, un prestataire funéraire musulman, a subi une fuite de données revendiquée par un acteur nommé « ntmpd » qui a publié sur un forum un export de 1 178 fiches et des identifiants d'administration valides, exposant clients et défunts.
Le 14 avril 2026, l’acteur malveillant Lamashtu a affirmé avoir dérobé environ 52,6 Go de données et près de 41 000 fichiers à la CNAOC, confédération viticole française des appellations, couvrant 1994-2025 et incluant des données financières, RH et de gouvernance.
En avril 2026, la chaîne de salles de sport Basic-Fit a révélé qu'une intrusion dans son système d'enregistrement des passages avait exposé les données personnelles et bancaires d'environ 1 million de membres en France, Belgique, Allemagne, Espagne, Luxembourg et aux Pays-Bas.
Les données de billetterie en ligne des visiteurs du Château royal de Blois / Maison de la Magie ont été exposées lors du piratage de son prestataire Vivaticket (Tickeasy), divulguant noms, adresses e-mail et postales, dates de naissance, numéros de téléphone et de fax et numéros de TVA.
Après la fuite massive évoquant EduConnect, une nouvelle alerte circule autour de École Directe, une plateforme largement utilisée dans les établissements
Le hacker Cybernox affirme détenir une base de données liée à l’ADMR (Aide à Domicile en Milieu Rural), contenant plusieurs milliers de profils. Selon les
Un hacker affirme détenir une base de données associée à EduConnect, le système officiel de l’Éducation nationale permettant de suivre la scolarité des
Les clients d'EasyLounge sont concernés par une fuite de données confirmée par l'entreprise, après un incident de cybersécurité communiqué aux personnes concernées. La société, revendeur Hi‑Fi et…
En avril 2026, un acteur malveillant connu sous le nom de HexDex a mis en vente une base de données dérobée à la Fédération Française du Sport Universitaire (FFSU), exposant l'identité, les coordonnées et les données d'inscription d'environ 1,1 million d'étudiants, licenciés et personnels.
Les membres du programme de fidélité Colonel Club de KFC France ont reçu un e-mail les informant d'une violation de leurs données personnelles. KFC France a indiqué dans ce message que le nombre…
Le 2 avril 2026, une base contenant les données personnelles de 1 048 991 membres de la Fédération Nationale des Chasseurs (FNC) — noms, adresses postales, téléphones, e-mails et informations de permis de chasse — a été mise en vente sur le dark web.
Le 1er avril 2026, le syndicat français Force Ouvrière (FO) a été victime d'une fuite de données revendiquée par un acteur nommé HexDex, qui a mis en vente une base de 161 343 profils d'adhérents incluant plus de 161 000 adresses email, 130 000 adresses postales et près de 100 000 numéros de téléphone.
Le 31 mars 2026, le site touristique La Mine Bleue a informé ses clients que leurs données personnelles — nom, code postal/pays, e-mail et historique d'achats — avaient été exposées lors de la cyberattaque par rançongiciel de son prestataire de billetterie Vivaticket ; aucune donnée bancaire n'est concernée.
Le 30 mars 2026, la Fédération Française de Savate s'est fait dérober une base d'environ 679 000 profils de licenciés couvrant 49 ans (1977–2026), mise en vente par un acteur connu sous le nom HexDex, exposant identités, coordonnées et données de licences sportives.
Le 28 mars 2026, la Fédération Française Handisport a révélé une fuite de données exposant les fichiers de 197 276 licenciés, dont des informations d'état civil, de contact et des données de santé sensibles comme le type de handicap, base mise en vente par l'acteur « HexDex ».
Une importante fuite de données viserait actuellement l’enseigne Mondial Tissus. Selon les informations mises en circulation sur un forum de hackers, 365
Le 26 mars 2026, une fuite chez Les Champs Libres — l'établissement culturel public de Rennes — a exposé des données de comptes utilisateurs : noms, adresses e-mail, numéros de téléphone et mots de passe en clair.
Le 24 mars 2026, la Fédération Française de Vol Libre (FFVL) a été signalée victime d'une fuite de données exposant des fiches de membres après un accès non autorisé à ses systèmes ; le nombre de licenciés concernés n'a pas été précisé.
I-Cad, le fichier national français d'identification des chiens, chats et furets, a révélé en mars 2026 qu'une vulnérabilité logicielle de septembre 2025 avait permis l'interrogation automatisée de sa base, exposant les adresses email d'usagers et alimentant des campagnes de phishing.
Le 20 mars 2026, une base de données de la Confédération Musicale de France (CMF) — fédération des ensembles et écoles de musique amateurs — a été mise en vente par l'acteur HexDex, exposant prétendument 109 302 membres dont de nombreux mineurs, avec identités, coordonnées, données scolaires et notes liées au handicap.
Révélée le 18 mars 2026, la fuite touchant le Musée des Arts et Métiers découle de la cyberattaque par rançongiciel du prestataire Vivaticket, exposant les nom, adresse e-mail, informations de compte et historique de commandes des clients de la billetterie et de la boutique en ligne.
En mars 2026, une attaque par rançongiciel visant le prestataire de billetterie en ligne de la Bibliothèque Nationale de France a exposé les noms et adresses électroniques des usagers ayant réservé des événements culturels ; les données bancaires, gérées par un prestataire distinct, n'ont pas été touchées.
Le 14 mars 2026, une fuite a été revendiquée exposant environ 594 numéros de téléphone de membres parisiens de Reconquête! liés à la campagne municipale de Sarah Knafo — dans le prolongement de l'exposition publique des données de contributeurs de son site de campagne.
En mars 2026, le service de skins personnalisés pour League of Legends Divine Skins a subi une fuite de données. L'incident a été divulgué via le serveur Discord du service, où Divine Skins a déclaré qu'un tiers non autorisé avait accédé à une partie de ses systèmes, supprimé tous les skins de la base de données et exposé des adresses e-mail…
Les étudiants, les personnels et les partenaires de l'Université Paris-Est sont concernés par une fuite confirmée touchant les fichiers administratifs de l’établissement. Environ 315 000 lignes de…
Les membres de la Fédération Omnisports ASPTT pourraient être concernés par une fuite revendiquée touchant plus d'un million d'inscriptions, pour la période 2014-2026, selon la revendication…
Les membres de la FNATH sont concernés par une fuite revendiquée portant sur près de 75 000 personnes, selon la revendication. L’association d’aide aux accidentés de la vie ferait l’objet d’une…
Les clients et partenaires de SYNLAB France sont potentiellement concernés, selon la revendication du collectif HexDex. Celui-ci affirme détenir 161 Go de données internes appartenant au groupe de…
Les systèmes liés au TAJ, utilisés par la Police et la Gendarmerie, seraient concernés par une fuite revendiquée. Selon la revendication, un package de données présenterait une image système complète…
Le 5 mars 2026, une base de données de 713 814 personnes ayant déposé un dossier de location sur la plateforme française de logement étudiant ImmoJeune a été mise en vente sur un forum cybercriminel, exposant noms, e-mails, téléphones, adresses postales et informations de revenus.
Le 4 mars 2026, la Fédération française des Banques Alimentaires a confirmé une fuite de données exposant les dossiers de 659 658 familles bénéficiaires — environ 1 462 485 personnes — incluant identité, coordonnées, situation familiale, revenus et historique d'aide.
Les patients de Bioserveur seraient concernés par une fuite revendiquée portant sur environ 2 200 documents PDF, selon la revendication. Ces fichiers sont décrits comme des comptes rendus d'analyses…
Les données clients du Musée océanographique de Monaco ont été exposées via une attaque par rançongiciel contre son prestataire de billetterie Vivaticket (filiale Irec SAS), divulguée le 2 mars 2026 et revendiquée par RansomHouse, exposant noms, e-mails, téléphones, localisations postales et historiques de commandes/réservations.
Le 2 mars 2026, le Palais de la Porte Dorée figurait parmi plus de 40 institutions culturelles françaises touchées par une attaque par rançongiciel contre le prestataire de billetterie Vivaticket, exposant potentiellement noms, coordonnées, dates de naissance, historiques d'achat et mots de passe chiffrés.
Le 1er mars 2026, un acteur malveillant a affirmé avoir dérobé une base de données de BE ATEX, distributeur français d'équipements de sécurité industrielle près de Toulouse, exposant les données personnelles d'environ 2 500 clients et salariés.
Le 28 février 2026, la Fédération Française d'Aéronautique (FFA) a révélé un accès non autorisé à sa plateforme de gestion des membres SMILE, exposant les noms, dates de naissance, e-mails et adresses postales de 343 734 membres, avec des archives remontant à 2002.
Les licenciés de la Fédération Française de Rugby à XIII sont concernés par une fuite confirmée touchant des photos et des informations de licence. Près de 37 000 des photos exposées concernent des…
Le 28 février 2026, le groupe DumpSec a revendiqué l'exfiltration d'environ 65 Go de données et de près de 1,5 million de photos d'identité d'élèves chez l'UNSS, la fédération du sport scolaire, après une intrusion dans son intranet OPUSS ; noms, dates de naissance, établissements et coordonnées exposés.
Le 25 février 2026, le groupe LAPSUS$ a revendiqué le piratage de NextSend, la plateforme de transfert de fichiers (éditée par Hegyd) utilisée en interne par le groupe de BTP Eiffage, publiant 77 fichiers exposant 175 942 collaborateurs et contacts externes.
Fin février 2026, la Fédération Française de Gymnastique (FFGym) a révélé une fuite via son outil FFGym Licence, à la suite du piratage par hameçonnage d'un compte club, exposant les données d'environ 2,9 millions de licenciés actuels et anciens depuis 2004.
Fin février 2026, un acteur malveillant a mis en vente une base de 203 179 membres de la Fédération Française de Ski (FFS), couvrant des enregistrements de 1999 à 2026 et exposant état civil, coordonnées et informations familiales ; la FFS a confirmé la fuite et saisi la CNIL.
Les dossiers de près de 15 millions de patients gérés via les logiciels de l'éditeur Cegedim sont concernés par une fuite confirmée. Les éléments rendus publics indiquent que ces données proviennent…
La Fédération Française de Gymnastique (FFGym) a subi une fuite de données révélée début 2026 : via un compte club compromis par hameçonnage sur la plateforme FFGym Licence, des attaquants ont accédé aux données personnelles d'environ 2,9 millions de licenciés et anciens licenciés depuis 2004.
Les licenciés et adhérents de la Fédération Française de Karaté sont concernés par une fuite de données revendiquée, selon la revendication. D'après l'annonce, une base de données de la FFK a été…
La Fédération Sportive et Culturelle de France (FSCF) a vu les données personnelles d'environ 1,33 million d'adhérents exposées après la compromission d'un prestataire tiers de gestion des licences, exposant noms, dates de naissance, adresses, coordonnées et informations de licence/adhésion.
Les clients et prospects de Santeo, comparateur d'assurances santé, seraient concernés par une fuite de données revendiquée touchant environ 116 122 personnes, selon la revendication publiée le 26…
Les adhérents de la Fédération Française d'Aïkido, Aïkibudo et Associées (FFAAA) sont concernés par une fuite revendiquée de leurs données personnelles. Selon la revendication, un corpus de 352 502…
Victim
Fédération Française d'Aïkido, Aïkibudo et Associées (FFAAA)
Fin février 2026, un acteur malveillant nommé DumpSec a mis en vente des données prétendument volées à l'agence d'intérim digitale française MyConnect — environ 125 000 enregistrements et 18 Go de fichiers (scans de CNI, RIB, actes de naissance) concernant près de 16 000 personnes.
Le 24 février 2026, un cybercriminel revendique la vente d'une base de 728 732 adhérents de la Fédération Française du Sport Automobile (FFSA), exposant noms, dates de naissance, adresses postales et e-mail, numéros de téléphone et données de licence après la compromission d'un prestataire tiers.
En février 2026, une base d'environ 11,4 millions d'enregistrements de licenciés, officiels et entraîneurs de la Fédération Française d'Athlétisme (FFA) a été mise en vente, exposant des données personnelles et des millions de mots de passe, dont environ 3 millions en clair.
Les clients de Mondial Relay sont concernés par une fuite de données confirmée touchant environ 5 millions d'enregistrements. Les éléments publiés indiquent qu'il s'agit d'un corpus agrégé à partir…
Le 23 février 2026, l'association de service civique Unis Cité a subi une fuite de données touchant environ 80 000 personnes et près de 40 Go de données, dont des cartes d'identité, photos, IBAN et autres documents sensibles de jeunes volontaires, revendiquée par le groupe DumpSec.
La Fédération Française de Badminton a révélé qu'un export non autorisé depuis son application interne d'adhésion Poona, attribué à un compte administrateur compromis et découvert en septembre 2025, a exposé les données personnelles d'environ 300 000 licenciés, dont noms, dates de naissance, coordonnées et noms des parents.
Le 20 février 2026, un acteur malveillant a revendiqué une fuite de données chez Azaé, prestataire français de services à la personne, exposant prétendument les informations personnelles d'environ 19 000 clients et salariés ; la revendication reste non confirmée par l'entreprise.
Le 20 février 2026, un cybercriminel a mis en vente sur BreachForums une base de données revendiquée comme appartenant à la chaîne de salles de sport française KeepCool, touchant environ 400 000 membres répartis sur 270 clubs et exposant noms, e-mails, téléphones et certains IBAN.
En février 2026, la Fédération Française de Canoë-Kayak et Sports de Pagaie (FFCK) a vu une base d'adhérents couvrant des décennies de licenciés fuiter et être mise en vente, exposant noms, dates de naissance, adresses postales, téléphones, e-mails et données de club/licence d'environ 393 374 personnes.
Le 19 février 2026, le groupe de ransomware Incransom a revendiqué le vol de 279 Go de données (225 372 fichiers) chez Valgo SA, société française de dépollution, comprenant contrats, NDA, données financières et informations clients citant Renault Group et d'autres.
Le 18 février 2026, la CFDT, première confédération syndicale française, a confirmé une fuite de données exposant les nom, adresse postale et informations d'affiliation syndicale de jusqu'à 1,4 million d'adhérents actuels et anciens, après le détournement du compte d'un responsable régional.
Les membres et anciens membres d'On Air Fitness seraient concernés, selon la revendication, par une fuite de données touchant environ 512 000 personnes. D'après l'annonce, les fichiers couvriraient…
Les clients d'Axa France sont concernés, selon la revendication, par une fuite annoncée qui toucherait plus de 8 millions de personnes. La revendication indique que des « données et accès » ont été…
Les clients et partenaires d'Adidas sont concernés par une fuite confirmée qui expose des informations personnelles et commerciales. Selon les éléments disponibles, environ 1 617 personnes ont été…
Les agents titulaires et non titulaires ayant travaillé au CNRS avant le 31 décembre 2006 sont concernés par une fuite de données confirmée par le CNRS. Le volume exact des informations exposées n’a…
Les clients des marques partenaires de Socloz sont concernés, selon la revendication, par l’exfiltration d’environ 31 millions de lignes de réservations début 2026. Socloz est une plateforme…
Les clients de Chez Switch sont concernés, selon la revendication, par une fuite de données qui toucherait près de 19 300 personnes. Chez Switch se présente comme un fournisseur d'énergie et…
Le 11 février 2026, l'association d'aide alimentaire Les Restos du Cœur a subi une cyberattaque sur un système interne, exposant les données personnelles de ses salariés et bénévoles : noms, fonctions, départements, adresses e-mail et numéros de téléphone.
En février 2026, la Fédération Française de Judo (France Judo) a subi une compromission de son extranet fédéral : le groupe RavenSec a dérobé et mis en vente près de 2,4 millions de lignes couvrant 533 730 licenciés, dont des photos, 948 cartes d'identité, des numéros de sécurité sociale et des données médicales.
Les clients de Ciffreo Bona sont concernés par une fuite revendiquée touchant près de 70 000 comptes, selon la revendication. Le fichier annoncé couvrirait 15 ans d'activité (2009-2024) et…
Un jeu de données de 4 198 129 lignes lié à Groupe Atalian — entreprise mondiale de facility services et de propreté — a été repéré sur BreachForums, exposant des données RH : noms, dates et lieux de naissance, adresses, nationalités, données contractuelles et de paie, et numéros de carte de séjour.
Les clients de Maxance sont, selon la revendication, concernés par la publication de 348 346 enregistrements contenant des informations personnelles et contractuelles. Le fichier est annoncé comme…
Les clients ayant effectué ou tenté une commande sur PharmaShopi sont concernés par une fuite confirmée. Le site, une pharmacie et parapharmacie en ligne, a vu des informations de paiement exposées…
En février 2026, l'entreprise française Prozon a révélé une fuite de données touchant ses clients après l'accès non autorisé d'un attaquant à l'un de ses outils d'infrastructure ; l'entreprise a confirmé l'incident et notifié la CNIL, sans toutefois préciser le volume de données concernées.
Le 8 février 2026, un acteur malveillant a revendiqué la fuite de données concernant environ 28 000 clients et personnels d'Immo-pop, l'agence immobilière en ligne française à frais fixes ; la revendication, recensée par un traqueur de fuites, reste non vérifiée par l'entreprise.
Les participants inscrits via Rankfyt sont concernés par une fuite de données touchant 1 227 inscriptions, avec des détails concernant plus de 2 000 personnes liées (coéquipiers). Les fichiers…
La Fédération Française de Tennis de Table (FFTT) a révélé une cyberattaque au cours de laquelle un compte compromis a servi à extraire en masse les données des licenciés — nom, date et lieu de naissance, nationalité, numéro de licence et coordonnées — pour 210 000 à 254 000 membres estimés ; aucune donnée bancaire ou de santé n'a été touchée.
Début février 2026, la Fédération Française de Voile (FFVoile) a révélé une fuite de données de sa plateforme de gestion des licences, via un compte club compromis, exposant les données personnelles de plusieurs centaines de milliers de licenciés : nom, date de naissance, adresse, email, téléphone et statut de handicap.
Les clients de Family Cinema seraient concernés par une fuite de données, selon la revendication. Le lot annoncé regrouperait près de 156 489 commandes et 39 896 clients uniques, couvrant la période…
Le 5 février 2026, la Fédération Française de la Randonnée Pédestre (FFRandonnée) a été visée par une fuite de données revendiquée exposant les informations personnelles de 813 983 adhérents, dans le cadre de la vague 2026 de fuites touchant les fédérations sportives françaises.
Les utilisateurs de Flickr résidant en Europe sont concernés par une exposition de métadonnées qui a touché le service en février 2026. Selon l’annonce officielle, environ 228 000 comptes européens…
Le 4 février 2026, le groupe français de location de matériel Loxam a révélé une fuite via un logiciel tiers de planification des livraisons exposant environ 60 Go de données logistiques — 94 735 tournées et près de 828 000 points d'arrêt géolocalisés (2020-2026), ainsi que des données clients, chauffeurs et véhicules.
Le 30 janvier 2026, une base de données SQL de 1,06 Go dérobée à l'association de secourisme française ANPS a été publiée sur BreachForums, exposant environ 5 600 adresses e-mail uniques ainsi que des noms, dates et lieux de naissance issus d'un système hérité.
Les personnes disposant d'un compte ManoMano sont concernées par une fuite de données affectant le site de bricolage et jardinage en ligne. Près de 38 millions de comptes seraient impliqués, selon…
Début 2026, des données prétendument issues du service de recettes et de planification de repas Provecho auraient été obtenues lors d'une fuite. Les données exposées comprenaient 713 000 adresses e-mail uniques ainsi que le nom d'utilisateur et les comptes de créateurs que les titulaires suivaient.
Les clients de FranceCasse.fr sont, selon la revendication, concernés par une fuite exposant plus d'un million de profils. D'après la revendication, un fichier de 98 Go structuré via PrestaShop…
Fin janvier 2026, un cybercriminel a mis en vente sur un forum pirate un lot de 500 Go regroupant plus de 1,18 million de fichiers dérobés à onze agences immobilières françaises, exposant les données personnelles, contractuelles et financières d'au moins 20 000 propriétaires, locataires, copropriétaires et fournisseurs.
Le 28 janvier 2026, une fuite d'environ 1,18 million de fichiers (500+ Go) touchant 11 agences immobilières françaises — dont Marteau Immobilier (Orpi), AFG Immobilier et Trenta Immobilier — a été mise en vente sur un forum cybercriminel, exposant pièces d'identité, IBAN, contrats et identifiants de plus de 20 000 propriétaires, locataires et copropriétaires.
Les clients et contacts d'AutoForever sont concernés par une fuite de données confirmée, le volume restant non précisé. L'entreprise indique ignorer si des données personnelles ont été dérobées suite…
Le 25 janvier 2026, la Fédération Française Sports pour Tous a vu les données personnelles de 1 493 de ses adhérents exposées : nom, adresse postale, numéro de téléphone, statut, structure de rattachement, diplômes et activité.
Le 24 janvier 2026, la FFESSM, fédération française de plongée sous-marine, a révélé une violation de données personnelles consécutive à un accès non autorisé à l'un de ses systèmes informatiques, exposant les coordonnées de ses adhérents et licenciés ; près de 950 000 personnes seraient concernées, les données ayant été mises en vente sur le dark web.
Victim
FFESSM (Fédération Française d’Études et de Sports Sous-Marins)
Le 23 janvier 2026, la Fédération Française d'Escrime (FFE) a vu sa base de licenciés divulguée dans le cadre d'une vague d'attaques visant les fédérations sportives françaises, exposant noms, coordonnées, adresses postales, nationalité et informations de licence et de club.
Le 23 janvier 2026, la Fédération Nationale des Chasseurs a révélé une compromission de son portail de validation du permis de chasser, exposant noms, dates de naissance, adresses postales et e-mail, téléphones, identifiants fédéraux et données de permis d'environ 1,4 million de chasseurs.
La Fédération Française de Volley (FFVolley) a confirmé une compromission de sa base de licenciés touchant environ 1,2 million de personnes, avec près de 23 Go de documents très sensibles — cartes d'identité, passeports et actes de naissance — exfiltrés et mis en vente.
Le 23 janvier 2026, la Fédération Française des Sapeurs-Pompiers a subi une fuite de données exposant les informations personnelles d'environ 822 449 pompiers : noms, adresses e-mail, numéros de téléphone et adresses postales.
En janvier 2026, une base de données issue de l'extranet propriétaires/locataires du réseau immobilier français Orpi a circulé en ligne, exposant noms, adresses postales, IBAN, quittances de loyer et identifiants extranet avec mots de passe en clair.
Le 23 janvier 2026, une fuite de données attribuée à Too Easy a été signalée, exposant des données personnelles de clients : noms, adresses e-mail, numéros de téléphone et adresses IP. L'ampleur exacte de l'incident n'a pas été confirmée publiquement.
Révélée le 23 janvier 2026, une fuite chez Valorissimo — la marketplace B2B française de l'immobilier neuf détenue par Bouygues Immobilier — a exposé les données de comptes des utilisateurs de la plateforme : identifiants, adresses e-mail, noms, numéros de téléphone, adresses postales et entreprises.
Les licenciés et anciens licenciés de la Fédération Française de Golf (ffgolf) sont concernés par une fuite confirmée touchant plus de 1,2 million de fiches. La fuite provient de la base centrale des…
En janvier 2026, la Fédération Nationale des Chasseurs (FNC) et l'Office Français de la Biodiversité (OFB) ont subi des fuites de données liées exposant les données personnelles d'environ 1,4 million de titulaires du permis de chasse, un jeu de 27 Go étant mis en vente sur le dark web.
Environ 822 499 adhérents de la Fédération Nationale des Sapeurs-Pompiers de France (FNSPF) ont vu leurs données personnelles exposées lors d'une fuite de janvier 2026 liée à une campagne plus large de piratages de fédérations françaises : noms, dates de naissance, adresses postales et e-mail et numéros de téléphone ont été collectés puis revendus sur des forums clandestins.
Victim
Fédération Nationale des Sapeurs-Pompiers de France (FNSPF)
Les clients de Babyvista, service de photographie de maternité, sont concernés par une fuite de données qui touche près de 3,7 millions de personnes. La fuite, initialement datée du 15/03/2025, porte…
Les 46 506 personnes liées à Pix Orga seraient concernées, selon la revendication, principalement des élèves et des membres d'équipes pédagogiques. Le service Pix Orga, utilisé par des établissements…
Une revendication de janvier 2026 affirme que des données d'adhérents de l'AAPPMA Le Bambou Castillonnais (Castillon-la-Bataille, Gironde) ont été exposées via la plateforme nationale Cartedepeche.fr, avec environ 9 599 enregistrements concernés à la suite d'une cyberattaque divulguée par la FNPF début 2026.
Le 15 janvier 2026, une fuite a exposé les données personnelles de 598 personnes liées à l'Union départementale Force Ouvrière de Paris (UD 75), provenant semble-t-il d'un lot d'export issu du système de gestion des adhérents du syndicat.
Les employés du Groupe Fondasol sont concernés par une fuite de données revendiquée, portant sur 888 profils selon la revendication. Le cabinet d'ingénierie BTP intervient sur des projets de…
Les utilisateurs des sites pour adultes nephael.net et chloesanchez.com sont concernés par une fuite de données confirmée, portant sur environ 65 000 comptes. Selon les éléments publiés, la…
Les clients et destinataires ayant utilisé Relais Colis sont concernés par une fuite confirmée touchant près de 9,5 millions de fiches. Le volume annoncé est de 9 526 266 lignes, et une revendication…
Une base de données du forum cybercriminel BreachForums a fuité en ligne, exposant environ 324 000 comptes utilisateurs — adresses e-mail, identifiants, hachages de mots de passe Argon2, adresses IP, messages publics et privés — après qu'une sauvegarde a été laissée dans un dossier non sécurisé en août 2025.
Les élèves et les professeurs d'Euronature (École de Naturopathie) sont concernés par une fuite de données confirmée. Selon l’estimation, environ 7 761 personnes seraient exposées ; le corpus rendu…
Le 9 janvier 2026, le site de campagne de la candidate à la mairie de Paris Sarah Knafo (Reconquête) a exposé publiquement les données personnelles de centaines de contributeurs de son forum « Paris à cœur ouvert » : noms, e-mails, numéros de téléphone et adresses IP, y compris de personnes ayant demandé l'anonymat.
Les jeunes détenteurs de la Carte Avantages Jeunes (CRIJ Bourgogne-Franche-Comté) sont concernés par une fuite confirmée touchant près de 283 000 personnes. Les éléments publiés incluent, selon les…
Victim
Carte Avantages Jeunes (CRIJ Bourgogne-Franche-Comté)
En janvier 2026, la salle de spectacle Casino de Paris a confirmé une fuite de données touchant environ 111 000 clients, avec exposition des noms, adresses e-mail et localisations postales (ville et code postal) après la mise en vente d'une base de données sur un forum pirate.
Le 8 janvier 2026, une base de 262 925 licenciés de la Fédération Française de Bridge (FFB) a été revendiquée sur un forum pirate, exposant noms, dates de naissance, adresses postales et e-mail et numéros de téléphone, dans le cadre d'une vague d'attaques visant les fédérations françaises via un prestataire informatique commun.
Les licenciés de la Fédération Française de Football Américain (FFFA) sont concernés par une fuite revendiquée qui viserait 200 415 enregistrements. Selon la revendication, le corpus contiendrait des…
En janvier 2026, la Fédération Française de la Montagne et de l'Escalade (FFME) a révélé une fuite de données : l'utilisation frauduleuse d'un compte membre a permis un accès illégitime aux coordonnées — nom, date de naissance, adresse, type de licence — de ses licenciés, soit 561 502 enregistrements recensés.
Victim
Fédération Française de la Montagne et de l'Escalade (FFME) #2
En janvier 2026, la Fédération Sportive et Gymnique du Travail (FSGT), fédération omnisports française issue du sport travailliste, a été visée par une fuite de données revendiquée exposant les fichiers personnels de ses licenciés, la revendication évoquant une base d'environ 600 000 comptes.
Le 7 janvier 2026, une base de données de la Fédération Française de Canoë-Kayak (FFCK) couvrant 31 ans d'historique a fuité, exposant les données personnelles de 393 374 adhérents, dont 392 892 adresses postales, 212 342 numéros de téléphone et 158 434 e-mails uniques.
Près de 600 000 licenciés de la Fédération Française de Roller et Skateboard (FFRS) ont vu leurs données personnelles exposées après la compromission de la plateforme de gestion Rolskanet, opérée par un prestataire tiers mutualisé : noms, coordonnées et informations de naissance ont fuité.
Victim
Fédération Française de Roller et Skateboard (FFRS) #2
Le 7 janvier 2026, une revendication fait état du vol d'une base de 162 263 lignes de licenciés de la Fédération Française de Squash (FFSquash), dans le cadre d'une vague d'attaques visant les fédérations sportives françaises et exposant les données personnelles des membres.
Le 8 janvier 2026, la Fédération Française d'ULM (FFPLUM) a révélé qu'un attaquant avait frauduleusement accédé à un compte gestionnaire de sa plateforme de gestion des licences, exposant les données personnelles d'environ 78 000 adhérents : noms, dates de naissance, adresses, emails et numéros de téléphone.
Le 6 janvier 2026, une fuite de données revendiquée contre la Fédération Française de Twirling Bâton (FFTwirl) a exposé les données personnelles d'environ 52 785 licenciés, bénévoles et dirigeants, dont noms, adresses postales et e-mail, numéros de téléphone, dates de naissance et clubs.
Début janvier 2026, une base d'adhérents de la Fondation des Lions de France (Lions Clubs de France) a été publiée sur BreachForums, exposant 133 297 personnes après dédoublonnage — état civil complet, adresses postales, numéros de téléphone et photos de profil — dans une fuite attribuée à la plateforme de gestion MyAssoc.
Victim
Fondation des Lions de France (Lions Clubs de France)
Les clients de Ledger sont concernés par une fuite de données confirmée par le prestataire Global-e. Le nombre de clients impactés n'a pas été communiqué publiquement.
Début janvier 2026, l'agence d'intérim Adecco a été touchée par une fuite de données après qu'un pirate a mis en vente une base d'environ 800 000 profils de candidats — dont près de 750 000 CV avec noms, coordonnées et parcours professionnels —, affirmant les avoir extraits d'un outil interne d'Adecco.
Le 31 décembre 2024, la Fédération Française de Spéléologie (FFS) a révélé une fuite de données issue de son portail de souscription d'assurance, exposant identité, coordonnées, nationalité, profession et numéros de licence des adhérents, dans une vague d'attaques visant les fédérations sportives françaises.
Le 27 décembre 2025, les données d'environ 200 adhérents du Club de natation 95 ont été exposées à la suite de la compromission de son prestataire ACRV, divulguant noms, adresses postales et e-mail, numéros de téléphone et adresses IP.
Fin décembre 2025, la Fédération Française de Kick Boxing (FFKMDA) a vu sa base d'adhérents publiée sur BreachForums, exposant 361 321 licenciés : nom, date de naissance, nationalité, coordonnées, adresse postale et données de licence des saisons 2015 à 2026.
Les données d'environ 1,3 million d'adhérents de la Fédération Française de Natation (FFN) ont été mises en vente sur BreachForums le 23 décembre 2025 après le piratage de sa plateforme Extranat, exposant identités, coordonnées et numéros de licence.
Le 22 décembre 2025, une base de données d'environ 240 000 utilisateurs de la plateforme de casting française 123casting a été publiée sur BreachForums, exposant identités, coordonnées, mots de passe hachés en MD5, mensurations, origine ethnique, books photo/vidéo, messages privés et données de paiement.
Le 19 décembre 2025, une fuite de données chez l'association antiraciste française La Licra (LICRA) a exposé les adresses email et mots de passe hashés de 186 abonnés du site et de 8 administrateurs.
Le 10 décembre 2025, la Fédération Française de Cyclisme a détecté une intrusion (identifiants volés/infostealers, sans MFA) exposant noms, dates de naissance, nationalité, adresses postales, e-mails et téléphones de licenciés ; le groupe Dumpsec affirme aussi détenir des pièces d'identité.
Le 10 décembre 2025, l'UFOLEP — la fédération multisports française — a révélé qu'un compte compromis chez son prestataire de gestion des licences Exalto avait exposé au moins 3 624 fiches d'adhérents, incluant identité, coordonnées et données du responsable légal.
En décembre 2025, le serveur privé européen de Dragonica nommé Dragonica Lunaris a subi une fuite de données. L'incident a exposé 126 000 adresses e-mail, noms d'utilisateur, dates de naissance et empreintes de mots de passe bcrypt. L'exploitant du service a confirmé la fuite et a indiqué qu'elle avait depuis été corrigée.
Début décembre 2025, la Fédération Française de Handball (FFHandball) a révélé que sa plateforme administrative GestHand — utilisée par quelque 2 400 clubs, comités et ligues — avait été piratée via des identifiants compromis, exposant nom, genre, date de naissance, email et téléphone des licenciés.
Fin novembre 2025, la Fédération Française de Football a révélé que des attaquants avaient utilisé un compte compromis pour accéder à son logiciel de gestion des clubs Footclubs et exfiltrer les données personnelles des licenciés : nom, date et lieu de naissance, adresse, coordonnées et numéro de licence.
En novembre 2025, la Fédération Française de Danse (FFDanse) a subi une cyberattaque sur son extranet qui a endommagé le serveur et exposé les données personnelles des licenciés : nom, date de naissance, coordonnées, numéro de licence et mots de passe hachés ; aucune donnée médicale ou bancaire n'a été touchée.
Le 25 novembre 2025, une base de données de la société française de maintenance résidentielle ProxiServe est apparue sur un forum de pirates, exposant les données personnelles et d'intervention de 294 639 clients : noms, e-mails, adresses postales et détails des interventions à domicile.
Aux alentours du 11 novembre 2025, la Fédération Française de Cardiologie a révélé qu'une intrusion non autorisée dans ses systèmes avait exposé les données personnelles de ses adhérents — nom, adresses postale et email, numéro de téléphone et mots de passe. Aucune donnée bancaire ou médicale n'a été compromise.
Une intrusion dans le système d'information ITAC de la Fédération Française de Tir entre le 18 et le 20 octobre 2025 a exposé les données personnelles de ses licenciés — numéros de licence, état civil et coordonnées — jusqu'à environ 274 000 membres potentiellement concernés.
Le 19 septembre 2025, la Fédération Française de Tennis de Table (FFTT) a révélé une fuite de données : un attaquant a utilisé un compte compromis pour extraire en masse le fichier des licenciés, exposant les données personnelles de jusqu'à 254 000 membres, mais aucune donnée bancaire ni de santé.
En août 2025, plus d'un million d'adresses e-mail uniques sont apparues dans une fuite prétendument obtenue auprès du créateur de mode italien Giglio. Les données comprenaient également des noms, des numéros de téléphone et des adresses postales. Giglio n'a pas répondu aux tentatives répétées de divulgation de l'incident.
En juillet 2025, une vulnérabilité dans le plugin WordPress GiveWP a exposé les noms et adresses e-mail d'environ 30 000 donateurs du projet de blocage de publicités à l'échelle du réseau Pi-hole. Pi-hole a ensuite soumis lui-même la liste des donateurs touchés à HIBP.
En juillet 2025, Allianz Life a été victime d'une cyberattaque qui a entraîné la fuite ultérieure de millions d'enregistrements en ligne. Allianz a attribué l'attaque à « une technique d'ingénierie sociale » qui ciblait des données sur Salesforce et a entraîné l'exposition de 1,1 M d'adresses e-mail uniques, de noms,…
En juin 2025, l'éditeur de logiciels espions Catwatchful a subi une fuite de données qui a exposé plus de 60 000 dossiers clients. La fuite était due à une vulnérabilité d'injection SQL qui a permis d'extraire du système des adresses e-mail et des mots de passe en texte clair.
En mai 2025, 160 000 enregistrements de données clients auraient été obtenus auprès de Creams Cafe, « le salon de desserts préféré du Royaume-Uni ». Les données comprenaient des adresses e-mail et postales, des noms et des numéros de téléphone.
Au cours de l'année 2025, la société de renseignement sur les menaces Synthient a agrégé 2 milliards d'adresses e-mail uniques divulguées dans des listes de credential stuffing trouvées sur de multiples sources internet malveillantes.
En mars 2025, des dossiers de location détenus par le réseau immobilier français Laforêt ont été exposés, divulguant les pièces d'identité et les coordonnées bancaires (RIB) des locataires ainsi que le reste de leurs dossiers.
amalgamatedsugar.com\$764.8 M\USA\464GB\100% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 10 mars 2025.
stanleyconsultants.com\$190.5M\USA\388GB\100% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 6 mars 2025.
almostfamousclothing.com\$183M\USA\375GB\100% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 3 mars 2025.
associatedasset.com\$288M\USA\26GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 28 février 2025.
electrocraft.com\$190.1M\USA\477GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 28 février 2025.
stanleyconsultants.com\$190.5M\USA\388GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 28 février 2025.
steelwarehouse.com\$570.3M\USA\679gb\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 28 février 2025.
Le 28 février 2025, une fuite de données attribuée à Zephir (France) a exposé les informations personnelles d'environ 67 000 personnes, dont noms, adresses e-mail, numéros de téléphone et coordonnées bancaires (IBAN).
amalgamatedsugar.com\$764.8 M\USA\464gb\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 24 février 2025.
chfindustries.com\$253.8M\USA\2.5TB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 24 février 2025.
En février 2025, la Fédération Française de Football (FFF) a subi une fuite de données via un compte compromis sur sa plateforme de gestion des licenciés ; au moins ~43 000 utilisateurs ont vu leurs données personnelles exposées, dont noms, coordonnées et copies de justificatifs d'identité.
newhorizonsbaking.com\$163M\USA\455GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 20 février 2025.
Pulmonary Physicians of South Florida Clinics | Data security breach! a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Braincipher le 19 février 2025.
Victim
Pulmonary Physicians of South Florida Clinics | Data security breach!
midwayimporting.com\$43.7M\USA\915GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 18 février 2025.
almostfamousclothing.com\$183M\USA\375GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 17 février 2025.
northernresponse.com\$17.4M\Canada\366GB\100% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 17 février 2025.
En février 2025, le service de logiciel espion Cocospy a subi une fuite de données, tout comme le service de logiciel espion frère, Spyic. La seule fuite de Cocospy a exposé près de 1,8 million d'adresses e-mail de clients qui ont été fournies à HIBP, et aurait également permis un accès non autorisé aux messages, photos, journaux d'appels capturés,…
En février 2025, le service de logiciels espions Spyic a subi une fuite de données en même temps que son service jumeau, Cocospy. La seule fuite de Spyic a exposé près de 876 000 adresses e-mail de clients, qui ont été fournies à HIBP, et aurait également permis un accès non autorisé à des messages, photos, journaux d'appels capturés…
britannicahome.com\$20.6M\USA\2.8TB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 12 février 2025.
Gitlabs: Universitatea Politehnica din Bucuresti, Maxvy Technologies Pvt, iRidge Inc. a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel FOG le 9 février 2025.
Victim
Gitlabs: Universitatea Politehnica din Bucuresti, Maxvy Technologies Pvt, iRidge Inc.
northernresponse.com\$17.4M\Canada\366GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 6 février 2025.
cornwelltools.com\$218.7M\USA\4.6TB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 4 février 2025.
rashtiandrashti.com\$19.1M\USA\786GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 4 février 2025.
Gitlabs: Bolin Centre for Climate Research, X-lab group, Madia a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel FOG le 3 février 2025.
Victim
Gitlabs: Bolin Centre for Climate Research, X-lab group, Madia
Gitlabs: PT. ITPRENEUR INDONESIA TECHNOLOGY, GFZ Helmholtz Centre for Geosciences, LUA Cof a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel FOG le 1 février 2025.
Victim
Gitlabs: PT. ITPRENEUR INDONESIA TECHNOLOGY, GFZ Helmholtz Centre for Geosciences, LUA Cof
Gitlabs: Professional Computer, X-Pans, Propulsion Academy AG a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel FOG le 30 janvier 2025.
Victim
Gitlabs: Professional Computer, X-Pans, Propulsion Academy AG
jayaapparelgroup.com\$60.6M\USA\824GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 30 janvier 2025.
johnpaulrichard.com\$60M\USA\985GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 30 janvier 2025.
sunrise-soya.com\$42.2M\Canada\504GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 30 janvier 2025.
vsstransportationgroup.com\$54.5M\USA\522GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 30 janvier 2025.
alkodistributors.com\$33.5M\USA\345GB\<1% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 29 janvier 2025.
International AIDS Vaccine Initiative (iavi.org) a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Incransom le 27 janvier 2025.
Weeks, Brucker & Coleman, Ltd | Legal Services a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Everest le 27 janvier 2025.
En janvier 2025, 435 000 adresses e-mail ont été extraites du service de « doxing » Doxbin. Les publications sur ce service visent généralement à divulguer sans consentement les informations personnelles de tiers.
Fin janvier 2025, la Fédération Française de la Montagne et de l'Escalade (FFME) a révélé une fuite exposant un jeu de données de 808 881 comptes de licenciés : noms, adresses postales et e-mail, identifiants, dates de naissance et numéros de téléphone.
Le 20 janvier 2025, la Fédération Française de Tir à l'Arc (FFTA) a révélé une fuite due à une faille chez son prestataire mutualisé de gestion des licences ; un jeu de 625 434 comptes (noms, dates de naissance, adresses postales, téléphones, emails, photos de profil) a été mis en vente en ligne.
PetroVietnam Exploration Production Corporation a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Hunters International le 20 janvier 2025.
En janvier 2025, le vendeur de lunettes Frame & Optic a subi une fuite de données. L'incident a exposé près de 16 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des données de géolocalisation comprenant le pays, l'État et le code postal.
En janvier 2025, la Fédération Française de Force (FFForce) a vu les données personnelles de 64 512 adhérents exposées via un prestataire informatique de gestion des licences sportives compromis ; les fichiers (noms, dates de naissance, e-mails, adresses postales, téléphones) ont ensuite été vendus sur BreachForums.
En janvier 2025, la Fédération Française de Roller et Skateboard a vu les données personnelles d'environ 577 000 licenciés exposées après la compromission d'un prestataire informatique mutualisé entre fédérations sportives ; noms, dates de naissance, adresses e-mail/postales et numéros de téléphone ont fuité.
Biomedical Caledonia Medical Laboratory (calmedlab.local) a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Incransom le 13 janvier 2025.
Victim
Biomedical Caledonia Medical Laboratory (calmedlab.local)
massdevelopment.com\$24.6M\USA\1.2TB\100% DISCLOSED a été désigné sur le site de fuite (extorsion) du groupe de rançongiciel Cactus le 10 janvier 2025.
En décembre 2024, la communauté de partage de vidéos BitView a subi une fuite de données qui a exposé 63 000 dossiers clients. Attribuée à une sauvegarde réalisée par un ancien administrateur plus tôt dans l'année, la fuite a exposé des adresses e-mail et IP, des hachages de mots de passe bcrypt, des noms d'utilisateur, des biographies, des messages privés, des vidéos…
Le 4 décembre 2024, le groupe de rançongiciel Brain Cipher a publiquement affirmé avoir dérobé plus de 1 To de données à Deloitte UK ; Deloitte a indiqué que ces allégations concernaient le système d'un seul client, externe à son réseau, et qu'aucun système Deloitte n'avait été touché.
En octobre 2024, le service hongrois de chasse de têtes informatiques Switch a exposé par inadvertance des milliers de dossiers clients via un dépôt GitHub public. Les données exposées contenaient des candidatures à des emplois avec des noms, des adresses e-mail et, dans certains cas, des commentaires sur le candidat.
En septembre 2024, l'Instituto Nacional de Deportes de Chile (l'Institut national des sports du Chili) a subi une fuite de données. L'incident a exposé 1,7 million de lignes de données avec 320 000 adresses e-mail uniques ainsi que des noms, dates de naissance, genres et empreintes de mots de passe bcrypt.
En juillet 2024, MSI a exposé par inadvertance des centaines de milliers d'enregistrements de clients liés à des demandes de RMA qui se sont avérés par la suite accessibles publiquement. Les données comprenaient 250 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales et des demandes de garantie.
En juin 2024, le fabricant de logiciels espions SpyX a subi une fuite de données qui a exposé près de 2 millions d'adresses e-mail uniques. La fuite a également exposé des adresses IP, des pays de résidence, des informations sur les appareils et des codes PIN à 6 chiffres dans le champ du mot de passe.
En juillet 2024, le fabricant de logiciels espions Spytech a subi une fuite de données qui a exposé des données collectées aussi récemment que le mois précédent. Conçu pour « enregistrer de manière invisible tout ce que font les utilisateurs », la fuite a exposé des informations relatives à la fois aux acheteurs et aux cibles du produit.
En mai 2024, une coalition d'agences internationales de répression a démantelé une série de botnets dans le cadre d'une campagne baptisée « Operation Endgame ». Les données saisies lors de l'opération comprenaient les adresses e-mail et mots de passe touchés, qui ont été transmis à HIBP afin d'aider les victimes à prendre connaissance de leur exposition.
En 2024, le géant de la billetterie Ticketmaster (Live Nation) a subi la compromission d'une base de données cloud tierce hébergée chez Snowflake ; les données d'environ 560 millions de clients — noms, coordonnées, historique des commandes et données de carte partielles — ont été volées et mises en vente par ShinyHunters.
En mars 2024, la campagne nationale des citoyens canadiens en faveur de la représentation proportionnelle, Fair Vote Canada, a subi une fuite de données. L'incident a été attribué à « un bénévole bien intentionné » qui a involontairement exposé des données de 2020 comprenant 134 000 adresses e-mail uniques, des noms, des adresses physiques,…
En février 2025, le service de logiciels espions Spyzie a subi une fuite de données en même temps que les services jumeaux, Spyic et Cocospy. La seule fuite de Spyzie a exposé près de 519 000 adresses e-mail de clients, qui ont été fournies à HIBP, et aurait également permis un accès non autorisé à des messages, photos…
En août 2023, l'entreprise portugaise de décoration intérieure Market Moveis a subi une fuite de données qui a touché 28 000 enregistrements. Les enregistrements exposés se limitaient à des noms et des adresses e-mail.
En août 2023, le ministère de la Justice des États-Unis a annoncé une opération multinationale impliquant des actions aux États-Unis, en France, en Allemagne, aux Pays-Bas et au Royaume-Uni pour perturber le botnet et le logiciel malveillant connu sous le nom de Qakbot et démanteler son infrastructure.
En août 2023, le CERT Pologne a observé une campagne de phishing qui a collecté les identifiants de 68 000 victimes. La campagne collectait des adresses e-mail et des mots de passe via un e-mail de phishing se faisant passer pour une confirmation de bon de commande.
En février 2023, le service européen de transferts aéroportuaires Terravision a subi une fuite de données. La fuite a exposé plus de 2 millions d'enregistrements de données clients comprenant des noms, des numéros de téléphone, des adresses e-mail, des condensats salés de mots de passe et, dans certains cas, la date de naissance et le pays d'origine.
En octobre 2022, le fournisseur de menus de mods pour GTA RealDudesInc a subi une fuite de données ayant exposé plus de 100 000 adresses e-mail (dont beaucoup sont des adresses temporaires de comptes invités). La fuite incluait également des noms d'utilisateur et des hachages de mots de passe bcrypt.
En octobre 2022, le forum Doomworld a subi une fuite de données qui a exposé 34 000 enregistrements de membres. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe bcrypt.
En août 2022, le service de commande et de livraison de nourriture DoorDash a divulgué une fuite de données qui a touché une partie de ses clients. DoorDash a attribué la fuite à un « fournisseur tiers » non nommé qui, selon elle, a été victime d'une campagne de phishing.
En février 2022, le fabricant de microprocesseurs NVIDIA a subi une fuite de données qui a exposé des identifiants d'employés et du code propriétaire. Les données touchées comprenaient plus de 70 000 adresses e-mail d'employés et des hachages de mots de passe NTLM, dont beaucoup ont ensuite été cassés et diffusés au sein de la communauté du piratage.
En février 2022, le service de collecte de fonds chrétien GiveSendGo a subi une fuite de données qui a exposé les données personnelles de 90 000 donateurs du « Convoi de la liberté » canadien, mouvement de protestation contre l'obligation vaccinale.
En décembre 2021, des journaux du malware RedLine Stealer ont été laissés exposés publiquement avant d'être récupérés par le chercheur en sécurité Bob Diachenko. Les données comprenaient 441 000 adresses e-mail uniques, des noms d'utilisateur et des mots de passe en clair.
En novembre 2021, l'hébergeur web ZAP-Hosting a subi une fuite de données qui a exposé plus de 60 Go de données contenant 746 000 adresses e-mail uniques. La fuite contenait également des journaux de discussion d'assistance, des adresses IP, des noms, des achats, des adresses physiques et des numéros de téléphone.
En septembre 2021, le Republican Party of Texas a été piraté par un groupe se réclamant d'« Anonymous » en représailles à l'interdiction controversée de l'avortement dans l'État. Le défacement de septembre a été suivi d'une fuite de données et de documents qui incluaient du matériel provenant de l'hébergeur Epik.
Au milieu de l'année 2021, le service de « messagerie vintage réinventée » Phoenix a subi une fuite de données qui a exposé 75 000 adresses e-mail uniques. La fuite a également exposé des adresses IP, des noms d'utilisateur et des mots de passe.
En février 2021, une série de failles de sécurité particulièrement graves ont été identifiées dans le système NurseryCam conçu pour permettre aux parents de surveiller à distance leurs enfants pendant qu'ils sont à la crèche. Ces failles ont entraîné l'exposition de plus de 10 000 enregistrements de parents avant la fermeture du service.
En janvier 2021, le FBI, en partenariat avec le NHTCU néerlandais, le BKA allemand et d'autres forces de l'ordre internationales, a démantelé le logiciel malveillant le plus dangereux au monde : Emotet.
La plus grande fuite de données personnelles de l'histoire du Brésil : des bases de données concernant environ 223 millions de personnes — noms, identifiants fiscaux CPF, images faciales, salaires et scores de crédit — ont été mises en vente sur un forum du dark web, les soupçons pointant vers des données de bureau de crédit.
Victim
Population brésilienne (bases liées aux bureaux de crédit)
En décembre 2020, la société de recherche économique Capital Economics a subi une fuite de données qui a exposé 263 000 dossiers clients. Les données exposées comprenaient des adresses e-mail et postales, des noms, des numéros de téléphone, des intitulés de poste et l'employeur des clients concernés.
En 2020, un corpus de données contenant près d'un quart de milliard d'enregistrements répartis sur plus de 400 champs différents a été attribué à tort à la société de marketing par base de données Acxiom et a ensuite circulé au sein de la communauté de piratage.
Mi-2020, un corpus de données de 437 Go attribué à une entité nommée « Acuity » a été créé puis largement diffusé. Cependant, la source n'a pas pu être attribuée avec certitude à une entreprise connue portant le nom d'Acuity.
En février 2020, l'entreprise de marketing israélienne Straffic a exposé une base de données contenant 140 Go de données personnelles. La base de données Elasticsearch accessible publiquement contenait plus de 300 millions de lignes avec 49 millions d'adresses e-mail uniques. Les données exposées comprenaient également des noms, des numéros de téléphone, des adresses physiques et des genres.
En janvier 2020, le service de rencontres en ligne Zoosk a subi une fuite de données qui a ensuite été largement partagée au sein des communautés de piratage en ligne. La fuite contenait 24 millions d'adresses e-mail uniques ainsi que des informations personnelles détaillées, dont des genres, des orientations sexuelles, des dates de naissance,…
Aux alentours de 2019 ou 2020, le service de streaming de films lituanien Filmai.in a subi une fuite de données exposant 645 000 adresses e-mail, des noms d'utilisateur et des mots de passe en clair.
En janvier 2021, NordLocker a fourni à HIBP 1,1 million d'adresses e-mail collectées par un logiciel malveillant anonyme. La campagne de malware s'est déroulée entre 2018 et 2020 et a infecté 3,25 millions d'ordinateurs, volant des fichiers, des identifiants et prenant des captures d'écran et des photos à l'aide de la webcam de l'ordinateur.
Vers novembre 2019, la « faculté préparatoire à distance pour les spécialités informatiques » russe Universarium a subi une fuite de données. L'incident a exposé 565 000 adresses e-mail et mots de passe en clair. Universarium n'a pas répondu à plusieurs tentatives de prise de contact échelonnées sur de nombreuses semaines.
En août 2019, Audi USA a subi une fuite de données après qu'un prestataire a laissé des données non sécurisées et exposées sur Internet. Les données contenaient 2,7 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses postales et des informations sur les véhicules, y compris le numéro VIN.
En juin 2019, la bibliothèque de Vienne (Wiener Büchereien) a subi une fuite de données. Les données compromises comprenaient 224 000 adresses e-mail uniques, des noms, des adresses physiques, des numéros de téléphone et des dates de naissance. Les données ayant fait l'objet de la fuite ont ensuite été publiées sur Twitter par l'auteur présumé de la fuite.
En mars 2019, l'entreprise japonaise spécialisée dans la soudure Hakko Corporation a subi une fuite de données. L'incident a exposé près de 10 000 enregistrements clients incluant des adresses e-mail et postales, des numéros de téléphone, des noms, des identifiants, des genres, des dates de naissance et des mots de passe en clair.
En mars 2019, une opération de spam connue sous le nom d'« Intelimost » a envoyé des millions d'e-mails semblant provenir de personnes que les destinataires connaissaient. Le chercheur en sécurité Bob Diachenko a trouvé plus de 3 millions d'adresses e-mail uniques dans une base de données Elasticsearch exposée, ainsi que des mots de passe en clair utilisés pour accéder au…
En octobre 2018, le chercheur en sécurité Bob Diachenko a identifié plusieurs bases de données exposées contenant des centaines de millions d'enregistrements. L'un de ces ensembles de données était une instance Elasticsearch sur AWS contenant des données de prospects commerciaux et 5,8 millions d'adresses e-mail uniques.
En septembre 2018, le chercheur en sécurité Bob Diachenko a découvert une vaste collection de données personnelles exposées dans une instance MongoDB non protégée. Les données semblent avoir été utilisées dans des campagnes marketing (probablement à des fins de spam) mais comportaient peu de données d'identification autres qu'une…
En septembre 2018, une collection de près de 42 millions de paires d'adresses e-mail et de mots de passe en clair a été téléversée sur le service anonyme de partage de fichiers kayo.moe.
En août 2018, l'entreprise de logiciels espions SpyFone a laissé des téraoctets de données exposés publiquement. Collectées subrepticement pendant que les cibles utilisaient leurs appareils, les données comprenaient des photos, des enregistrements audio, des messages texte et l'historique de navigation, exposés par le biais de plusieurs mauvaises configurations au sein…
En juillet 2018, le service de création de vidéos dans le cloud Animoto a subi une fuite de données. La fuite a exposé 22 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance, le pays d'origine et des hachages de mots de passe salés.
En avril 2018, une liste de credential stuffing contenant 111 millions d'adresses e-mail et de mots de passe, connue sous le nom de Pemiblanc, a été découverte sur un serveur français. La liste contenait des adresses e-mail et des mots de passe rassemblés à partir de différentes fuites de données et utilisés pour mener des attaques de prise de contrôle de comptes contre d'autres…
En février 2018, une vaste collection de près de 3 000 fuites de données présumées a été découverte en ligne. Bien que certaines de ces données aient déjà été vues dans Have I Been Pwned, 2 844 des fichiers, contenant plus de 80 millions d'adresses e-mail uniques, n'avaient jamais été observés auparavant.
En décembre 2017, le tracker torrent danois connu sous le nom de HoundDawgs a subi une fuite de données. Plus de 55 Go de données ont été divulgués publiquement et, bien qu'il y ait eu initialement des controverses sur la gravité de l'incident, les données contenaient effectivement plus de 45 000 adresses e-mail uniques accompagnées de journaux détaillés…
En octobre 2017, le service brésilien aujourd'hui disparu de récupération de sous-titres en portugais Legendas.TV a subi une fuite de données qui a exposé près de 4 M de fiches clients. Les données touchées comprenaient des noms, des noms d'utilisateur, des adresses e-mail et IP ainsi que des hachages SHA-1 non salés.
Au milieu de l'année 2017, une liste de spam de plus de 105 millions de personnes appartenant à l'Amérique des entreprises a été découverte en ligne. Désignée sous le nom de « B2B USA Businesses », la liste classait les adresses e-mail par employeur, fournissant des informations sur les intitulés de poste des personnes ainsi que leurs numéros de téléphone professionnels et leurs adresses postales.
En juin 2017, le service de playlists en ligne connu sous le nom de 8Tracks a subi une fuite de données qui a touché 18 millions de comptes. Dans sa communication, 8Tracks a indiqué que « le vecteur de l'attaque était le compte GitHub d'un employé, qui n'était pas sécurisé par une authentification à deux facteurs ».
Une campagne d'hameçonnage de grande ampleur et très ciblée, documentée par Citizen Lab, a envoyé plus de 90 messages de vol d'identifiants contre des ONG, des militants et des avocats égyptiens liés à la répression de la société civile menée par le gouvernement dans le cadre de l'« Affaire 173 ».
Victim
ONG, militants des droits humains, avocats et journalistes égyptiens (cibles de l'Affaire 173)
En janvier 2017, l'hébergeur gratuit de services cachés Freedom Hosting II a subi une fuite de données. L'attaque aurait mis hors ligne 20 % des sites du dark web fonctionnant derrière les services cachés Tor, l'attaquant affirmant que sur les 10 613 sites touchés, plus de 50 % du contenu était de la pédopornographie.
En janvier, CloudPets, le fabricant d'ours en peluche qui enregistrent la voix des enfants et l'envoient à la famille et aux amis via internet, a laissé sa base de données exposée publiquement, et celle-ci a ensuite été téléchargée par des tiers (les données ont également fait l'objet de 3 demandes de rançon différentes).
Aux alentours de janvier 2017, le site de fans de Lady Gaga connu sous le nom de « Little Monsters » a subi une fuite de données qui a touché 1 million de comptes. Les données contenaient des noms d'utilisateur, des adresses e-mail, des dates de naissance et des hachages bcrypt des mots de passe.
En janvier 2017, la société de services de téléphonie automatisée Victory Phones a laissé une base de données MongoDB accessible publiquement sans mot de passe. Par la suite, 213 Go de données ont été téléchargés par une partie non autorisée, dont des noms, des adresses, des numéros de téléphone et plus de 166 000 adresses e-mail uniques.
En décembre 2016, une énorme liste de paires d'adresses e-mail et de mots de passe est apparue dans une « combo list » désignée sous le nom d'« Anti Public ». La liste contenait 458 millions d'adresses e-mail uniques, dont beaucoup avec plusieurs mots de passe différents piratés depuis divers systèmes en ligne.
Fin 2016, la principale plateforme vidéo en ligne chinoise Youku a subi une fuite de données exposant environ 92 millions de comptes utilisateur uniques ainsi que des noms d'utilisateur et des mots de passe hachés en MD5, qui ont ensuite circulé sur des places de marché du dark web.
En octobre 2016, le service de bannissement Minecraft connu sous le nom de MCBans a subi une fuite de données entraînant l'exposition de 120 000 enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des empreintes de mots de passe de format inconnu.
Fin 2016, une énorme liste de paires d'adresses e-mail et de mots de passe est apparue dans une « combo list » désignée sous le nom d'« Exploit.In ». La liste contenait 593 millions d'adresses e-mail uniques, dont beaucoup avec plusieurs mots de passe différents piratés à partir de divers systèmes en ligne.
Vers octobre 2016, le site Pokémon espagnol Pokémon Negro a subi une fuite de données. L'attaque a entraîné la divulgation de 830 000 comptes comprenant des adresses e-mail et IP ainsi que des mots de passe en texte clair. Pokémon Negro n'a pas répondu lorsqu'il a été contacté au sujet de la fuite.
En septembre 2016, le site d'investissement immobilier Real Estate Mogul a vu une instance MongoDB compromise et 5 Go de données téléchargés par une partie non autorisée. Les données contenaient des annonces immobilières incluant des adresses ainsi que les noms, numéros de téléphone et 308 000 adresses e-mail uniques des vendeurs.
En septembre 2016, plus de 16 Go de journaux provenant d'un service identifié comme étant digimon.co.in ont été obtenus, très probablement à partir d'une instance MongoDB non protégée. Le service a cessé de fonctionner peu de temps après et aucune information ne subsiste sur sa nature précise.
En 2016, une liste de plus de 33 millions de personnes du monde de l'entreprise américaine provenant du service NetProspex de Dun & Bradstreet a été divulguée en ligne. D&B estiment que ces données de marketing ciblé ont été perdues par un client qui les leur avait achetées.
En août 2016, Roblox a divulgué une fuite de données ayant affecté plus de 50 000 utilisateurs. L'incident de sécurité a touché des adresses e-mail et IP, des noms d'utilisateur, des achats et des soldes de Robux laissés exposés sur un serveur de test.
En juillet 2016, le service de livraison de repas basé en Inde FreshMenu a subi une fuite de données. L'incident a exposé les données personnelles de plus de 110 000 clients et comprenait leurs noms, adresses e-mail, numéros de téléphone, adresses postales et historiques de commandes.
En juillet 2016, le site d'anime Funimation a subi une fuite de données qui a touché 2,5 millions de comptes. Les données contenaient des noms d'utilisateur, des adresses e-mail, des dates de naissance et des empreintes SHA1 salées de mots de passe.
En juin 2016, l'application Facebook connue sous le nom d'Uiggy a été piratée et 4,3 millions de comptes ont été exposés, dont 2,7 millions étaient associés à une adresse e-mail. Les comptes divulgués ont également exposé des noms, des genres et l'identifiant Facebook des propriétaires.
En mai 2015, près de 100 000 enregistrements d'utilisateurs ont été extraits du site de torrents hongrois connu sous le nom de Teracod. Les données ont ensuite été découvertes en cours de partage par torrent et comprenaient des adresses e-mail, des mots de passe, des messages privés entre membres et l'historique d'appairage des adresses IP utilisant le service.
En février 2016, le portail et service de messagerie russe KM.RU a été la cible d'une attaque qui a ensuite été détaillée sur Reddit. Protestant prétendument contre « la politique étrangère de la Russie à l'égard de l'Ukraine », KM.RU faisait partie de plusieurs sites russes touchés par la fuite et a impacté près de 1,5 M de comptes…
En février 2016, le mod de simulation de camionnage en ligne TruckersMP a subi une fuite de données qui a exposé 84 000 comptes utilisateurs. Pour la première fois sur « Have I Been Pwned », les données compromises ont été soumises directement par l'organisation elle-même victime de la fuite.
Vers février 2016, des données prétendument obtenues auprès de V-Tight Gel (gel de resserrement vaginal) ont fait surface. Bien que l'ensemble de données ait été intitulé V-Tight, il contenait 50 autres noms de domaine (majoritairement liés au bien-être), pour la plupart détenus par la même entité.
En janvier 2016, le monde virtuel en ligne connu sous le nom d'Onverse a été piraté et 800 000 comptes ont été exposés. Outre des adresses e-mail et IP, le site a également exposé des hachages de mots de passe MD5 salés.
Mi-2015, le site Minecraft néerlandais ServerPact a été piraté et 73 000 comptes ont été exposés. Outre des dates de naissance et des adresses e-mail et IP, le site a également exposé des hachages de mots de passe SHA1 utilisant le nom d'utilisateur comme sel.
En décembre 2015, le service de création et d'exécution de serveurs Minecraft gratuits connu sous le nom d'Aternos a subi une fuite de données qui a touché 1,4 million d'abonnés. Les données comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe hachés.
En novembre 2015, un service d'Ancestry connu sous le nom de RootsWeb a subi une fuite de données. La fuite n'a été découverte qu'à la fin de 2017, lorsqu'un fichier contenant près de 300 000 adresses e-mail et mots de passe en texte clair a été identifié.
En octobre 2015, le site de torrents Mac-Torrents a été piraté et près de 94 000 noms d'utilisateur, adresses e-mail et mots de passe ont été divulgués. Les mots de passe étaient hachés en MD5 sans sel.
Entre la mi et la fin 2015, une liste de spam connue sous le nom de Special K Data Feed a été découverte, contenant près de 31 millions d'identités. Les données incluent des attributs personnels tels que des noms, des adresses physiques et IP, des genres, des dates de naissance et des numéros de téléphone. En savoir plus sur les listes de spam dans HIBP.
En août 2015, le site de partage et de marque-pages de vidéos sociales MyVidster a été piraté et près de 20 000 comptes ont été divulgués en ligne. La fuite comprenait des noms d'utilisateur, des adresses e-mail et des mots de passe hachés.
En juillet 2015, la société de sécurité italienne Hacking Team a subi une fuite de données majeure qui a entraîné la publication en ligne de plus de 400 Go de ses données via un torrent. Les données consultables sur « Have I Been Pwned? » proviennent des 189 Go de dossiers de courrier PST contenus dans le dump.
En juillet 2015, le dépôt Cydia connu sous le nom de myRepoSpace a été piraté et les données des utilisateurs divulguées publiquement. Cydia est conçu pour faciliter l'installation d'applications sur des appareils iOS jailbreakés.
Début 2015, une liste de spam connue sous le nom de SC Daily Phone a fait surface, contenant près de 33 millions d'identités. Les données incluent des attributs personnels tels que des noms, des adresses physiques et IP, des genres, des dates de naissance et des numéros de téléphone. En savoir plus sur les listes de spam dans HIBP.
Vers mars 2015, l'hébergeur web gratuit 000webhost a subi une fuite de données majeure qui a exposé près de 15 millions de dossiers clients. Les données ont été vendues et échangées avant que 000webhost ne soit alerté en octobre. La fuite comprenait des noms, des adresses e-mail et des mots de passe en clair.
En décembre 2014, l'organisation d'e-sport connue sous le nom de Team SoloMid a été piratée et 442 000 comptes de membres ont été divulgués. Les comptes comprenaient des adresses e-mail et IP, des noms d'utilisateur et des condensats salés de mots de passe.
En mai 2014, l'entreprise de gestion de liens Bitly a annoncé avoir subi une fuite de données. La fuite contenait plus de 9,3 millions d'adresses e-mail uniques, de noms d'utilisateur et de mots de passe hachés, la plupart utilisant SHA1 et un petit nombre utilisant bcrypt.
En mars 2014, le service de booter Quantum Booter (également appelé Quantum Stresser) a subi une fuite qui a entraîné la divulgation de sa base de données interne.
Un vidage de données de près de 100 millions de comptes du portail Internet russe Rambler — souvent appelé « le Yahoo russe » — a refait surface à des fins d'échange en 2016, exposant environ 91 millions de noms d'utilisateur uniques et des mots de passe stockés en clair.
En janvier 2014, à peine une semaine après que Gibson Security a détaillé des vulnérabilités dans le service, Snapchat a vu 4,6 millions de noms d'utilisateur et de numéros de téléphone exposés.
En août 2012, le site de mode Lookbook a subi une fuite de données. Les données sont ensuite apparues en vente en juin 2016 et comprenaient 1,1 million de noms d'utilisateur, d'adresses e-mail et IP, de dates de naissance et de mots de passe en clair.
En octobre 2017, le service de commentaires de blog Disqus a annoncé avoir subi une fuite de données. La fuite remontait à juillet 2012 mais n'a été identifiée que des années plus tard, lorsque les données ont finalement refait surface. La fuite contenait plus de 17,5 millions d'adresses e-mail et de noms d'utilisateur uniques.
Vers 2012, le service de messagerie chinois connu sous le nom de 126 aurait subi une fuite de données ayant touché 6,4 millions d'abonnés. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
En décembre 2011, le site de rencontres chinois connu sous le nom de Zhenai.com a subi une fuite de données qui a touché 5 millions d'abonnés. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En 2011, Sony a subi fuite sur fuite sur fuite — ce fut une très mauvaise année pour l'entreprise. Les fuites ont touché divers secteurs de l'activité, allant du réseau PlayStation jusqu'à la branche cinématographique, Sony Pictures.
Mi-2011, le service de messagerie instantanée russe connu sous le nom de QIP (Quiet Internet Pager) a subi une fuite de données. L'attaque a entraîné la divulgation de plus de 26 millions de comptes uniques, dont des adresses e-mail et des mots de passe, les données apparaissant finalement publiquement des années plus tard.
En mai 2010, le service de portefeuille électronique connu sous le nom de Neteller a subi une fuite de données qui a exposé plus de 3,6 millions de clients. La fuite n'a été découverte qu'en octobre 2015 et comprenait des noms, des adresses e-mail, des adresses postales et des soldes de comptes.
À un moment donné en 2009, le service de portefeuille électronique connu sous le nom de Money Bookers a subi une fuite de données qui a exposé près de 4,5 millions de clients. Aujourd'hui appelée Skrill, la fuite n'a été découverte qu'en octobre 2015 et comprenait des noms, des adresses e-mail, des adresses postales et des adresses IP.