Après l'échec des négociations, le groupe d'extorsion ShinyHunters a publié des données qu'il affirme avoir volées dans les systèmes Salesforce et SharePoint de Baker Distributing, exposant plus de 100 000 adresses e-mail de clients et enregistrements de contact.
En mai 2026, le service de triche pour GTA V et CS2 Atlas Menu a subi une fuite de données. Un attaquant a affirmé avoir obtenu l'accès à tous les systèmes d'Atlas et a publié la base de données du service dans un dépôt GitHub public.
Fin mai 2026, une base commerciale B2B attribuée au distributeur français de produits bio Nature & Cie a été diffusée sur un forum cybercriminel, exposant environ 5 635 magasins, plus de 1 500 contacts professionnels et près de 1 500 comptes-rendus de visites liés à des partenaires Biocoop, Naturalia et La Vie Claire.
Camping-Car Plus, e-commerçant français d’accessoires pour camping-cars et vans aménagés, a informé ses clients en mai 2026 d’une fuite de données exposant noms, adresses postales et e-mail, numéros de téléphone et identifiants de connexion avec mots de passe ; aucune donnée bancaire n’est concernée.
Le 22 mai 2026, une base de données contenant les informations personnelles d'environ 5,9 millions de clients de l'enseigne d'optique Atol Mon Opticien a été mise en vente sur un forum cybercriminel, exposant noms, dates de naissance, e-mails, téléphones et adresses postales.
Le 22 mai 2026, une base de données contenant prétendument 5 924 215 fiches clients de la coopérative d'opticiens française Atol a été mise en vente sur un forum cybercriminel, exposant noms, dates de naissance, adresses postales, e-mails et numéros de téléphone.
Le 22 mai 2026, une base de données contenant les fiches d’environ 218 000 clients d’Auchan Optique — noms, dates de naissance, adresses postales, numéros de téléphone et identifiants de compte — a été mise en vente sur un forum cybercriminel, dans le cadre d’une vague coordonnée de fuites visant les opticiens français.
Le 22 mai 2026, une base de données attribuée à l’enseigne d’optique française Jimmy Fairly a été mise en vente sur un forum cybercriminel, exposant les données personnelles de plus de 357 000 clients : noms, adresses postales complètes, e-mails et dates de naissance.
Le 13 mai 2026, un acteur malveillant connu sous le pseudonyme ChimeraZ a publié sur un forum cybercriminel un fichier JSON d'environ 1 Mo censé contenir près de 5 500 profils clients du commerçant français de matériel informatique Akitatek, exposant noms, adresses postales et numéros de téléphone.
En mai 2026, une base de données attribuée à la marque française de dermo-cosmétique Nuhanciam a été repérée sur un forum cybercriminel, exposant plus de 156 000 enregistrements clients : noms, e-mails, dates de naissance, adresses postales, téléphones et mots de passe hachés.
Le 10 mai 2026, une base de 187 927 enregistrements attribuée à la parfumerie de niche parisienne Kams Paris a été mise en vente sur un forum cybercriminel, exposant noms, adresses postales, téléphones, dates de naissance et IBAN de clients.
Le 8 mai 2026, le e-commerçant français de cigarettes électroniques Arsène Valentin a révélé qu’un code malveillant injecté sur son site avait exposé des données clients — noms, e-mails, adresses postales, téléphones, dates de naissance et historique de commandes ; l’incident a été signalé à la CNIL.
Le 8 mai 2026, la chaîne de boulangeries Boulangerie Ange a confirmé une fuite de données exposant les noms, numéros de téléphone et villes d'environ 812 000 clients inscrits à ses services numériques, après qu'un jeton d'authentification exposé a permis d'accéder à sa base via l'API.
En mai 2026, le groupe de ransomware BravoX revendique une attaque par double extorsion contre Soprolux, distributeur alimentaire français au service des restaurants et clients professionnels, en publiant documents bancaires, mandats SEPA, RIB/IBAN et fichiers clients et fournisseurs pour faire pression sur l'entreprise.
En mai 2026, Bilov — exploitant du réseau français de boulangeries Ange — a révélé une fuite de données exposant les coordonnées personnelles (nom, ville, numéro de téléphone) d'environ 812 000 clients, après qu'un jeton d'authentification actif a permis un accès non autorisé à une API.
Le 6 mai 2026, un acteur malveillant utilisant le pseudonyme Lagui a publié une base de 367 462 clients du programme de fidélité Leroy&moi de Leroy Merlin France — noms, dates de naissance, coordonnées, adresses postales et données de compte — qui auraient été collectées par scraping automatisé de la plateforme Leroy&moi.
Le 4 mai 2026, l'acteur malveillant DumpsecV2 a revendiqué une fuite de données du distributeur automobile français Groupe GCA, exposant les données d'environ 65 000 clients et 2 500 employés, dont noms, coordonnées et informations sur les véhicules (immatriculation, VIN).
En mai 2026, un acteur malveillant utilisant le pseudonyme lowiq a mis en vente une base d'environ 1 223 520 enregistrements attribuée au e-commerçant français i-Run, mais l'entreprise a établi après enquête que ces données ne provenaient pas de ses propres systèmes.
Le 4 mai 2026, un hacker sous le pseudonyme Lagui a mis en ligne une base d’environ 96 000 clients de La Redoute — noms, adresses postales, téléphones, e-mails et historiques de commandes/livraisons — que l’enseigne attribue à un incident de janvier 2026 chez son partenaire logistique Relais Colis.
Un hacker se présentant sous le pseudonyme Cybernox affirme mettre en vente une base de données attribuée au Ministère des Sports, de la Jeunesse et de la
Le 2 mai 2026, une base de données attribuée au site français de cadeaux publicitaires ObjetRama.fr a été publiée par un pirate utilisant l'alias ChimeraZ, exposant environ 209 000 enregistrements de commandes et de factures liés à près de 80 000 clients distincts.
Le 1er mai 2026, une base de données de 543 124 enregistrements clients attribuée à boutique-jourdefete.com — la boutique en ligne de l'enseigne française de fournitures de fête Jour de Fête — a été publiée sur un forum cybercriminel, exposant noms, e-mails, adresses postales, téléphones et jetons de connexion.
Le 1er mai 2026, une base de données attribuée au site e-commerce français Madeindesign.com a été publiée sur un forum cybercriminel par un acteur malveillant connu sous le nom de ChimeraZ, exposant environ 464 000 comptes clients dans un fichier JSON d'environ 205 Mo ; l'entreprise n'a pas confirmé officiellement la fuite.
Le 27 avril 2026, la marque française de lunettes écoresponsables vendues en ligne L’Opticienne Verte a été citée dans une fuite de données non vérifiée portant sur 13 039 enregistrements clients — noms, e-mails, téléphones, adresses postales et dates de naissance ; l’entreprise conteste toute intrusion.
Le 25 avril 2026, une fuite de données confirmée a exposé des données personnelles de clients — noms, adresses email, numéros de téléphone, adresses postales et mots de passe hashés — du distributeur français de carrelage et décoration céramique Céram Décor.
En avril 2026, la coopérative de distribution Système U a révélé une compromission de son espace fidélité magasins-u.com : des attaquants ont obtenu un accès non autorisé à des comptes clients, exposant noms, coordonnées et numéros de carte de fidélité, mais aucune donnée bancaire.
Le 23 avril 2026, un attaquant affirme avoir compromis le site interne de la boulangerie La Mie Câline de Biscarrosse (France) et diffusé une base de données clients locale ainsi que des identifiants administrateur sur un forum cybercriminel.
Le 22 avril 2026, la marque néerlandaise de cosmétiques et parfums d’intérieur Rituals a révélé un téléchargement non autorisé de sa base d’adhérents fidélité, exposant noms, dates de naissance, sexe, adresses postales et email et numéros de téléphone ; aucun mot de passe ni donnée de paiement n’a été touché.
En avril 2026, la coopérative de distribution Magasins U a informé les détenteurs d'une carte de fidélité qu'un accès non autorisé à l'espace client magasins-u.com avait exposé des données personnelles (identité, coordonnées, numéro de carte de fidélité), les données bancaires n'étant pas concernées.
Le 18 avril 2026, l'acteur malveillant ChimeraZ a revendiqué la publication d'une base de données clients dérobée à Comptoir du Rêve, librairie toulousaine spécialisée dans la BD et le manga, contenant 42 606 enregistrements liés à 38 085 individus.
Le site marchand JeuJouet.com a informé ses clients par email après une cyberattaque touchant la plateforme e-commerce Magento, utilisée par de nombreux
Le 18 avril 2026, la marque française de jouets et de puériculture Moulin Roty a alerté ses clients par email qu'une cyberattaque visant sa plateforme e-commerce Magento mutualisée pouvait avoir exposé identité, contact, identifiants de compte, historique d'achats et préférences marketing, sans compromission confirmée et sans atteinte aux données bancaires.
Le 17 avril 2026, la boutique en ligne Bazar du Manga a confirmé que des données d'identité et de contact de ses clients avaient été extraites sans autorisation de sa base, puis exploitées par un tiers, Panda Manga, à des fins de démarchage ; aucune donnée bancaire n'était concernée.
Le 17 avril 2026, le site e-commerce de la librairie française ComptoirDuReve.fr aurait subi une fuite de données exposant une base de près de 42 000 clients, dont noms, civilités et adresses postales complètes exploitables pour des fraudes ciblées.
Le distributeur français de jouets en ligne JeuJouet.com a alerté ses clients en avril 2026 après la compromission de sa plateforme e-commerce Magento dans une campagne d'exploitation massive, exposant potentiellement noms, e-mails, identifiants de compte et commandes ; aucune donnée bancaire concernée.
Le 11 avril 2026, une base présentée comme un export français de véhicules d’occasion portant sur 70 551 véhicules, ainsi que les acheteurs et fournisseurs qui y figurent, a été mise en avant dans une fuite revendiquée mais non vérifiée.
Le 10 avril 2026, le distributeur français de hi-fi et home-cinéma Son-Video.com (et sa marque sœur EasyLounge) a notifié à ses clients une fuite de données consécutive à un accès non autorisé, exposant noms, coordonnées, adresses postales et historique de commandes, mais ni données bancaires ni mots de passe.
Les personnes ayant passé le DCL (Diplôme de Compétence en Langue) seraient concernées, selon la revendication, par la mise en vente d’un fichier contenant les données personnelles de 93 061…
En avril 2026, 7-Eleven a été victime d'une campagne d'extorsion « payer ou divulguer » menée par ShinyHunters, les données ayant été publiées plus tard dans le mois. L'incident a exposé 185 000 adresses e-mail uniques, ainsi que des noms, des adresses postales, des dates de naissance et des numéros de téléphone.
En avril 2026, une base de plus de 820 000 comptes clients d'Alltricks (environ 105 Mo) a été mise en vente sur des forums du dark web, exposant noms, e-mails, dates de naissance, adresses postales, numéros de mobile et données de fidélité ; l'enseigne conteste que les données proviennent de ses systèmes.
Le 4 avril 2026, Or en Cash, acteur français du rachat et de la revente d’or, a confirmé une fuite de données exposant les informations personnelles de plus de 70 000 clients — identités, pièces d’identité, coordonnées et historique de transactions — quelques jours après une attaque similaire visant Gold Union.
En avril 2026, le négociant français de métaux précieux Gold Union a subi une fuite de données exposant les dossiers de plus de 126 000 clients (2023-2026) : identités, adresses, historiques de transactions, IBAN et environ 6 000 copies de pièces d’identité.
Under Armour a confirmé une fuite causée par le groupe de rançongiciel Everest, exposant environ 72,7 millions d’adresses e-mail clients ainsi que noms, dates de naissance, genres, localisations et historiques d’achat, diffusés publiquement après l’échec de l’extorsion et touchant désormais les clients français.
En mars 2026, Hallmark a subi une prétendue fuite suivie d'une extorsion après que des attaquants ont accédé à des données stockées dans Salesforce. Les données ont ensuite été publiées une fois le délai d'extorsion dépassé, exposant 1,7 million d'adresses e-mail uniques couvrant à la fois Hallmark et le service de streaming Hallmark+…
Fin mars 2026, le cybermarchand français de cigarettes électroniques Le Petit Vapoteur a été victime d'une fuite de données après qu'un pirate utilisant le pseudonyme « undef » a mis sa base clients en vente, exposant noms, e-mails, téléphones, adresses postales et journaux d'IP pour 3,3 millions de clients et 599 employés revendiqués, couvrant la période 2012-2026.
Le 23 mars 2026, le spécialiste français de la vente de pneus en ligne Allopneus a subi une cyberattaque visant le logiciel de gestion de son service de montage à domicile, exposant les données de 453 299 clients uniques réparties sur 739 316 enregistrements (2014-2026) ; aucune donnée bancaire ni mot de passe n'a été compromis.
En mars 2026, le détaillant français d'airsoft en ligne Airsoft-Entrepot a subi une fuite de données exposant environ 363 000 clients et 2,9 millions de commandes couvrant 2013-2026, dont noms, e-mails, adresses postales, numéros de téléphone et historiques de commandes mis en vente par un pirate.
Des clients français de la marque de vêtements de luxe Canada Goose ont été touchés par une fuite de données diffusée par le groupe d'extorsion ShinyHunters, le sous-ensemble français comptant 10 816 enregistrements au sein d'un corpus d'environ 600 000 dossiers clients attribué à un prestataire de paiement tiers.
Le 11 mars 2026, une base de données d'INTERSPORT Rent — l'enseigne de location de skis et de snowboards du groupe de distribution sportive Intersport — a été diffusée sur un forum pirate, exposant environ 1,2 million de lignes correspondant à près de 476 282 clients uniques : noms, e-mails, téléphones, numéros de fidélité et historiques de location.
Le 8 mars 2026, une fuite de données a été revendiquée contre la marque française de prêt-à-porter et de denim Le Temps des Cerises, exposant prétendument les données personnelles d'environ 800 000 clients ayant commandé sur son site.
Le 4 mars 2026, un acteur malveillant a affirmé avoir divulgué environ 8 220 comptes clients d'Au Brouillon de Culture, une librairie de longue date à Nice qui vend aussi des livres via sa boutique en ligne.
Le 3 mars 2026, le service français de livraison de fleurs Florajet a confirmé un accès non autorisé à son outil BtoB après la mise en vente de 1 457 473 commandes (2023-2026, ~136 Go), exposant noms, adresses postales complètes, ~952 000 numéros de téléphone et des messages d'accompagnement intimes.
En février 2026, Unibail-Rodamco-Westfield a révélé un accès non autorisé à une base de données contenant les noms, e-mails, numéros de téléphone, codes postaux et dates de naissance des membres du programme Westfield Club et des abonnés à la newsletter ; aucune donnée financière ni mot de passe n'a été exposé.
Les clients de l'Olympique de Marseille seraient concernés par une fuite revendiquée touchant près de 400 000 personnes, selon la revendication. La publication annonce la mise en vente d'une base…
L'enseigne française de vêtements pour la famille Cyrillus a signalé une fuite de données clients provenant d'un de ses prestataires tiers, détectée le 13 février 2026 et confirmée d'après les éléments rendus publics ; le nombre exact de clients concernés n'a pas été divulgué.
Les données clients de l'enseigne française de prêt-à-porter féminin Grain de Malice ont été exposées en février 2026 via la compromission de son prestataire omnicanal Socloz, divulguant noms, adresses e-mail et numéros de téléphone au sein d'un jeu de données pouvant atteindre ~31 millions d'enregistrements.
Le 9 février 2026, un acteur malveillant a publié un export revendiqué de base CRM d'un réseau de concessions Renault du Sud-Est (PACA), exposant environ 12 143 fiches clients incluant noms, coordonnées, adresses et informations sur les véhicules.
La compromission d'un outil tiers de gestion des rendez-vous du service de conception de cuisines de Darty a exposé les données personnelles et de projet de 79 164 clients français — noms, adresses postales, e-mails, téléphones et budgets cuisine — sans mots de passe ni données bancaires.
Le 27 janvier 2026, la marketplace B2B française d'équipements Techni-Contact a été touchée par une fuite confirmée de données clients, avec un corpus d'environ 5,88 millions de lignes exposant des coordonnées et informations de compte.
Le 25 janvier 2026, un acteur malveillant a revendiqué la fuite de données de commandes de clients de la coopérative française de livres d'occasion Livrenpoche (Livre en Poche), avec environ 683 936 lignes touchées ; la revendication n'est pas confirmée par l'entreprise.
En janvier 2026, des données prétendument issues du détaillant automobile américain CarMax ont été publiées en ligne à la suite d'une tentative d'extorsion infructueuse. Les données comprenaient 431 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses postales.
En janvier 2026, la plateforme de recherche automobile et d'achat de voitures Edmunds a été référencée par le groupe de piratage ShinyHunters comme ayant été compromise. Les données prétendument obtenues lors de l'incident ont ensuite été publiées publiquement et comprenaient 178 000 adresses e-mail uniques, noms d'utilisateur, mots de passe, adresses IP, numéros de téléphone…
Le 24 janvier 2026, une base de données clients de la marque française de bijoux en argent Guiot de Bourg, portant sur environ 90 000 comptes e-commerce, a circulé en ligne, exposant noms, e-mails, dates de naissance, mots de passe hachés et métadonnées de commande/paiement.
Le 23 janvier 2026, une base clients de Grand Froid, société française de livraison de surgelés à domicile (Saint-Nabord, Vosges), a été diffusée en ligne, exposant noms, adresses postales et dates de commande des clients.
Delko, réseau français de réparation et de pièces détachées automobiles en franchise, a été visé par le groupe de rançongiciel Sinobi vers décembre 2025 ; le gang a publié l'entreprise sur son site de fuites le 5 janvier 2026, revendication relayée aux clients et publiquement le 20 janvier 2026.
En janvier 2026, la marque de vêtements de sport Under Armour a été victime d'une fuite de données après que le gang de rançongiciel Everest a publié en ligne environ 72,9 millions de fiches clients dérobées, dont près de 6,7 millions de personnes en France, exposant noms, e-mails, dates de naissance et historiques d'achat.
Le 17 janvier 2026, un acteur malveillant a mis en vente une base de données prétendument dérobée au distributeur français de fournitures et de matériel informatique iOBURO, revendiquant 93 746 enregistrements clients ; cette revendication reste non vérifiée par l'entreprise.
Le 17 janvier 2026, un acteur malveillant a revendiqué la fuite d'une base de données clients de Wobz (ex Dalvin) d'environ 134 209 enregistrements, exposant noms de clients et d'entreprises, adresses e-mail, clés de sécurité internes et identifiants de paiement GoCardless.
Les clients de StorePasCher sont concernés par une fuite revendiquée touchant 43 366 comptes, selon la revendication. Le cas concerne le site e‑commerce StorePasCher, qui propose des ventes en ligne…
Les clients de LBP Granville seraient concernés par une fuite de données, selon la revendication. Le volume annoncé dépasse les 3,6 millions de lignes et la mise en vente est évoquée le 15 janvier…
Le 15 janvier 2026, l'éditeur français de livres jeunesse et pédagogiques Lire Demain (groupe Auzou) a subi une fuite de données exposant les coordonnées et l'historique de commandes d'environ 4 616 clients.
Le 12 janvier 2026, l'enseigne française de streetwear et de sneakers Blackstore a vu fuiter une base de données clients exposant les informations personnelles et de commande de 101 979 personnes : noms, adresses e-mail, numéros de téléphone, magasins et données de commande.
Les clients d'Audiophonics.fr seraient concernés, selon la revendication, par une fuite portant sur une base annoncée d'environ 115 000 utilisateurs. Le site visé est une boutique en ligne…
Un cybercriminel a mis en vente sur un forum de piratage une base clients dérobée à l'enseigne d'occasion EasyCash, exposant environ 14 millions d'enregistrements — noms, dates de naissance, adresses postales, numéros de téléphone et adresses email — extraits semble-t-il via un compte interne/partenaire compromis.
Le 6 janvier 2026, une base de 5 304 clients du salon de coiffure parisien Loft by Denis (rue des Moines) a été publiée sur BreachForums, exposant noms, numéros de mobile, adresses e-mail, nombre de visites et dates de profil.
Le 28 déc. 2025, le e-commerçant français Batteriedeportable (Aubagne) a révélé une cyberattaque de novembre ayant exposé l'identité et les coordonnées de clients — nom, date de naissance, adresses postale/e-mail et numéros de téléphone. Il revendique plus d'un million de clients européens.
Le 26 décembre 2025, une base de données clients de la boutique en ligne française Nouvelle Lune a fuité, exposant les données personnelles d'environ 161 clients, dont noms, adresses email et postales, et historique de commandes.
Le 17 décembre 2025, une fuite de données clients de l'enseigne française de parapharmacie Parashop a été révélée, exposant des informations personnelles dont les nom et prénom, la date de naissance et l'adresse postale.
En décembre 2025, des données prétendument issues du service de streaming musical indien « Raaga » ont été mises en vente sur un forum de piratage populaire. Les données contenaient 10 millions d'adresses e-mail uniques ainsi que des noms, des sexes, des âges (dans certains cas, la date de naissance complète), des codes postaux et des mots de passe stockés sous forme de MD5 sans sel…
Le 12 décembre 2025, les données clients du distributeur français de volets roulants et de domotique Euromatik ont été exposées : noms, adresses postales et électroniques, numéros de téléphone, données de commande et de contrat, et mots de passe chiffrés.
En décembre 2025, l'enseigne de cuisines Cuisinella (Schmidt Groupe) a révélé qu'un tiers non autorisé avait accédé aux coordonnées de milliers de clients — civilité, prénom, nom, numéro de téléphone et adresse email ; aucune donnée bancaire, postale ni mot de passe n'a été exposé.
Début décembre 2025, le groupe français de cuisines et d'ameublement Schmidt (marques Schmidt et Cuisinella) a révélé qu'un tiers non autorisé avait accédé aux coordonnées de milliers de clients et prospects — civilité, nom, prénom, numéro de téléphone et adresse email.
En décembre 2025, l'enseigne de bricolage Leroy Merlin a révélé une cyberattaque ayant exposé les données du programme de fidélité de plusieurs centaines de milliers de clients français : noms, coordonnées, adresses postales et dates de naissance ; aucune donnée bancaire ni mot de passe n'a été touché.
Un ancien employé de Coupang a accédé aux données personnelles de 33,7 millions de comptes clients de la plus grande plateforme e-commerce de Corée du Sud. Coupang a annoncé un plan d'indemnisation de 1,17 milliard de dollars ; le responsable de son e-commerce coréen a démissionné.
En novembre 2025, Murfy, entreprise française de réparation et de reconditionnement d'électroménager, a révélé une fuite de données exposant les informations personnelles d'environ 294 000 clients — noms, adresses email et postales, téléphones et historique de réparations — mais aucune donnée bancaire ni mot de passe.
En novembre 2025, le groupe de rançongiciel Everest a affirmé avoir volé 343 Go de données au fabricant de vêtements Under Armour. Aucune rançon n'ayant été payée, les données client ont été divulguées en janvier 2026, exposant environ 72,7 millions d'adresses e-mail uniques avec noms, dates de naissance, genres, localisations et historiques d'achat. Cet incident est distinct de la fuite MyFitnessPal de 2018.
Le 27 octobre 2025, l'enseigne italienne de canapés et de meubles Poltronesofà a subi une attaque par rançongiciel qui a chiffré ses serveurs et exposé les données personnelles de milliers de clients : noms, adresses postales, e-mails, numéros de téléphone et numéros fiscaux ; aucune donnée bancaire n'a été touchée.
En octobre 2025, le détaillant de mode espagnol Mango a révélé qu'un prestataire marketing externe avait été compromis, exposant les prénom, pays, code postal, adresse e-mail et numéro de téléphone de clients ; aucun mot de passe ni donnée bancaire n'était concerné.
Les opérateurs du rançongiciel Qilin ont chiffré des serveurs dans les centres de données japonais d'Asahi, paralysant les commandes, les expéditions et la production dans 30 usines, exfiltrant 27 Go de données internes et exposant les informations personnelles d'environ 1,5 million de clients, employés et contacts.
Le groupe français de cosmétique de luxe Clarins a confirmé en septembre 2025 que le groupe d'extorsion Everest avait exfiltré les coordonnées de clients en France, aux États-Unis et au Canada ; l'acteur revendique plus de 600 000 enregistrements, sans données bancaires.
En août 2025, la « place de marché qui met en relation les artistes avec des clients potentiels » Artists&Clients a subi une fuite de données suivie d'une demande de rançon de 50 000 dollars US.
En août 2025, le distributeur français Auchan a révélé une fuite exposant les données personnelles de plusieurs centaines de milliers de clients du programme de fidélité Waaoh — civilité, nom, prénom, adresses postale et e-mail, téléphone et numéro de carte ; ni données bancaires ni codes PIN n'étaient concernés.
En août 2025, le système d'emailing Sendinblue/Brevo du cybermarchand français de cycles et de sport Alltricks a été compromis ; les pirates ont envoyé aux clients des e-mails de phishing depuis l'infrastructure de la marque, exposant noms, adresses e-mail et historique d'achat.
En août 2025, le bijoutier danois Pandora a révélé une compromission d'une plateforme CRM tierce (Salesforce) au cours de laquelle des attaquants ont dérobé des données de contact clients — noms, adresses email et dates de naissance — sans accès, selon l'entreprise, aux mots de passe ni aux données bancaires.
Le groupe de rançongiciel DragonForce a revendiqué une attaque de juillet 2025 contre la chaîne française de pressing 5àSec, exfiltrant environ 290 Go de données — bases SQL de production et de test couvrant les entités France, Suisse, Luxembourg, Espagne et Portugal — puis les a publiées après le refus de paiement.
En juillet 2025, la maison de luxe française Louis Vuitton a révélé qu’un tiers non autorisé avait accédé à des données clients — noms, coordonnées, adresses postales, dates de naissance et historique d’achats — dans le cadre d’une fuite mondiale touchant des clients en France, en Corée du Sud et ailleurs ; aucune donnée de paiement n’a été exposée.
En juin 2025, le joaillier de luxe Cartier (groupe Richemont) a révélé une fuite de données : des attaquants ont accédé à des fichiers clients — noms, adresses courriel et pays de résidence — sans qu'aucun mot de passe ni donnée bancaire ne soit exposé.
Le 3 juin 2025, une base de données clients de Kaviari, maison parisienne de caviar et de produits de la mer haut de gamme, a été signalée comme divulguée, exposant noms, coordonnées, dates de naissance, identifiants de compte et historiques de commandes.
Le 13 mai 2025, la maison de luxe Christian Dior Couture (LVMH) a commencé à notifier ses clients — d'abord en Asie — qu'une intrusion découverte le 7 mai avait exposé noms, coordonnées, historiques d'achat et préférences marketing ; aucune donnée bancaire n'était concernée.
En avril 2025, l'enseigne française d'occasion Easy Cash a révélé une fuite exposant les noms, prénoms et dates de naissance d'environ 92 000 clients, à la suite de la compromission d'un poste informatique en magasin.
L'ingénierie sociale d'un service d'assistance tiers a permis à Scattered Spider d'obtenir un compte administrateur de domaine, utilisé pour déployer le rançongiciel DragonForce sur le parc VMware ESXi de M&S pendant le week-end de Pâques 2025 — paralysant les paiements sans contact, le Click & Collect et les commandes en ligne pendant plus de six semaines.
En avril 2025, l'enseigne française d'optique et d'audition Alain Afflelou a révélé une fuite causée par une vulnérabilité chez un prestataire CRM tiers, exposant les données personnelles et commerciales de milliers de clients et prospects.
En mars 2025, le distributeur d'articles de sport Intersport s'est fait dérober les données d'environ 3,4 millions de clients via un serveur FTP compromis, mises en vente sur BreachForums : noms, coordonnées, adresses, références PayPal et historique de transactions (aucune donnée bancaire).
Le 17 février 2025, Sport Découverte (sport-decouverte.com), site français de coffrets d'expériences sportives, a été signalé victime d'une fuite : une base d'environ 488 000 comptes clients — noms, dates de naissance, numéros de téléphone et adresses e-mail — exposée.
En février 2025, l'enseigne française de jouets King Jouet a subi une intrusion visant son interface de suivi de commandes en ligne ; un pirate revendiquait 4,3 millions d'enregistrements, mais l'entreprise indique que moins de 25 000 clients de deux magasins ont vu leurs nom, coordonnées et détails de commande exposés.
En février 2025, la société Lexipol, spécialisée dans les systèmes de gestion des politiques de sécurité publique, a subi une fuite de données. Attribuée au groupe autoproclamé « Puppygirl Hacker Polycule », la fuite a exposé un nombre considérable de documents et de fiches utilisateurs qui ont ensuite été publiés publiquement.
En janvier 2025, l'enseigne française Kiabi a révélé une attaque par credential stuffing sur son site de seconde main (secondemain.kiabi.com) ayant exposé les nom, date de naissance, coordonnées et IBAN d'environ 20 000 clients.
Des données clients attribuées au distributeur français Electro Dépôt sont apparues parmi au moins 17 fuites françaises regroupées sur une base ouverte, exposant noms, coordonnées, adresses IP et données de paiement partielles.
En décembre 2024, l'enseigne française d'articles de sport Go Sport a été citée dans des revendications de fuite de données clients sur le dark web ; cette prétendue nouvelle fuite a été démentie, les données provenant d'un fichier « go-sport.com » issu d'une compilation antérieure de fuites françaises.
La base clients de l'enseigne française d'articles de sport Sport 2000 — environ 4,3 millions de personnes — a été dérobée puis diffusée sur des forums et le dark web, exposant noms, coordonnées, dates de naissance et historique d'achats.
Le 12 décembre 2024, le e-commerçant français de matériel informatique Top Achat (groupe LDLC) a révélé une fuite exposant les noms, adresses e-mail et adresses postales de clients ; aucun mot de passe ni donnée bancaire n'était concerné. L'intrusion était liée à un précédent piratage chez sa maison mère LDLC.
Le 10 décembre 2024, le e-commerçant high-tech français LDLC a révélé une fuite de données exposant des informations personnelles (noms, adresses e-mail, numéros de téléphone) de ses clients web et en boutique — potentiellement plusieurs millions de personnes — tout en affirmant qu'aucune donnée financière ou sensible n'était concernée.
La marque française d'ustensiles de cuisine et de pâtisserie Guy Demarle a révélé en décembre 2024 qu'une cyberattaque avait copié une partie de sa base clients, exposant noms, adresses postales, adresses email et numéros de téléphone ; mots de passe et données bancaires non concernés.
Le 19 novembre 2024, le distributeur français Auchan a révélé une fuite touchant son programme de fidélité et exposant les données personnelles de plus de 500 000 clients — noms, coordonnées, date de naissance, composition familiale et informations de carte/cagnotte de fidélité ; aucune donnée bancaire ni mot de passe n'a été affecté.
Le 12 novembre 2024, l'enseigne de surgelés Picard a révélé une attaque par credential stuffing ayant compromis les comptes fidélité d'environ 45 000 clients, exposant des données personnelles et de fidélité ; aucune donnée bancaire n'était concernée et la CNIL a été notifiée.
En octobre 2024, l'application flat earth sun, moon and zodiac créée par Flat Earth Dave s'est révélée divulguer de nombreuses informations personnelles de ses utilisateurs.
En octobre 2024, The Club Penguin Experience (TCPE) a subi une fuite de données. L'incident a exposé les adresses e-mail de plus de 6 000 abonnés ainsi que des noms d'utilisateur, des tranches d'âge, des mots de passe stockés sous forme de condensats bcrypt et, dans certains cas, des indices de mot de passe en clair.
En septembre 2024, une fuite de données provenant du détaillant australien digiDirect a été publiée sur un forum de piratage populaire. La fuite a exposé plus de 300 000 lignes de données, notamment des adresses e-mail et postales, des noms, des numéros de téléphone et des dates de naissance.
Le 10 septembre 2024, l'enseigne française de produits culturels Cultura a révélé qu'une intrusion chez un prestataire informatique tiers commun avait exposé les données personnelles d'environ 1,5 million de clients (nom, coordonnées, historique des commandes) ; mots de passe et données bancaires non touchés.
Dans la nuit du 6 au 7 septembre 2024, l'enseigne française d'électronique Boulanger a subi une fuite de données liée à un prestataire tiers de livraison/informatique commun, exposant les nom, adresse postale, e-mail et numéro de téléphone de plusieurs centaines de milliers de clients ; aucune donnée bancaire n'était concernée.
En septembre 2024, des données de la boutique de cadeaux en ligne allemande schenkYOU ont été mises en vente sur un forum de piratage populaire. Obtenues le mois précédent, les données incluaient 237 000 adresses e-mail uniques ainsi que des noms, des dates de naissance et des hachages de mots de passe SHA-256 salés.
En juillet 2024, des hacktivistes ont publié près de 2 Go de données dérobées à The Heritage Foundation et à son organe de presse, The Daily Signal. Les données contenaient 72 000 adresses e-mail uniques, principalement utilisées pour commenter des articles (avec des noms, des adresses IP et les commentaires laissés) et par des contributeurs…
En juillet 2024, l'enseigne de distribution émiratie LuLu a subi une fuite de données. Les données concernées comprenaient 190 000 adresses e-mail et les numéros de téléphone associés, qui ont ensuite été partagés sur un forum de piratage populaire.
En septembre 2024, des données du service de billetterie Central Tickets ont été publiées publiquement sur un forum de piratage. Les données suggèrent que la fuite s'est produite plusieurs mois plus tôt et a exposé 723 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des adresses IP, des achats et des mots de passe stockés sans sel…
Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.
En juin 2024, le plus grand exploitant de centres commerciaux des Philippines, Robinsons Malls, a subi une fuite de données provenant de son application mobile. L'incident a exposé 195 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des dates de naissance, des genres et la ville et la province de l'utilisateur.
Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.
Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
En avril 2024, 95 000 enregistrements de la boutique de thé T2 ont été publiés sur un forum de piratage populaire. Les données comprenaient des adresses e-mail et postales, des noms, des numéros de téléphone, des dates de naissance, des achats et des mots de passe stockés sous forme de condensats scrypt.
En avril 2024, la marque française de prêt-à-porter Le Slip Français a révélé une fuite de données clients exposant noms, téléphones, adresses postales et e-mail et numéros de commande ; environ 1,5 million d'adresses e-mail et près de 700 000 profils clients complets étaient concernés. Aucun mot de passe ni donnée bancaire n'a été touché.
En 2024, le détaillant de luxe Neiman Marcus s'est fait voler des données depuis son environnement cloud Snowflake via des identifiants dérobés. L'entreprise a déclaré environ 64 000 personnes aux régulateurs, mais le jeu de données fuité a exposé environ 31 millions d'adresses e-mail uniques ainsi que des noms, des coordonnées et des numéros de cartes-cadeaux.
En mars 2024, 1,3 million d'adresses e-mail uniques provenant de Pandabuy, la boutique en ligne d'achat de produits en provenance de Chine, ont été publiées sur un forum de piratage populaire. Les données comprenaient également des adresses IP et physiques, des noms, des numéros de téléphone et des demandes liées aux commandes.
En mars 2024, le forum de fans indépendant Kaspersky Club a subi une fuite de données. L'incident a exposé 56 k adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 ou bcrypt.
En mars 2024, le site web icoachcricket de l'English Cricket a subi une fuite de données qui a exposé plus de 40 000 enregistrements. Les données comprenaient des adresses e-mail et des mots de passe stockés sous forme d'empreintes bcrypt, d'empreintes MD5 salées, ou des deux.
En mars 2024, l'enseigne de discount canadienne Giant Tiger a subi une fuite de données qui a exposé 2,8 millions d'enregistrements clients. Attribuée à un prestataire du distributeur, la fuite comprenait des adresses postales et e-mail, des noms et des numéros de téléphone.
Début mars 2024, le distributeur français d'électronique LDLC a confirmé une fuite de données touchant environ 1,5 million de clients de ses magasins, exposant noms, adresses postales, e-mails et numéros de téléphone, mais aucune donnée bancaire ou sensible.
En février 2024, le site de sondages rémunérés SurveyLama a subi une fuite de données qui a exposé 4,4 millions d'adresses e-mail de clients. L'incident a également exposé des noms, des adresses physiques et IP, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme d'empreintes SHA-1 salées, bcrypt ou argon2.
Fin 2023, la bijouterie en ligne GLAMIRA a subi une fuite de données qu'elle a attribuée à « une personne non autorisée [ayant] brièvement accédé à l'un de nos serveurs ». Les données ont ensuite été publiées sur un forum de piratage populaire et comprenaient 875 000 adresses e-mail, des noms, des numéros de téléphone et des achats.
Fin 2023, le magasin d'électroménager néerlandais Welhof a subi une fuite de données. L'incident a exposé plus de 100 000 adresses e-mail uniques ainsi que des noms, des adresses physiques et le montant des achats effectués.
En février 2024, 200 000 enregistrements Facebook Marketplace prétendument obtenus auprès d'un sous-traitant de Meta en octobre 2023 ont été publiés sur un forum de piratage populaire. Les données contenaient 77 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des identifiants de profil Facebook et des localisations géographiques.
En juin 2023, des données appartenant à la « place de marché n° 1 des entreprises au Royaume-Uni » Rightbiz sont apparues sur un forum de piratage populaire. Comprenant plus de 18 millions de lignes de données, la fuite incluait 65 000 adresses e-mail uniques ainsi que des noms, des numéros de téléphone et des adresses physiques.
En septembre 2023, le détaillant de livres australien Dymocks a annoncé une fuite de données. Les données dataient de juin 2023 et contenaient 1,2 million d'enregistrements avec 836 000 adresses e-mail uniques. La fuite a également exposé des noms, des dates de naissance, des genres, des numéros de téléphone et des adresses postales.
Début 2023, le site web de "masturbation mutuelle" CityJerks a subi une fuite de données qui a exposé 177 000 adresses e-mail uniques. La fuite comprenait également des données du site TruckerSucker, "application de rencontre pour de VRAIS CAMIONNEURS et de VRAIS HOMMES", l'ensemble combiné des données exposant aussi des noms d'utilisateur, des adresses IP, des dates…
En février 2023, The Kodi Foundation a subi une fuite de données qui a exposé plus de 400 000 enregistrements d'utilisateurs. Attribuée à un compte appartenant à « un membre de confiance mais actuellement inactif de l'équipe d'administration du forum », la fuite impliquait que le compte administrateur avait créé une sauvegarde de base de données qui a ensuite été…
Des affiliés de LockBit ont chiffré le plus grand libraire du Canada, mettant le site web et les systèmes de paiement en magasin hors ligne pendant des semaines. Indigo a publiquement refusé la rançon ; LockBit a publié les données personnelles d'employés.
En janvier 2023, le service de réservation de patinoires britannique Planet Ice a subi une fuite de données. L'incident a exposé les données personnelles de 240 000 personnes, dont des adresses e-mail et postales, des numéros de téléphone, des sexes, des dates de naissance et des mots de passe stockés sous forme de hachages MD5.
En janvier 2023, 1,4 million d'enregistrements de la place de marché de véhicules en ligne Autotrader sont apparus sur un forum de piratage populaire. Autotrader a déclaré que les « données en question concernent des annonces anciennes qui étaient généralement accessibles publiquement sur notre site à l'époque et ouvertes à des méthodes de collecte automatisées ».
En novembre 2022, le célèbre forum de piratage « BreachForums » a lui-même été compromis. L'année suivante, l'opérateur du site web a été arrêté et le site saisi par les forces de l'ordre.
En décembre 2022, le site Movie Forums a subi une fuite de données qui a touché 40 000 utilisateurs. La fuite a exposé des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des mots de passe stockés sous forme d'empreintes MD5 salées facilement craquables. Les données ont ensuite été publiées sur un forum de piratage populaire du web visible.
En novembre 2022, le service de commerce électronique marocain Avito a subi une fuite de données qui a exposé les informations personnelles de 2,7 millions de clients. Les données comprenaient le nom, l'e-mail, le téléphone, l'adresse IP et la localisation géographique.
En septembre 2022, la plateforme de partage de photos en ligne ClickASnap a subi une fuite de données. L'incident a exposé près de 3,3 millions de dossiers personnels, dont des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages SHA-512.
En septembre 2022, la place de marché d'échange en jeu Traderie a subi une fuite de données qui a exposé près de 400 000 enregistrements (cet incident a précédé une autre fuite survenue l'année suivante). L'incident a exposé des adresses e-mail et IP, des noms d'utilisateur et des liens vers des profils de réseaux sociaux.
En septembre 2022, le site de commerce en ligne russe Online Trade (Онлайн Трейд) a subi une fuite de données qui a exposé 3,8 millions d'enregistrements de clients. Les données comprenaient des adresses e-mail et IP, des noms, des numéros de téléphone, des dates de naissance et des hachages de mots de passe MD5.
En septembre 2022, plus de 500 000 enregistrements de clients prétendument issus du service de commerce électronique indien Flipkart sont apparus sur un forum de piratage populaire.
En août 2022, le site web de streaming Brand New Tube a subi une fuite de données qui a exposé les informations personnelles de près de 350 000 abonnés. Les données touchées comprenaient des adresses e-mail et IP, des noms d'utilisateur, des genres, des mots de passe stockés sous forme de hachages SHA-1 non salés et des messages privés.
En juillet 2022, le site web pour adultes chinois Hjedd a été découvert en train de divulguer plus de 13 millions d'enregistrements clients, qui sont ensuite apparus sur un forum de piratage populaire. Les données exposées comprenaient des adresses e-mail et IP, des identifiants et des mots de passe stockés sous forme d'empreintes bcrypt.
En juillet 2022, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données, la cinquième depuis décembre 2018. La fuite contenait des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme de hachages argon2. Au total, 529 000 adresses e-mail uniques figuraient dans la fuite.
En juin 2022, la chaîne de magasins de disques japonaise Disk Union a subi une fuite de données. L'incident a exposé 690 000 adresses e-mail uniques ainsi que des noms, des codes postaux, des numéros de téléphone et des mots de passe en clair.
En mai 2022, la plateforme d'influenceurs sur les réseaux sociaux aujourd'hui disparue WiredBucks a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un ensemble de données plus vaste.
En mai 2022, le distributeur australien Amart Furniture a indiqué que sa base de données de réclamations de garantie hébergée sur Amazon Web Services avait été la cible d'une cyberattaque.
En mai 2022, le service de mangas basé à Hong Kong Mangatoon a subi une fuite de données qui a exposé 23 millions d'enregistrements d'abonnés. La fuite a exposé des noms, des adresses e-mail, des sexes, des identifiants de comptes de réseaux sociaux, des jetons d'authentification issus de connexions sociales et des mots de passe stockés sous forme d'empreintes MD5 salées.
En mai 2022, le site web chinois des passionnés de BlackBerry, BlackBerry Fans, a subi une fuite de données qui a exposé 174 000 dossiers de membres. Les données touchées comprenaient des noms d'utilisateur, des adresses e-mail et IP et des mots de passe stockés sous forme de hachages MD5 salés.
Le groupe d'extorsion Lapsus$ a accédé à une partie du code source de Mercado Libre et aux données d'environ 300 000 utilisateurs, affirmant avoir atteint 24 000 dépôts internes du géant latino-américain du commerce électronique et de la fintech.
En janvier 2022, le site web de vidéos non censurées aujourd'hui disparu Leaked Reality a subi une fuite de données qui a exposé 115 k adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 ou phpass.
En janvier 2022, le site français d'actualités Apple MacGeneration a subi une fuite de données. L'incident a exposé plus de 100 000 noms d'utilisateur, adresses e-mail et mots de passe stockés sous forme d'empreintes SHA-512 salées. Après avoir découvert l'incident, MacGeneration a soumis lui-même les données à HIBP.
En janvier 2022, le service de téléversement de fichiers aujourd'hui disparu Sundry Files a subi une fuite de données qui a exposé 274 000 adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme d'empreintes SHA-256 salées.
En décembre 2021, le distributeur indien Aditya Birla Fashion and Retail Ltd a été piraté et a fait l'objet d'une demande de rançon. La demande de rançon aurait été rejetée et des données contenant 5,4 M d'adresses e-mail uniques ont ensuite été publiées le mois suivant sur un forum de piratage populaire.
En octobre 2021, le site de fantasy premier league (football) Fantasy Football Hub a subi une fuite de données qui a exposé 66 000 adresses e-mail uniques. Les données comprenaient des noms, des noms d'utilisateur, des adresses IP, des transactions et des mots de passe stockés sous forme d'empreintes MD5 WordPress.
En octobre 2021, des données du magasin allemand d'articles de fitness Fitmart ont été obtenues puis redistribuées en ligne. Les données comprenaient 214 000 adresses e-mail uniques accompagnées de mots de passe en clair, prétendument « déhachés » à partir de la version stockée d'origine.
En septembre 2021, le bureau d'enregistrement de domaines et hébergeur web Epik a subi une importante fuite de données, prétendument en représailles à l'hébergement de sites web d'extrême droite. La fuite a exposé un énorme volume de données, non seulement des clients d'Epik, mais aussi des enregistrements WHOIS extraits appartenant à des particuliers et organisations qui…
En octobre 2024, près de 20 Go de données contenant 1,3 million d'adresses e-mail uniques provenant du magasin de fournitures pour motos Dennis Kirk ont circulé. Remontant à septembre 2021, les données contenaient également des achats effectués dans la boutique en ligne ainsi que des noms de clients, des numéros de téléphone et des codes postaux.
Fin 2021, des paires d'adresses e-mail et de mots de passe en clair du site de mixtapes de rap DatPiff sont apparues en vente sur un forum de piratage populaire. Les données remonteraient à une fuite antérieure et contenaient au total près de 7,5 millions de paires d'adresses e-mail et de mots de passe craqués.
En août 2021, le site de sous-titrage Open Subtitles a subi une fuite de données suivie d'une demande de rançon. La fuite a exposé les données personnelles de près de 7 millions d'abonnés, comprenant des adresses e-mail et IP, des noms d'utilisateur, le pays de l'utilisateur et des mots de passe stockés sous forme de hachages MD5 non salés.
En juillet 2021, le site de critiques d'applications et de jeux Android AndroidLista a subi une fuite de données. L'incident a exposé 6,6 millions d'enregistrements d'utilisateurs contenant des adresses e-mail, des noms, des noms d'utilisateur et des mots de passe stockés sous forme de hachages SHA-1 salés, qui ont tous été ensuite publiés sur un forum de piratage populaire.
En juillet 2021, le site web britannique Guntrader a subi une fuite de données qui a exposé 112 000 adresses e-mail uniques. De nombreuses informations personnelles ont également été exposées, notamment des noms, des numéros de téléphone, des données de géolocalisation, des adresses IP et divers attributs d'adresses postales (villes pour tous les utilisateurs,…
En juillet 2021, le site web de restaurants indonésien Qraved a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. La fuite a exposé près de 1 million d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme de hachages MD5.
En juillet 2021, la boutique de montres en ligne indonésienne Jam Tangan (alias Machtwatch) a subi une fuite de données qui a exposé plus de 400 000 enregistrements clients, lesquels ont ensuite été publiés sur un forum de piratage populaire.
L'attaque par rançongiciel de REvil contre Kaseya VSA s'est propagée via un prestataire informatique jusqu'aux systèmes de caisse de Coop Suède, forçant la coopérative de supermarchés à fermer environ 800 magasins dans tout le pays.
Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.
Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
En juin 2021, la maison d'édition française de littérature courte Short Édition a subi une fuite de données ayant exposé 505 000 enregistrements. Les données touchées incluaient des adresses e-mail et physiques, des noms, des noms d'utilisateur, des numéros de téléphone, des dates de naissance, des genres et des mots de passe stockés soit sous forme de SHA-1 salés, soit sous forme de SHA-512 salés…
Des affiliés de REvil ont chiffré les systèmes du plus grand transformateur de viande au monde, paralysant des usines de transformation de bœuf et de porc aux États-Unis, au Canada et en Australie. JBS a payé une rançon de 11 millions de dollars — l'un des plus importants paiements de rançongiciel publiquement confirmés à l'époque.
En août 2021, 38 millions d'enregistrements de l'entreprise indienne de commerce électronique IndiaMART ont été trouvés en vente sur un forum de piratage populaire. Datant de plusieurs mois auparavant, les données comprenaient plus de 20 millions d'adresses e-mail uniques ainsi que des noms, numéros de téléphone et adresses physiques.
En avril 2021, le site de triche pour Roblox SirHurt a subi une fuite de données ayant exposé plus de 90 000 enregistrements de clients. Les données exposées incluaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5.
En avril 2021, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données, la quatrième depuis décembre 2018. La fuite a ensuite été vendue sur un forum de piratage rival et contenait des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme de hachages MD5 salés ou argon2.
En avril 2021, le détaillant espagnol Phone House aurait subi une attaque par rançongiciel qui a également exposé d'importants volumes de données de clients. Attribuée au rançongiciel Babuk, une collection de données présentée comme un sous-ensemble d'un corpus plus vaste a été publiée sur un site du dark web et contenait 5,2 millions d'e-mail…
Le gang Babuk a compromis le distributeur de mobiles espagnol The Phone House et divulgué environ 100 Go de données clients — noms, numéros d'identité, coordonnées bancaires et de contact concernant jusqu'à 3 millions de personnes — après le refus de l'entreprise de payer.
En avril 2021, SlideTeam, « la plus grande collection au monde de diapositives de présentation pré-conçues », a vu 1,4 million d'enregistrements compromis, qui ont ensuite été publiés sur un forum de piratage populaire l'année suivante.
En mars 2021, le site de fans de mangas MangaDex a subi une fuite de données qui a entraîné l'exposition de près de 3 millions d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes bcrypt. Les données ont ensuite circulé au sein de groupes de piratage.
En mars 2021, le service d'application de stationnement mobile ParkMobile a subi une fuite de données qui a exposé les données personnelles de 21 millions de clients. Les données touchées comprenaient des adresses e-mail, des noms, des numéros de téléphone, des plaques d'immatriculation de véhicules et des mots de passe stockés sous forme de hachages bcrypt.
En mars 2021, 4 millions d'enregistrements provenant d'IDC Games ont été partagés sur un forum de piratage public. Les données comprenaient des noms d'utilisateur, adresses e-mail et mots de passe stockés sous forme d'empreintes MD5 salées.
En février 2021, le service de réseau social alt-tech Gab a subi une fuite de données. L'incident a exposé près de 70 Go de données, dont 4 millions de comptes utilisateurs, un petit nombre de journaux de discussions privées ainsi qu'une liste de groupes publics et de publications publiques faites sur le service.
En janvier 2023, il a été signalé que la boutique en ligne norvégienne KomplettFritid avait subi une fuite de données remontant à février 2021. L'incident a exposé 140 k fiches clients comprenant des adresses postales, e-mail et IP, des noms, des numéros de téléphone et des mots de passe.
En janvier 2021, la plateforme de réseaux sociaux iranienne désormais disparue Raychat a subi une fuite de données qui a exposé 939 000 adresses e-mail uniques. Les données comprenaient des noms, des adresses IP, des chaînes user-agent de navigateur et des mots de passe stockés sous forme de hachages bcrypt. Les données ont été fournies à HIBP par dehashed.com.
À la mi-2021, Risk Based Security a signalé qu'une base de données provenant de Ducks Unlimited était échangée en ligne. Les données dataient de janvier 2021 et contenaient 1,3 million d'adresses e-mail uniques, réparties entre une liste de membres et une liste d'utilisateurs du site web.
En janvier 2021, le site web indien d'échange de livres Bookchor a subi une fuite de données qui a exposé un demi-million de dossiers clients. Les données exposées comprenaient des adresses e-mail et IP, des noms, des genres, des dates de naissance, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5 non salés.
En janvier 2021, le site de quiz Daily Quiz a subi une fuite de données qui a exposé plus de 8 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés en clair.
En mars 2021, une fuite de données massive a été révélée, touchant des millions de clients d'Adecco en Amérique du Sud, et a ensuite été vendue sur un forum de piratage populaire.
En janvier 2021, le site parodique Windows93 a subi une fuite de données du sous-site Myspace93 après qu'une application bêta a été exploitée pour télécharger des fichiers du serveur.
Début 2023, un corpus de données provenant de l'entreprise de masques néo-zélandaise MEO a été découvert. Datant de décembre 2020, les données contenaient plus de 8 000 enregistrements de clients, dont des noms, des adresses, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes MD5 Wordpress.
En décembre 2020, le site de promotion de livres NetGalley a subi une fuite de données. L'incident a exposé 1,4 million d'adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des adresses postales et IP, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme d'empreintes SHA-1 salées.
En décembre 2020, le prestataire de services pour concessionnaires automobiles DriveSure a subi une fuite de données. L'incident a entraîné le téléchargement de 26 Go de données, partagées ensuite sur un forum de piratage. Les informations personnelles concernées comprenaient 3,6 millions d'adresses e-mail uniques, des noms, des numéros de téléphone et des adresses postales.
En octobre 2020, 17 fuites de données jusqu'alors non divulguées ont été mises en vente, dont celle du service thaïlandais de recherche de restaurants, d'hôtels et d'attractions Wongnai.
En octobre 2020, la plateforme indienne d'épicerie bigbasket a subi une fuite de données qui a exposé plus de 20 millions de dossiers clients. Les données ont d'abord été vendues avant d'être divulguées publiquement en avril de l'année suivante et comprenaient des adresses e-mail, IP et physiques, des noms, des numéros de téléphone, des dates de naissance…
En octobre 2021, une sauvegarde de base de données dérobée au service de partage de modèles 3D Thingiverse a commencé à circuler largement au sein de la communauté de piratage. Datant d'octobre 2020, le fichier de 36 Go contenait 228 000 adresses e-mail uniques, le plus souvent accompagnées de commentaires laissés sur des modèles 3D.
En octobre 2020, le jeu en ligne pour enfants Animal Jam a subi une fuite de données qui a ensuite été partagée le mois suivant au sein de communautés de piratage en ligne. Les données contenaient 46 millions de comptes d'utilisateurs avec plus de 7 millions d'adresses e-mail uniques.
Fin 2020, le site japonais de photos de famille Famm a subi une fuite de données qui a ensuite exposé 1,3 million d'enregistrements clients, dont 535 000 adresses e-mail uniques. Les données concernées comprenaient également des noms, des dates de naissance, des genres et des mots de passe stockés sous forme d'empreintes SHA-256.
En octobre 2020, le fournisseur de VPN LimeVPN a subi une fuite de données qui a exposé les informations personnelles de dizaines de milliers de clients. Les données comprenaient des adresses e-mail, IP et postales, des noms, des numéros de téléphone, des historiques d'achat et des mots de passe stockés sous forme de hachages MD5 salés.
En octobre 2020, l'application d'édition de photos en ligne Pixlr a subi une fuite de données exposant 1,9 million d'abonnés. Les données concernées comprenaient des noms, des adresses e-mail, des profils de réseaux sociaux, le pays d'inscription et des mots de passe stockés sous forme de hachages SHA-512. Les données ont été fournies à HIBP par dehashed.com.
En novembre 2020, un ensemble de fuites de données ont été rendues publiques, dont celle de la « plateforme de réussite entrepreneuriale » GeniusU. Remontant au mois précédent, les données comprenaient 1,3 million de noms, des adresses e-mail et IP, des genres, des liens vers des profils de réseaux sociaux et des mots de passe stockés sous forme d'empreintes bcrypt.
Fin 2020, la plateforme AdTech Eskimi a subi une fuite de données qui a exposé 26 millions d'enregistrements avec 1,2 million d'adresses e-mail uniques. Les données comprenaient des noms d'utilisateur, des dates de naissance, des genres et des mots de passe stockés sous forme d'empreintes MD5 non salées.
En mai 2023, 478 000 enregistrements d'utilisateurs du forum de piratage désormais disparu connu sous le nom de « RaidForums » ont été publiés sur un autre forum de piratage. Les données remontaient à septembre 2020 et comprenaient des adresses e-mail, des noms d'utilisateur, des dates de naissance, des adresses IP et des mots de passe stockés sous forme de hachages Argon2.
En septembre 2020, le site désormais disparu Games Box a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. Les données concernées comprenaient 1,4 million d'adresses e-mail ainsi que des noms d'utilisateur, des genres, des âges et des mots de passe stockés sous forme d'empreinte ou en clair.
En juin 2020, puis à nouveau en septembre de la même année, Horse Isle « The Secrent Land of Horses » a subi une fuite de données. L'incident a exposé 28 000 adresses e-mail uniques ainsi que des noms, noms d'utilisateur, adresses IP, genres, achats et mots de passe en clair.
En septembre 2020, le programme de récompenses cashback ShopBack a subi une fuite de données. L'incident a exposé plus de 20 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, le pays de résidence et des mots de passe stockés sous forme de hachages SHA-1 salés. Les données ont été fournies à HIBP par dehashed.com.
En mars 2023, le « centre commercial en ligne du Canada » Shopper+ a divulgué une fuite de données découverte sur un forum de piratage public. La fuite remontait à septembre 2020 et incluait 878 000 enregistrements de clients avec des adresses e-mail et physiques, des noms, des numéros de téléphone et, dans certains cas, des genres et des dates de naissance.
En septembre 2020, la plateforme de gestion et de réservation hôtelière RedDoorz a subi une fuite de données ayant exposé plus de 5,8 millions de comptes utilisateurs. Les données compromises incluaient des noms, des adresses e-mail, des numéros de téléphone, des genres, des dates de naissance et des mots de passe stockés sous forme de hachages bcrypt.
En août 2020, le détaillant indien Livpure a subi une fuite de données qui a exposé plus d'un million d'achats clients avec 270 mille adresses e-mail uniques. Les données comprenaient également des noms, des numéros de téléphone, des adresses postales et des détails sur les articles achetés.
En août 2020, l'application de suivi d'entraînement Jefit a subi une fuite de données. Les données ont ensuite été vendues au sein de la communauté du piratage et comprenaient plus de 9 millions d'adresses e-mail et IP, de noms d'utilisateur et de mots de passe stockés sous forme d'empreintes vBulletin ou argon2.
En juillet 2020, la plateforme e-commerce française WiziShop a subi une fuite de données. La fuite a exposé 18 Go de données comprenant des noms, des numéros de téléphone, des dates de naissance, des adresses physiques et IP, des hachages de mots de passe SHA-1 et près de 3 millions d'adresses e-mail uniques.
En juillet 2020, le service Minecraft russe StreamCraft a subi une fuite de données qui a ensuite été redistribuée au sein d'un corpus de données plus vaste. Les données comprenaient 1,8 million d'enregistrements de noms d'utilisateur, d'adresses e-mail et IP et de mots de passe stockés sous forme d'empreintes MD5 ou bcrypt.
Vers juillet 2020, le service américain de livraison d'alcool en ligne Drizly a subi une fuite de données. Les données ont été vendues en ligne avant d'être largement redistribuées et contenaient 2,5 millions d'adresses e-mail uniques ainsi que des noms, des adresses postales et IP, des numéros de téléphone, des dates de naissance et…
En juin 2020, le fournisseur de solutions pour la restauration OrderSnapp a subi une fuite de données qui a exposé 1,3 million d'adresses e-mail uniques. Les données touchées comprenaient également des noms, des numéros de téléphone, des dates de naissance et des mots de passe stockés sous forme de hachages bcrypt. Les données ont été fournies à HIBP par dehashed.com.
Mi-2020, la plateforme d'histoires créées par les utilisateurs Wattpad a subi une fuite exposant environ 268,8 millions d'enregistrements, dont des noms, adresses e-mail, dates de naissance et mots de passe hachés en bcrypt. La base a d'abord été vendue en privé, puis diffusée gratuitement sur un forum de piratage.
En juin 2020, le site web de décoration d'intérieur Havenly a subi une fuite de données qui a touché près de 1,4 million de membres du service. Les données exposées comprenaient des adresses e-mail, des noms, des numéros de téléphone, des localisations géographiques et des mots de passe stockés sous forme d'empreintes SHA-1, le tout ayant ensuite été partagé…
En juin 2020, l'entreprise de données d'entraînement pour l'IA Appen a subi une fuite de données exposant les informations de près de 5,9 millions d'utilisateurs, qui ont ensuite été vendues en ligne. La fuite comprenait des noms, des adresses e-mail et des mots de passe stockés sous forme de hachages bcrypt.
En juin 2020, le service de parfums en ligne Scentbird a subi une fuite de données ayant exposé les informations personnelles de plus de 5,8 millions de clients. Des informations personnelles, dont des noms, des adresses e-mail, des genres, des dates de naissance, des mots de passe stockés sous forme de hachages bcrypt et des indicateurs de robustesse des mots de passe, ont été…
En juin 2020, le service brésilien de financement participatif Vakinha a subi une fuite de données qui a touché près de 4,8 millions de membres. Les données exposées comprenaient des adresses e-mail, des noms, des numéros de téléphone, des localisations géographiques et des mots de passe stockés sous forme de hachages bcrypt, le tout ayant ensuite été largement partagé…
En juin 2020, la plateforme de prêt mexicaine yotepresto.com a subi une fuite de données. Plus de 1,4 million de clients ont été touchés par cette fuite qui a divulgué des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes bcrypt. Les données ont été fournies à HIBP par dehashed.com.
En juin 2020, le site de développement web SitePoint a subi une fuite de données ayant exposé plus d'un million d'enregistrements de clients. Les données touchées incluaient des adresses e-mail et IP, des noms, des noms d'utilisateur, des biographies et des mots de passe stockés sous forme de hachages bcrypt.
En juin 2020, la place de marché en ligne d'antiquités LiveAuctioneers a subi une fuite de données qui a ensuite été vendue en ligne puis largement redistribuée au sein de la communauté de piratage.
En mai 2020, le forum de piratage Nulled.ch a été compromis et les données publiées sur un forum de piratage rival. Plus de 43 000 enregistrements ont été compromis, comprenant des adresses IP et e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés, ainsi que l'historique des messages privés de l'administrateur du site.
En décembre 2022, la société de recherche en investissement Zacks a annoncé une fuite de données. Le mois suivant, des rapports ont fait état d'un incident touchant 820 000 clients. Cependant, en juin 2023, un ensemble de données concernant près de 9 millions de clients de Zacks est apparu avant d'être largement diffusé sur un forum de piratage populaire.
En mai 2020, la place de marché en ligne pour artistes indépendants Minted a subi une fuite de données qui a exposé 4,4 millions d'enregistrements de clients uniques, ensuite vendus sur une place de marché du dark web. Les données exposées comprenaient également des noms, des adresses postales, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes bcrypt.
En mai 2020, plus de 1,3 million d'enregistrements du jeu MMO Stalker Online ont été compromis. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe hachés.
En avril 2020, le plus grand site de vente en ligne d'Indonésie, Tokopedia, a été compromis et environ 91 millions de comptes utilisateurs — noms, e-mails, mots de passe hachés et dates de naissance — ont été mis en vente sur des forums du dark web.
En avril 2020, la boutique d'applications Android indépendante Aptoide a subi une fuite de données. L'incident a entraîné l'exposition de 20 millions d'enregistrements de clients qui ont ensuite été partagés en ligne via un forum de piratage populaire.
En avril 2020, la plateforme de commerce électronique brésilienne HomeRefill, aujourd'hui disparue, a subi une fuite de données qui a ensuite été rediffusée dans le cadre d'un corpus de données plus vaste. Les données comprenaient 187 000 adresses e-mail uniques ainsi que des noms, numéros de téléphone, dates de naissance et empreintes de mots de passe salées.
En avril 2020, le forum de détournement de comptes et de SIM swapping OGUsers a subi sa deuxième fuite de données en moins d'un an. Comme lors de la précédente fuite, les données exposées comprenaient des adresses e-mail et IP, des noms d'utilisateur, des messages privés et des mots de passe stockés sous forme de hachages MD5 salés.
En mars 2020, l'entreprise irlandaise de logiciels de gestion de salles de sport Glofox a subi une fuite de données qui a exposé 2,3 millions d'enregistrements d'adhérents. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone, des genres, des dates de naissance et des mots de passe stockés sous forme d'empreintes MD5 sans sel.
En mars 2020, le service d'impression de photos Chatbooks a subi une fuite de données qui a ensuite été mise en vente sur une place de marché du dark web. La fuite contenait 15 millions de dossiers d'utilisateurs avec 2,5 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des profils de réseaux sociaux et des hachages SHA-512 salés…
En juin 2020, 14 fuites de données jusque-là non divulguées sont apparues en vente, dont celle du service de livraison brésilien « James ». La fuite s'est produite en mars 2020 et a exposé 1,5 million d'adresses e-mail uniques, les localisations des clients exprimées en longitude et latitude et des mots de passe stockés sous forme d'empreintes bcrypt.
En mars 2020, le site de photos de banque d'images 123RF a subi une fuite de données qui a touché plus de 8 millions d'abonnés et a ensuite été vendue en ligne. La fuite comprenait des adresses e-mail, IP et postales, des noms, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5. Les données ont été fournies à HIBP par dehashed.com.
Vers mars 2020, le site de recrutement brésilien Catho a été compromis et est ensuite apparu aux côtés de 20 autres sites compromis mis en vente sur une place de marché du dark web. La fuite comprenait près de 11 millions de dossiers avec 1,2 million d'adresses e-mail uniques.
En février 2020, le réseau de marketing d'affiliation Tamodo a subi une fuite de données qui a ensuite été partagée sur un forum de piratage populaire. L'incident a exposé près de 500 000 comptes comprenant des noms, des adresses e-mail, des dates de naissance et des mots de passe stockés sous forme de condensats bcrypt.
En février 2020, le site web de jeux AnimeGame a subi une fuite de données. L'incident a touché 1,4 million d'abonnés et a exposé des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés. Les données ont ensuite été partagées sur un forum de piratage populaire et ont été fournies à HIBP par dehashed.com.
En février 2020, la boutique en ligne de coques pour appareils électroniques grand public Slickwraps a subi une fuite de données. L'incident a entraîné l'exposition de 858 000 adresses e-mail uniques réparties entre des fiches clients et des abonnés à la newsletter.
Début 2020, le site web indonésien d'électronique grand public Bhinneka a subi une fuite de données qui a exposé près de 1,3 million de dossiers clients. Les données comprenaient des adresses e-mail et physiques, des noms, des genres, des dates de naissance, des numéros de téléphone et des hachages de mots de passe salés.
En janvier 2020, l'application mobile permettant de « tout comparer » Wishbone a subi une nouvelle fuite de données faisant suite à celle de 2016. De nombreuses informations personnelles, dont près de 10 millions d'adresses e-mail uniques ainsi que des noms, des numéros de téléphone, des localisations géographiques et d'autres données personnelles…
Début 2020, le service de rencontres en ligne MeetMindful a subi une fuite de données qui a exposé 1,4 million d'adresses e-mail uniques de clients. Les données comprenaient un vaste éventail d'informations personnelles utilisées pour trouver des partenaires amoureux, notamment des attributs physiques, la consommation d'alcool, de drogues et…
En janvier 2020, le créateur d'applications de voyage Ulmon a subi une fuite de données. Le service comptait près de 1,3 million d'enregistrements avec 777 000 adresses e-mail uniques, des noms, des mots de passe stockés sous forme de hachages bcrypt et, dans certains cas, des identifiants de profils de réseaux sociaux, des numéros de téléphone et des biographies.
En janvier 2020, le site de résolution de problèmes mathématiques Mathway a subi une fuite de données qui a exposé plus de 25 millions d'enregistrements. Les données ont ensuite été vendues sur une place de marché du dark web et comprenaient des noms, des identifiants Google et Facebook, des adresses e-mail et des empreintes de mots de passe salées.
En janvier 2020, le détaillant de vêtements en ligne Pampling a subi une fuite de données qui a exposé 383 000 adresses e-mail uniques de clients. Les données ont ensuite été partagées sur un forum de piratage populaire et comprenaient également des noms, des noms d'utilisateur et des hachages de mots de passe MD5 non salés.
En novembre 2019, le site d'actualités technologiques serbe Benchmark a subi une violation de son forum qui a exposé 93 000 dossiers clients. La fuite a exposé des adresses IP et e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En novembre 2019, le site web d'Indian Rail a laissé plus de 2 millions d'enregistrements exposés sur une instance de base de données Firebase non protégée. Les données exposées comprenaient 583 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des mots de passe stockés en clair.
En octobre 2019, le service d'information StarTribune, basé dans le Minnesota, a subi une fuite de données qui a ensuite été vendue sur le dark web. La fuite a exposé plus de 2 millions d'adresses e-mail uniques accompagnées de noms, noms d'utilisateur, adresses physiques, dates de naissance, genres et mots de passe stockés sous forme d'empreintes bcrypt.
En septembre 2019, la boutique de costumes d'Halloween The Halloween Spot a subi une fuite de données. Initialement attribuée à tort à la boutique de déguisements Smiffys, la fuite contenait 13 Go de données avec plus de 10 000 adresses e-mail uniques ainsi que des noms, des adresses postales et IP, des numéros de téléphone et des historiques de commandes.
En septembre 2019, le forum de zoophilie et de bestialité Zooville a subi une fuite de données. Les noms d'utilisateur et les adresses e-mail de 71 000 membres ont été consultés via une vulnérabilité non corrigée du logiciel de forum vBulletin, puis distribués en ligne.
En septembre 2019, le site de torrents polonais AgusiQ-Torrents.pl a subi une fuite de données. L'incident a exposé 90 000 dossiers de membres, dont des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5.
En septembre 2019, le fournisseur de bots RuneScape EpicBot a subi une fuite de données qui a affecté 817 000 abonnés. Les données issues de la fuite ont ensuite été partagées sur un forum de piratage populaire et comprenaient des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme d'empreintes MD5 salées ou bcrypt.
En septembre 2019, le pirate Gnosticplayers a compromis le développeur de jeux Zynga, accédant aux données de près de 173 millions de joueurs de Words With Friends et Draw Something. Les données exposées comprenaient e-mails, noms d'utilisateur, numéros de téléphone et hachages de mots de passe SHA-1 salés.
En 2019, l'application de suivi de sports d'hiver AlpineReplay a subi une fuite de données qui a exposé 900 000 adresses e-mail uniques. Intégrée par la suite au service Trace, la fuite comprenait des noms, des noms d'utilisateur, des genres, des dates de naissance, des poids et des mots de passe stockés sous forme de hachages MD5 non salés ou bcrypt.
En juillet 2019, le site de jeux pour enfants Club Penguin Rewritten (CPRewritten) a subi une fuite de données (remarque : CPRewritten est une recréation indépendante du jeu Club Penguin de Disney).
En juillet 2019, la plateforme d'échange de mode et de baskets StockX a subi une fuite de données qui a ensuite été vendue via une place de marché du dark web. Les données exposées comprenaient 6,8 millions d'adresses e-mail uniques, des noms, des adresses physiques, des achats et des mots de passe stockés sous forme d'empreintes MD5 salées.
En juillet 2019, MGM Resorts a découvert une fuite de données sur l'un de ses services cloud. La fuite comprenait 10,6 millions d'enregistrements de clients avec 3,1 millions d'adresses e-mail uniques remontant à 2017.
En juillet 2019, le site web de piratage Cracked.to a subi une fuite de données. Il y avait 749 000 adresses e-mail uniques réparties entre 321 000 utilisateurs du forum et d'autres tables de la base de données.
En juillet 2019, le site web de piratage BlackSpigotMC a subi une fuite de données. Le site basé sur le forum XenForo aurait été compromis par un site web de piratage rival, ce qui a entraîné la divulgation de 8,5 Go de données, dont la base de données et le site web lui-même.
Mi-2019, la plateforme indienne de tutorat en ligne interactif Vedantu a subi une fuite de données qui a exposé les données personnelles de 687 000 utilisateurs. L'extraction de base de données au format JSON a exposé de nombreuses informations personnelles, dont des adresses e-mail et IP, des noms, des numéros de téléphone, des genres et des mots de passe stockés sous forme de…
Vers juillet 2019, les forums du jeu Planet Calypso ont subi une fuite de données. La fuite de ce forum basé sur vBulletin a exposé des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En 2019, Quidd, place de marché en ligne pour l'échange d'autocollants, de cartes, de jouets et d'autres objets de collection, a subi une fuite de données. La fuite a exposé près de 4 millions d'adresses e-mail, de noms d'utilisateur et de mots de passe d'utilisateurs stockés sous forme de hachages bcrypt.
En juillet 2019, le forum de la bande dessinée en ligne XKCD a subi une fuite de données qui a touché 562 000 abonnés. Le forum phpBB compromis a divulgué des noms d'utilisateur, des adresses e-mail et IP et des mots de passe stockés au format MD5 phpBB3. Les données ont été fournies à HIBP par le chercheur en sécurité éthique et analyste de données Adam Davies.
En juin 2019, le site web d'estimation d'œuvres d'art basé en France Artvalue.com a laissé sa base d'abonnés de 158 000 membres exposée publiquement dans un fichier texte sur son site web. Les données exposées comprenaient des noms, des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5.
En juin 2019, le site « Art of Human Hacking » Social Engineered a subi une fuite de données. La fuite du forum MyBB a été publiée sur un forum de piratage rival et comprenait 89 000 adresses e-mail uniques réparties entre 55 000 utilisateurs du forum et d'autres tables de la base de données.
En juin 2019, le site de piratage Void.to a subi une fuite de données. On y trouvait 95 000 adresses e-mail uniques réparties entre 86 000 utilisateurs du forum et d'autres tables de la base de données.
En mai 2019, le site web de littérature chinois Read Novel aurait subi une fuite de données qui a exposé 22 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des sexes, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5 salés. En savoir plus sur les fuites de données chinoises dans Have I Been Pwned.
Mi-2019, le site de triche pour jeux vidéo « Aimware » a subi une fuite de données qui a exposé les informations personnelles de centaines de milliers d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur, des messages de forum, des messages privés, l'activité sur le site et des mots de passe stockés sous forme de hachages MD5 salés.
Un instantané de 2019 des données utilisateurs de Deezer, conservé par un ancien partenaire tiers en violation de son contrat, a été diffusé en novembre 2022 et a exposé environ 229 millions d'enregistrements — noms, e-mails, dates de naissance et localisations. Aucun mot de passe ni donnée de paiement n'a été touché.
En 2019, le service de recherche de dossiers publics Instant Checkmate a subi une fuite de données qui a été révélée début 2023. Les données comprenaient près de 12 millions d'adresses e-mail clients uniques, des noms, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes scrypt.
En 2019, le service de recherche de dossiers publics TruthFinder a subi une fuite de données révélée plus tard, début 2023. Les données comprenaient plus de 8 millions d'adresses e-mail uniques de clients, des noms, des numéros de téléphone et des mots de passe stockés sous forme de hachages scrypt.
Vers la mi-2019, le site de commerce électronique Storenvy a subi une fuite de données qui a exposé des millions d'enregistrements clients. Une partie des enregistrements compromis a ensuite été publiée sur un forum de piratage avec des empreintes de mots de passe craquées, tandis que l'intégralité du corpus de 23 millions de lignes a été mise en vente.
En février 2019, la librairie brésilienne Estante Virtual a subi une fuite de données qui a affecté 5,4 millions de clients. Les données exposées comprenaient des noms, des noms d'utilisateur, des adresses e-mail et postales, des numéros de téléphone, des dates de naissance et des empreintes de mots de passe SHA-1 non salées.
Début 2019, l'application japonaise d'agenda Lifebear est apparue en vente sur une place de marché du dark web parmi de nombreux autres sites web piratés. La fuite a exposé près de 3,7 M d'adresses e-mail uniques, de noms d'utilisateur et de mots de passe stockés sous forme de hachages MD5 salés.
En février 2019, le service de validation d'adresses e-mail verifications.io a subi une fuite de données. Découverte par Bob Diachenko et Vinny Troia, la fuite était due au stockage des données dans une instance MongoDB laissée accessible publiquement sans mot de passe, et a entraîné l'exposition de 763 millions d'adresses e-mail uniques…
En février 2019, le détaillant de produits personnalisés CafePress a subi une fuite de données. Les données exposées comprenaient 23 millions d'adresses e-mail uniques, certains enregistrements contenant également des noms, des adresses physiques, des numéros de téléphone et des mots de passe stockés sous forme de hachages SHA-1.
En février 2019, le forum de piratage Demon Forums a subi une fuite de données. La compromission du forum vBulletin a exposé 52 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En février 2019, des données du service de diffusion en direct YouNow ont été mises en vente sur une place de marché du dark web. Bien que la date exacte de la fuite ne soit pas claire, les données concernées comprenaient 18 millions d'adresses e-mail uniques, des adresses IP, des noms, des noms d'utilisateur et des liens vers des profils de réseaux sociaux.
En août 2022, les données clients du site d'achats indien « LBB » (Little Black Book) ont été publiées sur un forum de piratage populaire. Les données contenaient plus de 3 M d'enregistrements avec 39 k adresses e-mail uniques ainsi que des adresses IP et postales, des noms et des informations sur les appareils, les données les plus récentes remontant à…
En février 2019, le forum devkitPro a subi une fuite de données. Le forum basé sur phpBB a vu 1 508 adresses e-mail uniques exposées lors de la fuite, ainsi que des messages de forum, des messages privés et des mots de passe stockés sous forme de hachages salés faibles. La fuite de données a été soumise par l'exploitant du forum lui-même à HIBP.
En janvier 2019, le site de réservation de voyages et d'hôtels ixigo a subi une fuite de données. Les données sont apparues en vente sur une place de marché du dark web le mois suivant et comprenaient plus de 17 millions d'adresses e-mail uniques ainsi que des noms, genres, numéros de téléphone, liens vers des profils Facebook et des mots de passe stockés sous forme…
En janvier 2019, le site web de portail de jeux Armor Games a subi une fuite de données. Au total, 10,6 millions d'adresses e-mail ont été touchées par la fuite, qui a également exposé des noms d'utilisateur, des adresses IP, les dates de naissance des comptes administrateurs et des mots de passe stockés sous forme de hachages SHA-1 salés.
En décembre 2018, le portail d'emploi indien IIMJobs a subi une fuite de données qui a exposé 4,1 millions d'adresses e-mail uniques. Les données comprenaient également des noms, numéros de téléphone, localisations géographiques, dates de naissance, intitulés de poste, candidatures et lettres de motivation, ainsi que des mots de passe stockés sous forme d'empreintes MD5 non salées.
En décembre 2018, le site web Town of Salem produit par BlankMediaGames a subi une fuite de données. Signalées à HIBP par DeHashed, les données contenaient 7,6 millions d'adresses e-mail uniques d'utilisateurs aux côtés de noms d'utilisateur, d'adresses IP, d'historiques d'achats et de mots de passe stockés sous forme de hachages phpass.
En mai 2019, le forum de détournement de comptes et de SIM swapping OGusers a subi une fuite de données. La fuite a exposé une sauvegarde de base de données datant de décembre 2018, publiée sur un forum de piratage rival. Elle comprenait 161 000 adresses e-mail uniques réparties sur 113 000 utilisateurs du forum et d'autres tables de la base de données.
Vers décembre 2018, le centre commercial numérique Wanelo a subi une fuite de données. Les données ont ensuite été mises en vente sur une place de marché du dark web aux côtés d'un ensemble d'autres fuites de données en avril 2019.
En décembre 2018, le site de cartographie Mappery a subi une fuite de données qui a exposé plus de 205 000 adresses e-mail uniques. L'incident a également exposé des noms d'utilisateur, la localisation géographique de l'utilisateur et des mots de passe stockés sous forme d'empreintes SHA-1 non salées.
En décembre 2018, le site web slovaque de visionnage de films en ligne gratuit Bombuj.eu a subi une fuite de données. L'incident a exposé plus de 575 000 adresses e-mail uniques et des mots de passe stockés sous forme de hachages MD5 non salés. Aucune réponse n'a été reçue de Bombuj.eu lorsqu'il a été contacté au sujet de l'incident.
L'application de messagerie vidéo Dubsmash a été compromise en décembre 2018, exposant environ 162 millions de comptes avec des adresses e-mail, des noms d'utilisateur et des empreintes de mots de passe PBKDF2 qui ont ensuite été mises en vente sur la place de marché du dark web Dream Market par le courtier GnosticPlayers.
En novembre 2018, la plateforme de modpacks Minecraft connue sous le nom de Technic a subi une fuite de données. Technic a rapidement divulgué la fuite et indiqué que les données touchées comprenaient les adresses e-mail et IP de plus de 265 000 utilisateurs uniques, des journaux de discussion, des messages privés et des mots de passe stockés sous forme de condensats bcrypt avec un facteur…
Des attaquants ont dérobé la base de données clients du groupe de commerce en ligne polonais Morele.net, exposant les données d'environ 2,2 millions de clients et lançant une campagne de hameçonnage par SMS réclamant un faux « complément » de 1 PLN via une passerelle de paiement contrefaite. L'UODO polonais a infligé son amende RGPD record d'alors, de 660 000 EUR.
En octobre 2018, le service de réservation de restaurants Eatigo a subi une fuite de données qui a exposé 2,8 millions de comptes. Les données comprenaient des adresses e-mail, des noms, des numéros de téléphone, des profils de réseaux sociaux, des genres et des mots de passe stockés sous forme d'empreintes MD5 non salées.
En octobre 2018, le service de télévision sur internet Pluto TV a subi une fuite de données qui a ensuite été largement partagée dans les communautés de pirates. Pluto TV « a décidé de ne pas informer proactivement les utilisateurs de la fuite » qui contenait 3,2 millions d'adresses e-mail et IP uniques, des noms, des noms d'utilisateur, des sexes, des dates de naissance…
En octobre 2018, le service Minecraft russe VimeWorld a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un ensemble de données plus vaste. Les données comprenaient 3,1 millions d'enregistrements de noms d'utilisateur, d'adresses e-mail et IP et de mots de passe stockés sous forme de hachages MD5 ou bcrypt.
Les opérateurs de Magecart ont injecté un JavaScript de vol de données de cartes dans la page de paiement de British Airways, dérobant les détails de cartes sur 380 000 transactions en 15 jours. L'ICO britannique a d'abord proposé une amende RGPD de 183,4 M£ — ramenée ensuite à 20 M£ après des arguments d'atténuation liés à l'impact du Covid.
À la mi-2018, le site de shopping de mode HauteLook figurait parmi un ensemble de sites compromis dont les données ont ensuite été vendues début 2019. Les données comprenaient plus de 28 millions d'adresses e-mail uniques ainsi que des noms, des genres, des dates de naissance et des mots de passe stockés sous forme d'empreintes bcrypt.
En août 2018, le site d'échange Roblox Rbx.Rocks a subi une fuite de données. Près de 25 000 enregistrements ont été envoyés à HIBP en novembre et comprenaient des noms, des adresses e-mail et des mots de passe stockés sous forme de hachages bcrypt. En juillet 2019, 125 000 enregistrements supplémentaires ont émergé, portant la taille totale de l'incident à 150 000.
En juillet 2018, l'entreprise de commerce électronique britannique Fashion Nexus a subi une fuite de données qui a exposé 1,4 million d'enregistrements. Plusieurs sites web développés par sa société sœur White Room Solutions ont été touchés par la fuite, parmi lesquels des sites tels que Jaded London et AX Paris.
En juillet 2018, le service de marque-pages sociaux et de partage ShareThis a subi une fuite de données. L'incident a exposé 41 millions d'adresses e-mail uniques ainsi que des noms et, dans certains cas, des dates de naissance et des hachages de mots de passe.
Mi-2018, le service d'abonnement social de livres électroniques Bookmate figurait parmi une série de sites qui ont été compromis et dont les données ont ensuite été vendues début 2019. Les données comprenaient près de 4 millions d'adresses e-mail uniques aux côtés de noms, de genres, de dates de naissance et de mots de passe stockés sous forme de hachages SHA-512 salés.
Mi-2018, la communauté de photographie en ligne 500px a subi une fuite de données. L'incident a exposé près de 15 millions d'adresses e-mail uniques ainsi que des noms, des noms d'utilisateur, des genres, des dates de naissance et un hachage de mot de passe MD5 ou bcrypt.
En juillet 2018, le jeu en ligne massivement multijoueur Stronghold Kingdoms a subi une fuite de données. Près de 5,2 millions de comptes ont été touchés par l'incident, qui a exposé des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes SHA-1 salées.
En juillet 2018, l'entreprise indienne de location de voitures en libre-service Zoomcar a subi une fuite de données qui a ensuite été vendue sur une place de marché du dark web en 2020. La fuite a exposé plus de 3,5 millions d'enregistrements, dont des noms, des adresses e-mail et IP, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes bcrypt.
En juin 2018, le service World of Warcraft Light's Hope a subi une fuite de données qu'il a ensuite signalée lui-même à HIBP. Plus de 30 k utilisateurs uniques ont été touchés et leurs données exposées comprenaient des adresses e-mail, des dates de naissance, des messages privés et des mots de passe stockés sous forme de hachages bcrypt.
En juin 2018, le détaillant de mode rapide SHEIN a subi une compromission de ses systèmes de paiement exposant environ 39 millions d'identifiants de comptes. En 2022, l'État de New York a infligé une amende de 1,9 million de dollars à la maison mère Zoetop pour avoir minimisé la fuite et omis d'avertir la plupart des victimes.
En mai 2018, le site de partage d'œuvres de fiction pour adultes connu sous le nom d'Adult-FanFiction.Org a vu 186 000 enregistrements exposés lors d'une fuite de données. Les données contenaient des noms, des adresses e-mail, des dates de naissance et des mots de passe stockés à la fois sous forme de hachages MD5 et en clair.
En mai 2018, la place de marché de commerce social Poshmark a été piratée et environ 36 millions de comptes utilisateurs ont été exposés, dont des adresses e-mail, des noms, des identifiants, le genre, la localisation et des mots de passe hachés avec bcrypt. L'entreprise a confirmé l'incident en août 2019.
En avril 2018, la plateforme de gestion publicitaire connue sous le nom d'AerServ a subi une fuite de données. Rachetée par InMobi plus tôt dans l'année, la fuite d'AerServ a touché plus de 66 000 adresses e-mail uniques et comprenait également des coordonnées et des mots de passe stockés sous forme de hachages SHA-512 salés.
En avril 2018, la base de données d'art en ligne Artsy a subi une fuite de données qui est par conséquent apparue en vente sur une place de marché du dark web. Plus d'un million de comptes ont été touchés et comprenaient des adresses IP et e-mail, des noms et des mots de passe stockés sous forme de hachages SHA-512 salés.
En avril 2018, Emuparadise, qui se proclamait « le plus grand site de jeux rétro au monde », a subi une fuite de données. Le forum vBulletin compromis a exposé 1,1 million d'adresses e-mail, d'adresses IP, de noms d'utilisateur et de mots de passe stockés sous forme d'empreintes MD5 salées. Les données ont été fournies à HIBP par dehashed.com.
En mars 2018, Wendy's aux Philippines a subi une fuite de données qui a touché plus de 52 000 clients et candidats à l'emploi. La fuite a exposé de nombreuses informations personnelles, notamment des noms, des adresses e-mail et IP, des adresses physiques, des numéros de téléphone et des mots de passe stockés sous forme de hachages MD5.
Aux alentours de février 2018, le site d'emploi Jobandtalent a subi une fuite de données qui est ensuite apparue en vente avec d'autres fuites un an plus tard. L'incident a touché 11 millions d'abonnés et a exposé leurs noms, adresses e-mail et IP et des mots de passe stockés sous forme d'empreintes SHA-1 salées.
En janvier 2018, le site de modèles Joomla JoomlArt a exposé par inadvertance plus de 22 000 enregistrements clients uniques dans un ticket Jira. Les données exposées provenaient d'iJoomla et de JomSocial, deux services que JoomlArt avait acquis l'année précédente.
En janvier 2018, le site web immobilier indien PropTiger a subi une fuite de données qui a entraîné l'exposition d'un fichier de base de données de 3,46 Go, ensuite largement partagé sur un forum de piratage populaire 2 ans plus tard.
Le géant brésilien du e-commerce Netshoes a exposé les données personnelles — noms, identifiants fiscaux CPF, e-mails et historiques d'achat — d'environ 2 millions de clients, suscitant l'une des premières actions répressives majeures du parquet brésilien à la suite d'une violation de données.
En janvier 2018, le site de jeux pour enfants Club Penguin Rewritten (CPRewritten) a subi une fuite de données (remarque : CPRewritten est une recréation indépendante du jeu Club Penguin de Disney).
Vers janvier 2018, une collection de plus de 464 000 enregistrements clients du détaillant en ligne indien DailyObjects a été divulguée en ligne. Les données comprenaient des noms, des adresses postales et e-mail, des numéros de téléphone et des « codes PIN » stockés en clair.
En janvier 2020, la place de marché de mode indienne Elanic a vu 2,8 millions d'enregistrements avec 2,3 millions d'adresses e-mail uniques publiés publiquement sur un forum de piratage populaire. Elanic a confirmé avoir « vérifié les données qui avaient été extraites de l'un de nos serveurs de test où ces données étaient exposées publiquement » et que les…
En décembre 2017, le service de livraison de produits pour animaux PetFlow a subi une fuite de données qui est par conséquent apparue en vente sur une place de marché du dark web. Près d'1 million de comptes ont été touchés et ont exposé des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 non salés.
Vers décembre 2017, le site d'édition de photos en ligne piZap a subi une fuite de données. Les données ont ensuite été mises en vente sur une place de marché du dark web avec un ensemble d'autres fuites de données en février 2019.
En décembre 2017, la boutique suisse de DVD en ligne connue sous le nom de dvd-shop.ch a subi une fuite de données. L'incident a conduit à l'exposition de 68 000 adresses e-mail et de mots de passe en clair. Le site a depuis été mis à jour pour indiquer qu'il est actuellement fermé.
Le service de généalogie et de tests ADN MyHeritage a été compromis en octobre 2017, exposant environ 92 millions d'adresses e-mail de comptes et d'empreintes de mots de passe SHA-1 salées. L'incident n'a été découvert et divulgué qu'en juin 2018.
En mars 2019, le site web de commerce électronique indonésien Bukalapak a découvert une fuite de données de ses sauvegardes remontant à octobre 2017. L'incident a exposé environ 13 millions d'adresses e-mail uniques aux côtés d'adresses IP, de noms et de mots de passe stockés sous forme de hachages bcrypt et SHA-512 salés.
En juillet 2017, le site de commerce électronique tchèque MALL.cz a subi une fuite de données à la suite de laquelle 735 000 comptes uniques comprenant des adresses e-mail, des noms, des numéros de téléphone et des mots de passe ont été publiés en ligne.
En mai 2017, le site de partage de polices DaFont a subi une fuite de données entraînant l'exposition de 637 000 enregistrements. Prétendument due à une vulnérabilité d'injection SQL exploitée par plusieurs parties, les données exposées comprenaient des noms d'utilisateur, des adresses e-mail et des mots de passe stockés en MD5 sans salage.
En octobre 2020, la société de données applicatives Reincubate a subi une fuite de données ayant exposé une sauvegarde de novembre 2017 (l'enregistrement le plus récent des données datait de plusieurs mois auparavant). Les données comprenaient plus de 616 000 adresses e-mail uniques, des noms et des mots de passe stockés sous forme de hachages PBKDF2.
En mai 2017, la plateforme de partage de fichiers Ge.tt a subi une fuite de données. Les données ont ensuite été mises en vente sur une place de marché du dark web en février 2019, aux côtés de nombreuses autres fuites.
En mars 2017, le jeu Flash basé sur le jeu de cartes à collectionner Yu-Gi-Oh nommé Dueling Network a subi une fuite de données. Le site lui-même avait été mis hors ligne en 2016 à la suite d'une mise en demeure, mais le forum est resté en ligne une année supplémentaire.
En mars 2017, le site français de colocation connu sous le nom d'Appartoo a subi une fuite de données. L'incident a exposé une grande quantité d'informations personnelles concernant près de 50 000 membres, notamment des adresses e-mail, des genres, des âges, des messages privés échangés entre les utilisateurs du service et des mots de passe stockés sous forme de SHA-256…
En décembre 2018, le site de science des données DataCamp a subi une fuite de données remontant à janvier 2017. L'incident a exposé 760 000 adresses e-mail et IP uniques ainsi que des noms et des mots de passe stockés sous forme de hachages bcrypt.
Aux alentours de janvier 2017, la boutique de cosmétiques Sephora a subi une fuite de données. Touchant des clients d'Asie du Sud-Est, d'Australie et de Nouvelle-Zélande, 780 000 adresses e-mail uniques étaient incluses dans la fuite ainsi que des noms, des genres, des dates de naissance, des origines ethniques et d'autres informations personnelles.
À une date inconnue, aux alentours de 2017, le service indien de formation et d'évaluation connu sous le nom de Hub4Tech a subi une fuite de données via une attaque par injection SQL. L'incident a exposé près de 37 000 adresses e-mail uniques et des mots de passe stockés sous forme d'empreintes MD5 non salées.
Aux alentours de 2017, le site web destiné aux russophones en Amérique connu sous le nom de Russian America a subi une fuite de données. L'incident a exposé 183 000 enregistrements uniques comprenant des noms, des adresses e-mail, des numéros de téléphone et des mots de passe stockés à la fois en clair et sous forme de hachages MD5.
En juin 2017, on a appris que CashCrate avait subi une fuite de données exposant 6,8 millions de dossiers. La compromission du site de rémunération contre sondages remontait à novembre 2016 et a exposé des noms, des adresses postales, des adresses e-mail et des mots de passe stockés en texte clair pour les anciens comptes, ainsi que de faibles hachages MD5…
En octobre 2016, l'entreprise de divertissement pour adultes Friend Finder Networks a subi une fuite de données massive. L'incident a touché plusieurs ressources en ligne distinctes détenues par l'entreprise, la plus importante étant le site Adult FriendFinder, présenté comme « la plus grande communauté sexe et échangiste au monde ».
En septembre 2016, le site de rémunération au clic ClixSense a subi une fuite de données qui a exposé 2,4 millions d'identités d'abonnés. Les données compromises ont ensuite été publiées en ligne par les attaquants qui affirmaient qu'il s'agissait d'un sous-ensemble d'une fuite de données plus importante totalisant 6,6 millions de dossiers.
En août 2016, le forum du site de fans de Pocket PC PPCGeeks a subi une fuite de données qui a exposé plus de 490 000 enregistrements. La fuite du forum vBulletin a exposé des adresses e-mail et IP, des noms d'utilisateur, des dates de naissance et des mots de passe stockés sous forme de hachages MD5 salés.
En août 2016, le forum de jeu russe connu sous le nom de Cross Fire (ou cfire.mail.ru) a été piraté, ainsi qu'un certain nombre d'autres forums du fournisseur de messagerie russe mail.ru. Le forum vBulletin contenait 12,8 millions de comptes, notamment des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 salés.
En août 2016, le site de jeux russe connu sous le nom de Пара Па (ou parapa.mail.ru) a été piraté, de même que plusieurs autres forums hébergés par le fournisseur de messagerie russe mail.ru. Le forum vBulletin contenait 4,9 millions de comptes, dont des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 salés.
En juin 2016, le site social pour adolescents connu sous le nom de i-Dressup a été piraté et plus de 2 millions de comptes utilisateurs ont été exposés. Au moment où le piratage a été signalé, les exploitants de i-Dressup étaient injoignables et la faille d'injection SQL sous-jacente restait ouverte, exposant prétendument un total de 5,5 millions de comptes.
En juillet 2016, le forum du jeu "Clash of Kings" a subi une fuite de données qui a touché 1,6 million d'abonnés. Les données concernées comprenaient des noms d'utilisateur, des adresses IP et e-mail et des mots de passe stockés sous forme de hachages MD5. Les données ont été fournies à HIBP par dehashed.com.
En juillet 2016, le forum officiel des développeurs de Dota2 a subi une fuite de données qui a exposé près de 2 millions d'utilisateurs. Le piratage du forum vBulletin a entraîné la divulgation d'adresses e-mail et IP, de noms d'utilisateur et de mots de passe stockés sous forme de hachages MD5 salés.
En juillet 2016, le site de rencontres musulman Shadi.com a subi une fuite de données ayant exposé les adresses e-mail de plus de 2 millions de membres. La fuite a également exposé des mots de passe stockés sous forme de hachages MD5 ainsi que leurs équivalents en clair.
En juillet 2016, le site Mac Forums, qui se présentait comme « The Ultimate Source For Your Mac », a subi une fuite de données. Le système basé sur vBulletin a exposé plus de 326 000 noms d'utilisateur, adresses e-mail et IP, dates de naissance et mots de passe stockés sous forme d'empreintes MD5 salées.
En juillet 2016, le site désormais disparu de listes de jeux en ligne gratuits OnRPG a subi une fuite de données qui a ensuite été redistribuée dans le cadre d'un corpus de données plus vaste. L'incident a exposé un peu plus d'1 million d'adresses e-mail et IP, ainsi que des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 salés.
En 2016, le réseau mondial de jeu en LAN aujourd'hui disparu Tunngle a subi une fuite de données qui a exposé 8,2 millions d'adresses e-mail uniques. Les données compromises comprenaient également des noms d'utilisateur, des adresses IP et des mots de passe stockés sous forme de hachages MD5 salés.
Vers juin 2016, le site immobilier StreetEasy a subi une fuite de données. Au total, 988 000 adresses e-mail uniques figuraient dans la fuite, accompagnées de noms, de noms d'utilisateur et d'empreintes SHA-1 de mots de passe, l'ensemble ayant été mis en vente sur une place de marché du dark web en février 2019.
À la mi-2016, le service d'annuaire téléphonique et d'adresses Whitepages faisait partie d'une série de sites dont les données ont été compromises puis vendues début 2019. Les données comprenaient plus de 11 millions d'adresses e-mail uniques ainsi que des noms et des mots de passe stockés sous forme de hachage SHA-1 ou bcrypt.
Quelque temps avant mai 2016, le forum connu sous le nom de « Rosebutt Board » a été piraté et 107 000 comptes ont été exposés. Ce forum se décrivant comme le « premier forum pour les amateurs de fisting anal, de prolapsus, d'insertions énormes et de rosebutt » a vu des adresses e-mail et IP, des noms d'utilisateur et des hachages de mots de passe MD5 salés faiblement stockés piratés…
La police sud-coréenne a attribué la violation du détaillant en ligne Interpark — exposant les données personnelles de plus de 10 millions d'acheteurs — à l'agence de renseignement nord-coréenne, qui a utilisé le harponnage avant d'exiger une rançon en bitcoins de plusieurs millions de dollars.
En avril 2016, le service de livraison de repas en ligne Foodora a subi une fuite de données qui a ensuite été largement redistribuée en ligne. La fuite comprenait les informations personnelles de centaines de milliers de clients de plusieurs pays, dont leurs noms, adresses de livraison, numéros de téléphone et…
En avril 2016, des données clients provenant de l'application de streaming connue sous le nom de « 17 » ont été mises en vente sur une place de marché d'un service caché Tor. Les données contenaient plus de 4 millions d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 non salés.
En janvier 2021, des données provenant de plusieurs services compromis, dont Tuned Global, ont été diffusées sur un forum de piratage public. La fuite semble remonter à 2016 et comprend 985 000 enregistrements contenant des adresses e-mail, des noms, un petit nombre d'adresses postales et de numéros de téléphone, ainsi que des mots de passe stockés…
En mars 2016, le site web pour adultes Naughty America a été piraté et les données ont ensuite été vendues en ligne. La fuite comprenait des données provenant de nombreux systèmes avec divers attributs d'identité personnelle, le plus volumineux d'entre eux contenant des mots de passe stockés sous forme d'empreintes MD5 facilement craquables.
En février 2016, le site de rencontres mate1.com a subi une énorme fuite de données entraînant la divulgation des informations de plus de 27 millions d'abonnés. Les données comprenaient des informations profondément personnelles sur leur vie privée, notamment leurs habitudes de consommation de drogue et d'alcool, leurs niveaux de revenus et leurs fétiches sexuels, ainsi que…
En février 2016, le site slovaque de suivi de torrents SkTorrent a été piraté et plus de 117 000 enregistrements ont été divulgués en ligne. Le dump de données comprenait des noms d'utilisateur, des adresses e-mail et des mots de passe stockés en clair.
En janvier 2016, le site web d'esport Battlefy a subi une fuite de données qui a exposé 83 000 enregistrements de clients. Les données touchées comprenaient des adresses e-mail, des noms d'utilisateur et des mots de passe stockés sous forme de hachages bcrypt.
En janvier 2016, le revendeur de comptes piratés EpicNPC a subi une fuite de données qui a affecté 409 000 abonnés. Les données concernées comprenaient des noms d'utilisateur, des adresses IP et e-mail et des mots de passe stockés sous forme d'empreintes MD5 salées. Les données ont été fournies à HIBP par dehashed.com.
Aux alentours de 2016, le site web d'animés Anime-Planet a subi une fuite de données qui a touché 369 000 abonnés. Les données exposées comprenaient des noms d'utilisateur, des adresses IP et e-mail, des dates de naissance et des mots de passe stockés sous forme de hachages MD5 non salés et, pour les comptes plus récents, de hachages bcrypt.
En janvier 2016, le forum du célèbre logiciel de torrent BitTorrent a été piraté. Le forum basé sur IP.Board stockait les mots de passe sous forme de faibles hachages SHA1 salés et les données compromises comprenaient également des noms d'utilisateur, des adresses e-mail et IP.
En janvier 2016, le site de jeu D3Scene a subi une fuite de données. Le forum vBulletin compromis a exposé 569 000 adresses e-mail, adresses IP, noms d'utilisateur et mots de passe stockés sous forme de hachages MD5 salés. Les données ont été fournies à HIBP par dehashed.com.
En janvier 2016, la communauté Minecraft connue sous le nom de Lifeboat a été piratée et plus de 7 millions de comptes ont fuité. Lifeboat a eu connaissance de l'incident pendant trois mois avant que la fuite ne soit rendue publique, mais a choisi de ne pas avertir ses clients.
Vers janvier 2016, la communauté Android britannique connue sous le nom de MoDaCo a subi une fuite de données qui a exposé 880 000 identités d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes MD5 salées.
En décembre 2015, l'application de messagerie instantanée Trillian a subi une fuite de données. La fuite a été révélée en juillet 2016 et a exposé divers attributs de données personnelles, dont des noms, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 salés.
Une attaque par injection SQL contre le service Learning Lodge du fabricant de jouets hongkongais VTech a exposé les données personnelles de 6,4 millions d'enfants et près de 5 millions de comptes parents, devenant la première fuite majeure ciblant des données de mineurs.
Fin 2015, le site web de jeux R2Games a été piraté et plus de 2,1 millions d'enregistrements personnels divulgués. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
Vers octobre 2015, le site web de manga Go Games a subi une fuite de données. Les données exposées comprenaient 3,4 millions d'enregistrements clients incluant des adresses e-mail et IP, des identifiants et des mots de passe stockés sous forme d'empreintes MD5 salées. Go Games n'a pas répondu lorsqu'il a été contacté au sujet de l'incident.
Vers octobre 2015, le forum de jeux en ligne connu sous le nom de Gamerzplanet a été piraté et plus de 1,2 million de comptes ont été exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme d'empreintes salées au moyen d'une implémentation faible permettant d'en craquer rapidement un grand nombre.
En octobre 2015, le détaillant de stéroïdes anabolisants NapsGear a subi une fuite de données. Une grande quantité d'informations personnelles sur 287 000 clients a été exposée, notamment des adresses e-mail, des noms, des adresses, des numéros de téléphone, des historiques d'achat et des empreintes de mots de passe MD5 salées.
En octobre 2015, le site de financement participatif Patreon a été piraté et plus de 16 Go de données ont été divulgués publiquement. Le dump comprenait près de 14 Go d'enregistrements de base de données avec plus de 2,3 millions d'adresses e-mail uniques, des millions de messages personnels et des mots de passe stockés sous forme de hachages bcrypt.
En août 2015, le service de narration StoryBird a subi une fuite de données exposant 4 millions d'enregistrements avec 1 million d'adresses e-mail uniques. Les données concernées comprenaient également des noms, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes PBKDF2. Les données ont été fournies à HIBP par dehashed.com.
En juillet 2015, le site Pokémon français Pokébip a subi une fuite de données qui a exposé 657 000 identités d'abonnés. Les données comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme de hachages MD5 sans sel.
En juillet 2015, le site de torrents Seedpeer a été piraté et 282 000 enregistrements de membres ont été exposés. Les données incluaient des noms d'utilisateur, des adresses e-mail et des mots de passe stockés sous forme de hachages MD5 faibles.
En juillet 2015, la chaîne suédoise de vidéoclubs Hemmakväll a été piratée et près de 50 000 enregistrements ont été divulgués publiquement. Les données divulguées comprenaient divers attributs de leurs clients, notamment des adresses e-mail et postales, des noms et des numéros de téléphone.
En juillet 2015, le forum de discussion du centre multimédia Plex a été piraté et plus de 327 000 comptes exposés. Le forum IP.Board comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
Au cours de l'année 2015, le forum iPmart (désormais connu sous le nom de Mobi NUKE) a été piraté et les informations de plus de 2 millions de membres du forum ont été exposées. Le forum vBulletin comprenait des adresses IP, des dates de naissance et des mots de passe stockés sous forme d'empreintes salées utilisant une implémentation faible permettant d'en craquer rapidement un grand nombre.
Vers juillet 2015, le forum de hacks et de mods pour Sony PlayStation connu sous le nom de PS3Hax a été piraté et plus de 447 000 comptes exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
En juin 2015, le serveur Minecraft français connu sous le nom de Minefield a été piraté et 188 000 enregistrements de membres ont été exposés. Le forum IP.Board comprenait des adresses e-mail et IP, des dates de naissance et des mots de passe stockés sous forme d'empreintes salées via une implémentation faible permettant d'en craquer rapidement un grand nombre.
En mai 2015, le site automobile indien connu sous le nom de Gaadi a vu 4,3 millions d'enregistrements exposés lors d'une fuite de données. Les données contenaient des noms d'utilisateur, des adresses e-mail et IP, des genres, la ville des utilisateurs ainsi que des mots de passe stockés à la fois en clair et sous forme d'empreintes MD5.
En mai 2015, le logiciel de « surveillance » connu sous le nom de mSpy a subi une importante fuite de données. Le logiciel (prétendument souvent utilisé pour espionner des victimes sans méfiance) stockait de nombreuses informations personnelles au sein de son service en ligne qui, après avoir été compromises, ont été rendues librement accessibles sur Internet.
Mi-2015, le forum des fournisseurs de serveurs dédiés abordables connu sous le nom de Kimsufi a subi une fuite de données. Le forum vBulletin contenait plus d'un demi-million de comptes, comprenant des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe stockés sous forme de hachages MD5 salés.
Au milieu de l'année 2015, le forum de l'hébergeur connu sous le nom d'OVH a subi une fuite de données. Le forum vBulletin contenait 453 000 comptes comprenant des noms d'utilisateur, des adresses e-mail et IP, ainsi que des mots de passe stockés sous forme de hachages MD5 salés.
Début 2015, le site suédois d'actualités technologiques SweClockers a été piraté et 255 000 comptes ont été exposés. L'attaque a entraîné l'exposition de noms d'utilisateur, d'adresses e-mail et de condensats salés de mots de passe stockés avec une combinaison de MD5 et SHA512.
En mars 2015, le site de jeux Snail a subi une fuite de données qui a touché 1,4 million d'abonnés. Les données concernées comprenaient des noms d'utilisateur, des adresses IP et e-mail ainsi que des mots de passe stockés sous forme d'empreintes MD5 non salées. Les données ont été fournies à HIBP par dehashed.com.
Vers février 2015, le forum Sony PlayStation connu sous le nom de PSX-Scene a été piraté et plus de 340 000 comptes exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible, permettant d'en craquer rapidement un grand nombre.
Vers février 2015, le forum Xbox connu sous le nom de Xbox-Scene a été piraté et plus de 432 000 comptes ont été exposés. Le forum IP.Board comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés utilisant une implémentation faible permettant d'en déchiffrer rapidement un grand nombre.
En janvier 2015, le collectif de pirates connu sous le nom de « Lizard Squad » a créé un service de DDoS appelé « Lizard Stresser » qui pouvait être acheté pour mener des attaques contre des cibles en ligne.
En novembre 2014, le forum Malwarebytes a été piraté et 111 000 enregistrements de membres ont été exposés. Le forum basé sur IP.Board comprenait des adresses e-mail et IP, des dates de naissance et des mots de passe stockés sous forme d'empreintes salées via une implémentation faible permettant d'en craquer rapidement un grand nombre.
En novembre 2014, le forum de Bot of Legends a subi une fuite de données. Le forum IP.Board contenait 238 000 comptes, dont des noms d'utilisateur, des adresses e-mail et IP et des mots de passe stockés sous forme de hachages MD5 salés.
Vers septembre 2014, le service de réseau social aujourd'hui disparu Tout a subi une fuite de données. La fuite est apparue plusieurs années plus tard et comprenait 653 000 adresses e-mail uniques, des noms, des adresses IP, la localisation de l'utilisateur, sa biographie et des mots de passe stockés sous forme de hachages bcrypt.
Les attaquants ont utilisé les identifiants volés d'un prestataire et un logiciel malveillant sur mesure pour points de vente afin de collecter environ 56 millions de cartes de paiement et 53 millions d'adresses e-mail sur les caisses automatiques américaines et canadiennes de Home Depot pendant cinq mois — la plus grande compromission de cartes du secteur de la distribution de son époque.
En juin 2014, le site de torrents Sumo Torrent a été piraté et 285 000 enregistrements de membres ont été exposés. Les données comprenaient des adresses IP, des adresses e-mail et des mots de passe stockés sous forme d'empreintes MD5 faibles.
En juin 2014, Domino's Pizza en France et en Belgique a été piraté par un groupe se faisant appeler « Rex Mundi » et leurs données clients ont été prises en otage contre rançon. Domino's a refusé de payer la rançon et six mois plus tard, les attaquants ont publié les données ainsi que des trésors d'autres comptes piratés.
Les attaquants ont utilisé un petit nombre d'identifiants d'employés compromis pour accéder au réseau d'entreprise d'eBay et exfiltrer une base de données couvrant les 145 millions d'utilisateurs — noms, mots de passe chiffrés, adresses e-mail et postales, numéros de téléphone et dates de naissance.
En avril 2014, le site d'emploi bigmoneyjobs.com a été piraté par un attaquant connu sous le nom de « ProbablyOnion ». L'attaque a entraîné l'exposition de plus de 36 000 comptes d'utilisateurs, notamment des adresses e-mail, des noms d'utilisateur et des mots de passe stockés en clair.
Vers 2014, il est allégué que la boutique Android chinoise connue sous le nom de HIAPK a subi une fuite de données qui a touché 13,8 millions d'abonnés uniques. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme…
Les attaquants ont pénétré chez Target grâce à des identifiants dérobés à un sous-traitant en CVC, ont pivoté vers le réseau de paiement et ont volé les données de piste magnétique de 40 millions de cartes de crédit et de débit ainsi que les données personnelles de 70 millions de clients.
En octobre 2013, le site de téléchargement (aujourd'hui disparu) « Mecho Download » a subi une fuite de données qui a exposé 438 000 enregistrements. Les données du site basé sur vBulletin comprenaient des adresses e-mail et IP, des noms d'utilisateur et des mots de passe stockés sous forme d'empreintes MD5 salées.
En septembre 2013, la communauté de partage d'images en ligne imgur a subi une fuite de données. Une partie des données contenant 1,7 million d'adresses e-mail et de mots de passe a refait surface plus de 4 ans plus tard, en novembre 2017.
En septembre 2013, le site de réservation indien connu sous le nom de Yatra a vu 5 millions d'enregistrements exposés lors d'une fuite de données. Les données contenaient des adresses e-mail et postales, des dates de naissance et des numéros de téléphone, ainsi que des codes PIN et des mots de passe stockés en clair.
Une archive de base de données de 2013 du site d'invitations Evite a été consultée par un attaquant puis échangée en ligne, exposant environ 101 millions d'adresses e-mail uniques ainsi que des noms, numéros de téléphone, adresses postales, dates de naissance et mots de passe en clair.
Aux alentours d'août 2013, le forum d'exploits World of Warcraft connu sous le nom d'OwnedCore a été piraté et plus de 880 000 comptes ont été exposés. Le forum vBulletin comprenait des adresses IP et des mots de passe stockés sous forme de hachages salés selon une implémentation faible, ce qui a permis d'en casser rapidement un grand nombre.
En décembre 2015, le site de modding de jeux Nexus Mods a publié un communiqué informant les utilisateurs qu'ils avaient été piratés. Ils ont ensuite daté le piratage à juillet 2013, bien que des éléments suggèrent que les données étaient échangées plusieurs mois auparavant.
En mai 2016, un ensemble de données compromises provenant du site web d'animaux de compagnie virtuels « Neopets » a été retrouvé en circulation en ligne. Prétendument piratées « plusieurs années plus tôt », les données contiennent des informations personnelles sensibles, dont des dates de naissance, des genres et des noms, ainsi que près de 27 millions d'adresses e-mail uniques…
En avril 2013, le site web pour adultes connu sous le nom de Brazzers a été piraté et 790 000 comptes ont été exposés publiquement. Chaque enregistrement comprenait un nom d'utilisateur, une adresse e-mail et un mot de passe stocké en clair. La fuite a été révélée par le site de signalement de fuites de données Vigilante.pw en septembre 2016.
En 2013, le site de réseau social danois FaceUP a subi une fuite de données. L'incident a exposé 87 000 adresses e-mail uniques ainsi que des genres, des dates de naissance, des noms, des numéros de téléphone et des mots de passe stockés sous forme d'empreintes MD5 non salées.
En août 2012, le site web du forum des utilisateurs Xiaomi a subi une fuite de données. Au total, 7 millions d'adresses e-mail sont apparues dans la fuite, bien qu'une part importante d'entre elles étaient des alias numériques sur le domaine bbs_ml_as_uid.xiaomi.com.
En juillet 2012, le service de publication en ligne « Voices » de Yahoo! a été compromis par une attaque par injection SQL. La fuite a entraîné la divulgation de près d'un demi-million de noms d'utilisateur et de mots de passe stockés en clair.
En mars 2012, l'éditeur de jeux en ligne allemand Gamigo a été piraté et plus de 8 millions de comptes ont été divulgués publiquement. La fuite comprenait des adresses e-mail et des mots de passe stockés sous forme de faibles empreintes MD5 sans sel.
Vers 2012, le site d'achat chinois connu sous le nom de Taobao aurait subi une fuite de données ayant touché plus de 21 millions d'abonnés. Bien qu'il existe des preuves que les données sont authentiques, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme…
En décembre 2011, le plus grand sex-shop en ligne de Norvège, hemmelig.com, a été piraté par un collectif se faisant appeler « Team Appunity ». L'attaque a exposé plus de 28 000 identifiants et adresses e-mail ainsi que des surnoms, le genre, l'année de naissance et des empreintes MD5 de mots de passe sans sel.
En octobre 2011, le site web Android Forums a été piraté et 745 000 comptes d'utilisateurs ont ensuite été divulgués publiquement. Les données compromises comprenaient des adresses e-mail, les dates de naissance des utilisateurs et des mots de passe stockés sous forme de hachage MD5 salé.
En juin 2011, dans le cadre d'un dernier vidage de données compromises, le collectif de pirates « LulzSec » a obtenu et publié plus d'un demi-million de noms d'utilisateur et de mots de passe du jeu Battlefield Heroes.
En 2011, le site de commerce électronique chinois Dangdang a subi une fuite de données. L'incident a exposé plus de 4,8 millions d'adresses e-mail uniques qui ont ensuite été échangées en ligne au cours des années suivantes.
En 2011, le site autoproclamé « meilleur réseau social pour adultes au monde » connu sous le nom de Fling a été piraté et plus de 40 millions de comptes ont été obtenus par l'attaquant.
Aux alentours de 2008, le site destiné à aider les parents à nommer leurs enfants connu sous le nom de Baby Names a subi une fuite de données. L'incident a exposé 846 000 adresses e-mail et mots de passe stockés sous forme de hachages MD5 salés.
En juillet 2007, le portail de jeux multijoueurs connu sous le nom de gPotato (lien vers une archive du site à l'époque) a subi une fuite de données et plus de 2 millions de comptes utilisateurs ont été exposés. Le site a ensuite fusionné avec le portail Webzen, où les comptes d'origine existent encore aujourd'hui.
Des attaquants menés par Albert Gonzalez ont intercepté le Wi-Fi en magasin, faiblement chiffré, d'un point de vente Marshalls, puis ont rebondi vers les systèmes centraux de TJX, exfiltrant environ 94 millions d'enregistrements de cartes de paiement sur une intrusion de 18 mois — la plus grande violation de données du commerce de détail américain de son époque.